国内威胁诱捕(蜜罐)类产品研究与测试报告(2021年)_96页_6mb.pdf
ei 中 国 信 息 通 信 研 究 院 安 全 研 究 所2021年 12 月 国 内 威 胁 诱 捕 ( 蜜 罐 ) 类 产 品研 究 与 测 试 报 告 先 进 网 络 安 全 能 力 验 证 评 估 系 列 报 告( 2021 年 ) 版权声明本报告 版权属于 中国信息通信研究院 ,并受法律保护 。转载 、 摘编或利用其它方式使用 本报告文字或者观点的 , 应注明 “ 来源: 中国信息通信研究院 ” 。违反上述声明者, 本院 将追究其相关法律责任。 编制说明本报告由中国信息通信研究院安全研究所(以下简称 “ 信通院安全所 ” ) 撰写,限于撰写时间、知识局限等因素,内容恐有疏漏,烦请各位读者不吝指正。报告中的威胁诱捕(蜜罐)类产品的测试报名时间为 2021 年 01 月 05 日至 2021 年 02 月 04 日 , 共有 38 家企业报名 , 其中 34 家企业顺利完成 测试 。 感谢以下参与测试的企业 ( 排名不分先后 ) :北京神州绿盟科技有限公司 、 广州非凡信息安全技术有限公司 、烽台科技(北京)有限公司、杭州安恒信息技术股份有限公司、杭 州默安科技有限公司、杭州智航云安全技术有限公司、北京长亭科技有限公司、上海观安信息技术股份有限公司、北京吉沃科技有限公司、北京智仁智信安全技术有限公司、广州锦行网络科技有限公司、北京四海图宇科技有限公司、北京天融信网络安全技术有限公司、北京元支点信息安全技术有限公司、北京安天网络安全技术有限公司 、 山东云天安全技术有限公司 、 北京鸿腾智能科技有限公司 、北京安域领创科技有限公司、北京永信至诚科技股份有限公司、江苏天翼安全技术有限公司、腾讯云计算(北京)有限公司、北京经纬信安科技有限公司、杭州天谷信息科技有限公司、上海沪景信息 科技有限公司、北京知道创宇信息技术股份有限公司、紫金山实验室、北京网御星云信息技术有限公司、网神信息技术(北京)股份有限公司 、 北京启明星辰信息安全技术有限公司、 恒安嘉新 ( 北京 )科技有限公司、中国科学院信息工程研究所、江苏君立华域信息安 全技术股份有限公司、北京微步在线科技有限公司、上海斗象信息科技有限公司。 同时特别致谢 FreeBuf 咨询对本报告提供的相关支持工作。 前 言威胁诱捕技术是一种基于应用蜜罐、虚拟系统、虚拟网络等多种方式且具有主动、积极、欺骗性质的网络安全检测技术。随着网络安全攻防手段的不断演变,不论是交锋日益激烈的网络安全日常防护,还是常态化的网络攻防演练,高对抗性俨然成为了网络安全攻防的本质。在这一背景下,威胁诱捕类产品(蜜罐)的应用得到广泛关注。 为了落实工信部关于网络安全产业高质量发展政策要求,培育公平竞争的市场环境,开展网络安全产品服务能力评价、网络安全 工程建设与系统运行维护质量评价和面向新技术新业务的安全评估,同时更好地满足电信和互联网、金融、能源和医疗等行业用户在 5G 网络 、 云计算 、 物联网等新型业务场景下的实际需要 , 为其在网络安全产品能力选型中提供技术参考,信通院安全所策划撰写此次国内威胁诱捕(蜜罐)类产品研究与测试报告( 2021) 。报告 中产业市场应用现状内容通过现场走访、资料整合及问卷调查的形式,对国内外近百家企业的使用情况进行对比分析,深入总结国内威胁诱捕(蜜罐)类产品的基本现状,并尝试对其发展趋势进行评估和预测。报告同时 对国内主流威胁诱捕(蜜罐)类产品 进行基本面测试评估,并输出测试、分析结果与整体报告。 报告中的测试部分主要针对当前行业内主流企业的产品,内容和角度覆盖全面且广泛,包括产品功能、性能以及自身安全,包含十余种技术能力指标测试项。本次测试是作为蜜罐类产品类的“ 能 力拔高测试 ” ,以体现相关产品在某一个功能领域的真实技术实力,并非是符合性或合规性测试 , 也不是作为某项采购入围的强制要求 。 目 录一、威胁诱捕(蜜罐)技术演变及发展历程. 1(一)蜜罐技术发展历程. 1(二)蜜罐关键技术演变. 2二、威胁诱捕(蜜罐)产品发展现状. 4(一)蜜罐技术分类. 4(二)蜜罐技术部署形态. 7三、国内威胁诱捕(蜜罐)产品市场应用现状. 11(一)威胁诱捕(蜜罐)产品国内部署现状. 11(二)威胁诱捕(蜜罐)产品能力应用现状. 12 (三)威胁诱捕(蜜罐)产品应用评价. 15四、蜜罐类产品测试情况综述. 18(一)测试基本情况. 18(二)测试环境介绍. 19(三)测试方法说明. 21(四)测试内容简介. 22五、蜜罐类产品测试结果总体分析. 23(一)交互模式支持度较为全面. 23(二)威胁情报的赋能有待加强和完善. 25(三)产品自身管理能力总体较好. 28 (四)蜜罐研发团队需加强人才投入. 30六、蜜罐类产品测试结果功能维度分析. 31(一)服务伪装功能测试结果分析. 31(二)欺骗防御功能测试结果分析. 38(三)风险分析功能测试结果分析. 45(四)风险展示功能测试结果分析. 53(五)蜜罐管理功能测试结果分析. 57(六)安全性功能测试结果分析. 65(七)性能测试结果分析. 70 七、蜜罐类产品部分特色功能验证. 72(一)基于自适应的智能化动态诱捕智信安全. 73(二)面向工控环境的蜜罐产品山东云天. 75(三)拟态构造蜜罐紫金山实验室. 79八、蜜罐类产品趋势展望. 82(一)高仿真、高交互能力持续增强. 82(二)应用场景更加广泛. 83(三)行业定制化需求进一步显现. 83 图 目 录图 1 蜜网基本体系结构图. 8图 2 蜜场技术概念图示. 9图 3 蜜标部署原理. 10图 4 企业是否选择部署威胁诱捕(蜜罐)产品. 11图 5 已部署威胁诱捕(蜜罐)产品的行业分布. 12图 6 企业部署蜜罐产品的主要目的. 13图 7 企业希望蜜罐产品覆盖的业务类型. 13图 8 企业关注的蜜罐产品溯源信息. 14图 9 企业希望蜜罐产品满足的部署方式. 15 图 10 蜜罐产品效果是否达到预期. 15图 11 蜜罐产品在攻防演练中的效果. 16图 12 蜜罐产品需增强的能力. 17图 13 企业对蜜罐产品不满意调查. 17图 14 测试网络拓扑图. 20图 15 测试现场. 21图 16 某蜜罐产品功能界面图. 24图 17 受测产品交互种类支持情况. 24图 18 某蜜罐产品功能界面图. 26图 19 受测产品威胁情报产出功能支持情况. 26 图 20 受测产品关联威胁情况功能支持情况. 27图 21 某蜜罐产品功能界面图. 28图 22 产品自身管理功能结果比例图. 29图 23 产品用户标识与鉴别功能结果比例图. 29图 24 产品响应处理功能结果比例图. 30图 25 企业研发团队情况分析. 30图 26 某蜜罐产品功能界面图. 33图 27 某蜜罐产品功能界面图. 34图 28 某蜜罐产品功能界面图. 35 图 29 某蜜罐产品功能界面图. 36图 30 某蜜罐产品功能界面图. 37图 31 服务伪装功能支持情况. 37图 32 服务伪装功能测试结果图. 38图 33 某蜜罐产品功能界面图. 40图 34 某蜜罐产品功能界面图. 41图 35 某蜜罐产品功能界面图. 42图 36 某蜜罐产品功能界面图. 43图 37 某蜜罐产品功能界面图. 43图 38 欺骗防御功能支持情况. 44 图 39 欺骗防御功能测试结果图. 45图 40 某蜜罐产品功能界面图. 47图 41 某蜜罐产品功能界面图. 47图 42 某蜜罐产品功能界面图. 48图 43 某蜜罐产品功能界面图. 49图 44 某蜜罐产品功能界面图. 50图 45 某蜜罐产品功能界面图. 51图 46 风险分析功能支持情况. 51图 47 风险分析功能测试结果图. 52图 48 某蜜罐产品功能界面图. 53 图 49 某蜜罐产品功能界面图. 54图 50 某蜜罐产品功能界面图. 55图 51 风险展示功能支持情况. 56图 52 风险展示功能测试情况. 56图 53 某蜜罐产品功能界面图. 58图 54 某蜜罐产品功能界面图. 59图 55 某蜜罐产品功能界面图. 60图 56 某蜜罐产品功能界面图. 61图 57 某蜜罐产品功能界面图. 62 图 58 某蜜罐产品功能界面图. 62图 59 某蜜罐产品功能界面图. 63图 60 蜜罐管理功能支持情况. 63图 61 蜜罐管理功能测试情况. 64图 62 安全管理能力支持情况. 66图 63 某蜜罐产品功能界面图. 66图 64 用户标识与鉴别支持情况. 67图 65 某蜜罐产品功能界面图. 67图 66 响应处理能力支持情况. 68图 67 某蜜罐产品功能界面图. 68 图 68 安全性功能测试支持情况. 69图 69 安全性功能测试情况. 69图 70 智信蜜罐架构图. 74图 71 智信蜜罐测试界面图. 75图 72 昊天工控蜜罐. 77图 73 工控蜜罐部署图. 77图 74 测试过程. 78图 75 测试过程界面. 78图 76 测试过程. 79图 77 测试结果展示. 79 图 78 拟态蜜罐架构图 1.81图 79 拟态蜜罐架构图 2.82 表 目 录表 1 蜜罐技术发展期. 2表 2 产品型蜜罐和研究型蜜罐的优缺点对比. 5表 3 不同交互度蜜罐对比. 6表 4 各企业到场测试产品情况. 18表 5 蜜罐类产品测试项目表. 22表 6 服务伪装能力组. 38表 7 欺骗防御能力组. 45表 8 风险分析能力组. 52表 9 风险展示能力组. 57 表 10 蜜罐管理能力组. 64表 11 蜜罐安全性能力组. 70表 12 性能测试项. 70 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 1 一、威胁诱捕(蜜罐)技术演变及发展历程随着网络攻击对抗升级,传统的单向边界防御技术愈发不能满足企业应对高级未知威胁的需求,蜜罐技术的出现及成熟改变了这一被动防御的局面。 蜜罐( Honeypot Technology)是一种通过工具诱骗攻击者,令安全人员得以观察攻击者行为的主动网络防御技术,其应对的不是攻击或漏洞,而是关注攻击者本身。该项技术通过欺骗诱捕打乱攻击节奏,增加攻击复杂度,给企业增加更多响应时间,并有可能对攻击者进行分析溯源从而预防攻击。 从 2015 年起 , Gartner连续四年将攻击欺骗列为最具有潜力的安全技术。主要原因包括:一是 该技术是通过欺骗或者诱骗的手段来挫败或者阻止攻击者的认知过程;二是 可自动化部署在企业防火墙后 , 利用攻击欺骗检测出已经入侵到内网的攻击者; 三是 在端点 、网络 、 应用 、 数据等不同的层面用不同的方法实现对应的攻击欺骗,从而对攻击者进行诱捕。 目前,蜜罐技术作为常见的威胁检测及欺骗防御手段,已经在国内外得到较为广泛的应用。 (一)蜜罐技术发展历程 蜜罐从概念到落地从 1998年开始 。 该技术发展初期主要是通过虚拟的操作系统和网络服务,对入侵者实施欺骗。初期蜜罐技术根据针对攻击的回应方式可以分为回应式和黑洞式,前者对攻击者的所有探测和攻击行为都予以满足和应答,后者则是完全不予应答, 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 2 如同 “ 黑洞 ” 一样吞食所有的攻击行为。现阶段,由于企业网络逐渐呈现架构高复杂化、安全报警信息海量化的特点,给欺骗防御技术即蜜罐技术在模拟对象类型、仿真精细度、自动化程度等方面提出了更高的要求。厂商和安全研究人员不断对蜜罐技术进行优化,从而逐渐形成新型蜜罐、蜜网、分布式蜜罐、分布式蜜网乃至蜜场等多种落地形态。 蜜罐的发展期可大致划分为 5个阶段:表 1 蜜罐技术发展期概念期 发展初期 完善期 市场应用期 创新发展期 新型防御思路 蜜 罐产 品DTK 发布 Spitzner 提出蜜网技术;分布式概念被引入蜜罐技术的发展 扩展并应用至工业控制系统等多个领域 基于新型攻击方式和威胁形势,结合新兴技术创新蜜罐技术1989-199 7 年 1998 年 1999 -2003 年 2004 -2020 年 2020 年-今来源: FreeBuf 咨询从蜜罐技术部署层面看,蜜罐的模拟能力已经从终端系统模拟发展到应用层模拟,具备了更高的交付能力;产品部署形态则从实体机部署变成了实体加虚拟部署两种形态,部署形式则以探针导向和流量牵引为主。 (二)蜜罐关键技术演变 完整的蜜罐涵盖 3 个核心技术点 , 即网络欺骗 ( 诱捕环境构建 ) 、监控记录 ( 监控入侵行为 ) 、 处置措施 ( 将监控获取的数据进行提取 、分析从而实现追踪溯源等目的 ) 。其中,网络欺骗是蜜罐技术体系中的核心技术,将原本假的、 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 3 非真实的、没有价值的信息伪装成看似真实、有价值的信息,从而达到欺骗攻击者的核心目的。 在 A Note on the Role of Deception in Information Protection 1中 , Cohen对欺骗的特点做了如下总结 : 一是 欺骗增加了攻击者工作量,因为他们无法轻易预测哪些攻击行为会成功,哪些会失败;二是 欺骗允许防御者追踪攻击者的种种入侵尝试并在攻击者找到防御者的真实漏洞之前进行响应;三是 欺骗消耗攻击者资源;四是 欺骗对攻击者的技能水平提出了更高要求;五是 欺骗增加了攻击者的不确定性。 由于蜜罐是通过欺骗将攻击者引入诱捕环境从而实现主动防御,因此我们可以根据欺骗的实施时间,将网络欺骗技术分为攻击前欺骗和攻击时欺骗。 攻击前欺骗主要通过仿真环境的构建来实现。传统的蜜罐一般提供单维的仿真,仿真对象包括特定的主机、服务、应用环境,其中环境仿真技术主要包括软件仿真技术、容器仿真技术、虚拟机仿真技术等: 1.软件仿真:可仿真应用软件,但交互能力相对较低;2.容器仿真:可仿真应用软件、系统软件,具备高交互能力; 3.虚拟机仿真:可仿真应用软件、系统软件及设备,具备高交互能力。 蜜罐本身基于仿真技术,但为了实现欺骗诱捕需要结合更多对1 Cohen F .Anote on the role of deception in information protectionJ. Computers & Security, 1998,17(98):483-506. IN K M, et al.An experimental evaluation to determine if port scans are precursors to anattackC/2005 International Conference on Dependable Systems and Networks (DSN05). 2005: 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 4 于业务的理解和威胁的认知,所以现阶段的蜜罐更多是提供多维仿真,即在仿真技术的基础下,通过结合真实网络环境和企业业务环境,定制环境仿真配置及相关数据,如通过端口重定向在蜜罐中模拟出一个非工作服务,在与提供真实服务主机相同类型和配置的主机上绑定虚拟服务,从而增强 “ 真实性 ” ,实现更高欺骗性。当诱捕环境构建完成,攻击者进入仿真环境,为了确认系统的真实性往往会对网络流量进行查探,因此在攻击时欺骗阶段,需要配合流量仿真技术、网络动态配置技术、重定向技术依次实现构造仿真流量、模拟正常的网络行为、使得网络状态随时间改变以及检 测到恶意数据流时进行重定向 ( 避免影响正常业务 ) 。 综合多种欺骗技术手段的蜜罐可以达到欺骗效果增强,最终诱敌深入的目的。 随着攻防对抗升级,蜜罐技术也在不断发展,将为主动防御体系带来更多的应用价值,比如: 1.通过更细粒度的业务环境模拟 , 将模拟从终端发展到应用层 、文件层; 2.结合 Al等新技术进行攻击者行为分析;3.出现拟态特征构建和动态演化技术,提升新型蜜罐的自适应能力。 二、威胁诱捕(蜜罐)产品发展现状 (一)蜜罐技术分类蜜罐技术发展到现在,已出现多种成熟的蜜罐工具。一套成熟的蜜罐系统通常由核心模块和辅助模块两部分组成:核心功能模块 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 5 是诱骗与监测攻击方的必需组件,具备构建仿真环境、捕获攻击数据以及威胁分析等功能;辅助模块是蜜罐系统扩展需求,包含系统安全风险控制、配置与管理、反蜜罐侦查等功能。 通常,蜜罐可以按照部署方式、设计标准两种方式分类。 1.按照部署方式分类按照部署方式,蜜罐可分为产品型和研究型两类。产品型蜜罐的目的在于为一个企业的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的 响应等功能。一般产品型蜜罐较容易部署,且不需要管理员投入大量的工作 。 较具代表性的产品型蜜罐包括 DTK、 honeyd 等开源工具和 KFSensor、 ManTraq 等一系列的商业产品。研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的攻击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。 表 2 产品型蜜罐和研究型蜜罐的优缺点对比产品型蜜罐 研究型蜜罐优点 易部署、易于使用 收集更多有价值信息缺点 收集信息能力有限 维护及使用较复杂目的 为企业或组织提供安全防护 收集黑客攻击信息并进行分析 来源: FreeBuf咨询2.按照设计标准分类 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 6 蜜罐还可按照交互度的等级划分为低交互蜜罐、中交互度蜜罐和高交互蜜罐 。 交互度反映了黑客在蜜罐上进行攻击活动的自由度 。低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击行为有限,因此通过低交互蜜罐能够收集的信息也比较有限。同时由于低交互蜜罐是虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹信息。因此,产品型蜜罐一般属于低交互蜜罐。 中交互蜜罐提供了更多的交互信息,但还是没有提供一个真实的操作系统。通过这种较高程度的交互,更复杂一些的攻击手段就 可以被记录和分析。中交互蜜罐是对真正的操作系统各种行为的模拟 , 在这个模拟行为的系统中 , 用户可以进行各种随心所欲的配置,让蜜罐看起来和一个真正的操作系统没有区别。 高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟。从黑客角度上看,高交互蜜罐与真实环境完全无差别,因此在高交互蜜罐中,能够获得许多黑客攻击的信息。但高交互蜜罐在提升黑客活动自由度的同时,又加大了部署和维护的复杂度并扩大了风险。所以高交互蜜罐一般都属于研究型蜜罐,近些年厂商提供的蜜罐产品或方案都倾向于此,最大程度地扭转攻防不对等的局 面。 表 3 不同交互度蜜罐对比 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 7 低交互蜜罐中交互蜜罐高交互蜜罐功能仅模拟简单的操作系统和服务模拟较为复杂的系统服务模拟真实的系统环境,为攻击者提供不受限的访问权限捕获信息量少一般丰富部署难易度简单中等复杂攻击者识别度易一般困难安全风险低较低较高 来源: FreeBuf 咨询(二)蜜罐技术部署形态在蜜罐工具软件与关键机制随着安全威胁变化而不断得到发展的同时,如何有效地 将 不同类型蜜罐技术在公共互联网或大规模业务网络中进行部署,以扩大安全威胁的监测范围并提升监测能力,成为了蜜罐技术研究的一个重要关注点。 世界蜜网项目组织( TheHoneynet Project)是信息安全领域一个著名的全球性非盈利研究联盟机构, 1999 年由著名信息安全专家 Lance Spitzner 发起创建,并 在蜜罐基础上提出 蜜网( Honeynet) 、蜜场( Honeyfarm)和蜜标( Honeytoken) 的概念 , 用以描述不同目标环境下的蜜罐部署 形态 。1.蜜网蜜网是在蜜罐技术上逐步发展起来的一个新的概念,有时也称作 “ 诱捕网络 ” 。 当多个蜜罐被网络连接在一起 , 组成一个大型虚假业务系统,利用其中一部分主机吸引攻击者入侵,通过监测入侵过 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 8 程,一方面收集攻击者的攻击行为,另一方面可以更新相应的安全防护策略 时, 这种由多个蜜罐组成的模拟网络就称为蜜网。 来源: FreeBuf 咨询图 1 蜜网基本体系结构图蜜网主要是一种研究型的高交互蜜罐技术。由于蜜网涉及到多个蜜罐之间的网络体系架构设计,同时为了提高高交互性,又会存在一些真实的业务逻辑,因此,蜜网的设计相对蜜罐来说要复杂得多。蜜网设计有着三大核心需求: 即网络控制、行为捕获和行为分析。 通过网络控制能够确保攻击者不能利用蜜网危害正常业务系统的安全;行为捕获技术能够检测并审计攻击者的所有行为数据;而 行为分析技术则帮助安全研究人员从捕获的数据中分析出攻击方的具体活动。 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 9 2.蜜场蜜场是通过代理方式扩展诱饵节点部署范围的蜜罐系统形态。在蜜场中,便于实现对实物设备的管理维护和数据集中分析,诱饵环境和监控模块往往被集中在一个固定的节点或网络中,而轻量级的代理部署在任意网络节点中,将网络攻击重定向至诱饵环境,从而减少真实诱饵节点部署数量,降低系统实现成本和运维难度。蜜场需要对代理节点处的网络流量进行判别和转发,同时兼顾通信的时效性,排除多个代理间的数据干扰。 来源: 中国信息通信研究院图 2 蜜场技术概念图示如图 2 所示 , 在蜜场体系架构中, 蜜罐系统都被集中部署于一个受控的欺骗网络环境中, 由安全专家来负责维护、管理与威胁数 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 10 据分析 。 而在业务网络中仅仅部署一些轻量级的重定向器 ,将不明身份访问者 的网络流量或者通过入侵防御系统等设备检测出的已知网络攻击会话 , 重定向迁移至蜜场环境中 , 由蜜罐系统与攻击源进行交互 , 在具有伪装性的欺骗环境中更加深入地分析这些安全威胁 。3.蜜标蜜标是一种特殊的蜜罐诱饵,它不是任何的主机节点,而是一种带标记的数字实体。它被定义为不用于常规生产目的的任何存储资源,例如文本文件,电子邮件消息或数据库记录。蜜标必须是特 有的,能够很容易与其他资源进行区分,以避免误报。 来源: 中国信息通信研究院图 3 蜜标部署原理蜜标具有极高的灵活性,可以在攻击过程的任意环节中作为诱饵或探针,利用虚假的账户或内容进行逐步诱导,并识别细粒度的攻击操作 ( 如文件读取 、 传递和扩散等 ) 。 蜜标与蜜罐的主要区别在 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 11 于可以轻量级地独立使用,也可以以探针的形式与蜜罐搭配部署。目前由于对蜜标缺乏有效的监视和控制手段,搭配部署形式更为常见,即作为其他蜜罐形态中诱饵内容的补充,辅助捕获特定的攻击行为。 三、国内威胁诱捕(蜜罐)产品市场应用现状(一)威胁诱捕(蜜罐)产品国内部署现状1.企业选择部署威胁诱捕(蜜罐)产品情况 来源: FreeBuf咨询根据调研数据整理图 4 企业是否选择部署威胁诱捕(蜜罐)产品从调研结果来看,针对威胁诱捕(蜜罐)产品的选择,有 53%的企业已经部署,还有 36%的企业计划部署。2.已部署蜜罐产品的行业分布根据调研数据,已部署威胁诱捕(蜜罐)产品的企业中, 74%为金融和政府行业 。 事实上 , 近年来为保障国家重大活动网络安全、 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 12 促进和推动国家关键信息基础设施安全防护工作,欺骗防御技术已成为蓝军对抗的利器之一,企业对于威胁诱捕(蜜罐)产品的应用需求也在不断提升。 来源: FreeBuf 咨询根据调研数据整理图 5 已部署威胁诱捕(蜜罐)产品的行业分布(二)威胁诱捕(蜜罐)产品能力应用现状1.企业部署威胁诱捕(蜜罐)产品的主要目的 来源: FreeBuf 咨询根据调研数据整理 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 13 图 6 企业部署蜜罐产品的主要目的根据调研结果, 44%的企业需要蜜罐产品 “ 提升内网风险及时感知能力 ” ,此外 , “ 提升攻防演练行动中的溯源反制能力 ” 和 “ 与安全防护设备进行防御联动 ” 也是大部分企业部署产品的主要诉求 。2.企业希望涵盖哪些业务类型的威胁诱捕 ( 蜜罐 ) 产品 来源: FreeBuf 咨询根据调研数据整理图 7 企业希望蜜罐产品覆盖的业务类型根据调研结果,大部分企业希望威胁诱捕(蜜罐)产品覆盖更多业务类型, 70%的受访者希望包括操作系统服务、 Web 网站、业务高仿真、数据库等业务类型。 3.企业最关心威胁诱捕 ( 蜜罐 ) 产品溯源获取的哪些信息 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 14 来源: FreeBuf 咨询根据调研数据整理图 8 企业关注的蜜罐产品溯源信息网络攻防本质上是攻守双方从技术、 战术和心理多方位的角逐 ,当防守方占据了先机,就要根据攻击方所表现出的行为特征采取反制措施,因此需要完整记录攻击方的操作行为,便于防守方安全人员进行分析,判断其攻击意图和下步计划。当防守方搜集到足够多攻击者信息时,能够借助基础信息库对攻击者进行追踪和溯源,这也是企业最关注的威胁诱捕(蜜罐)产品的核心能力。 调研结果显示,企业最关心的蜜罐溯源信息包括四方面,攻击者 IP 信息(真实 IP、代理 IP) 、攻击者入侵行为、攻击者社交身份信息( QQ、微信、爱奇艺等 ) 、攻击者浏览器指纹、设备等基础信息。 4.企业希望蜜罐产品满足哪些部署方式 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 15 来源: FreeBuf咨询根据调研数据整理图 9 企业希望蜜罐产品满足的部署方式随着企业业务环境变化,上云趋势加强,企业对蜜罐产品的部署需求也在变化 。 调研结果显示 , 65%的企业仍选择本地部署模式 ,还有 24%的企业希望产品满足云上部署模式。(三)威胁诱捕(蜜罐)产品应用评价1.已部署的蜜罐产品效果是否已达到预期 来源: FreeBuf咨询根据调研数据整理图 10 蜜罐产品效果是否达到预期 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 16 调研结果显示, 48%的受访对象认为蜜罐产品效果符合预期效果 , 还有 24%的企业认为其超出预期 , 另有 4%的企业认为产品没有达到预期效果,主要体现为溯源反制能力与预期效果有一定差距。 2.已部署的蜜罐产品在攻防演练中作用如何 来源: FreeBuf咨询根据调研数据整理图 11 蜜罐产品在攻防演练中的效果越来越多的企业应用蜜罐产品作为蓝军利器,在攻防演练中采用欺骗伪装来提升整体防护能力 , 改善攻防双方力量不对等的现状 。对于蜜罐产品在攻防演练中的效果,调研结果显示, 71%的企业认为其作用很大 , 另有 5%的企业由于安全团队规模小 , 缺乏人力物力部署和运维复杂蜜罐产品等原因,认为产品没什么作用。 3.蜜罐产品在后续开发中应该增强哪些能力 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 17 来源: FreeBuf 咨询根据调研数据整理图 12 蜜罐产品需增强的能力随着网络安全日常防护意识的增强和网络攻防演练的常态化展开,知己知彼成为了网络安全攻防的最大核心需求。在明确对抗重要性这一前提下,企业越发注重由被动防御转变为主动防御。调研结果显示 , 72%的企业认为蜜罐产品需增强 “ 溯源和反制能力 ” 、 “ 入侵行为分析能力 ” 及 “ 恶意样本捕获能力 ” 。4.企业对于现阶段蜜罐产品使用不满意度 来源: FreeBuf 咨询根据调研数据整理图 13 企业对蜜罐产品不满意调查 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 18 根据调研, 97%的企业用户对现阶段蜜罐产品不满意的问题主要集中在以下四个方面 : “ 溯源反制能力不足 ” 、 “ 价格高昂 ” 、 “ 部署麻烦 ” 、 “ 操作复杂 ” 。四、蜜罐类产品测试情况综述(一)测试基本情况本次蜜罐类先进网络安全能力验证评估工作在信通院安全所网络安全实验室进行,开始于 2021 年 03 月 09 日,结束于 2021 年 05月 21 日。 各参测企业提供的受测产品数量不同,如表 4 所示,普遍为一台至两台。两台设备参与测试的通常其中一台设备作为探针,另外一台设备作为安全分析和展示系统。参与测试的产品大部分采用标准 1U或 2U服务器,其中也有部分企业采用定制的专用主机。因报名参加本期蜜罐类产品测试的企业较多且测试时间有限,本次测试采用多个企业产品并行测试,且每个企业测试总时长不超过五个工作日。 表 4 各企业到场测试产品情况企业名称 简称 台数 北京永信至诚科技股份有限公司 永信至诚 2北京长亭科技有限公司 长亭科技 1烽台科技(北京)有限公司 烽台科技 1杭州默安科技有限公司 默安科技 1北京经纬信安科技有限公司 经纬信安 1北京知道创宇信息技术股份有限公司 知道创宇 1北京元支点信息安全技术有限公司 元支点 1中国科学院信息工程研究所 信工所 1江苏君立华域信息安全技术股份有限公司 君立华域 1 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 19 北京天融信网络安全技术有限公司 天融信 1北京安天网络安全技术有限公司 北京安天 2广州锦行网络科技有限公司 广州锦行 2上海观安信息技术股份有限公司 上海观安 1杭州安恒信息技术股份有限公司 杭州安恒 1广州非凡信息安全技术有限公司 广州非凡 2北京网御星云信息技术有限公司 网御星云 1北京启明星辰信息安全技术有限公司 启明星辰 1上海沪景信息科技有限公司 上海沪景 1杭州天谷信息科技有限公司 杭州天谷 1紫金山实验室 紫金山 1北京鸿腾智能科技有限公司 北京鸿腾 1网神信息技术(北京)股份有限公司 网神信息 1北京吉沃科技有限公司 北京吉沃 1 山东云天安全技术有限公司 山东云天 1北京智仁智信安全技术有限公司 智信安全 1江苏天翼安全技术有限公司 江苏天翼 1北京安域领创科技有限公司 安域领创 1北京神州绿盟科技有限公司 神州绿盟 1腾讯云计算(北京)有限公司 腾讯云 1杭州智航云安全技术有限公司 智航云安全 1北京四海图宇科技有限公司 四海图宇 1恒安嘉新(北京)科技有限公司 恒安嘉新 1北京微步在线科技有限公司 微步在线 1上海斗象信息科技有限公司 斗象科技 2来源:中国信息通信研究院(二)测试环境介绍 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 20 来源:中国信息通信研究院图 14 测试网络拓扑图蜜罐类产品以普通电子终端设备的形态部署在需要感知的网段内,用于感知内部网络攻击,告警内部受害主机;对内网威胁监控预警 ; 提供威胁事件 、 攻击链 、 攻击样本 ; 精准告警内部网络威胁 。蜜罐类产品应能够捕获攻击方的攻击行为、攻击工具,深入分析攻击方的攻击方法,判断攻击意图和动机,全面地展现安全威胁。 本次的测试环境准备了相关的恶意代码样本包,用于支持此功 能的受测产品对恶意代码样本的分析。此外,通过部署 IXIAPerfectStormONE 流量发生器模拟部分网络攻击, 但因为蜜罐类产品属于交互性较高的行为分析类产品,所以流量发生器只作为辅助测试手段。 如图 14 所示测试环境拓扑情况 , 受测产品的与交换机连接 , 所有产品管理口进行统一管理 。 受测产品需要配置 192.168.2.0 网段 IP 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 21 接入到受测网络中 。 为了保证测试结果截图的真实性 , 管理口 IP 以及其他相关采集分析设备被分配的 IP 不可以私自改变 , 在测试结果截图中应包含页面全屏,显示出管理 IP,以明确该测试截图内容为现场测试结果截图。 来源:中国信息通信研究院图 15 测试现场(三)测试方法说明本次测试包括产品功能测试、性能测试和产品自身安全测试。在功能测试方面 , 对蜜罐欺骗防御系统应具备的功能提出具体要求,包括主机行为监测 、 网络行为监测 、 失陷主机监测 、 威胁情报产出 、威胁行为的攻击链标记、日志审计等等。对满足测试内容的部分进行截图和说明,证明该产品对该测试项的满足程度。在性能测试方 面 ,对蜜罐欺骗防御系统应该达到的性能指标作出推定,例如产品 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 22 的负荷量、识别威胁的检测速率、可识别的样本库等。在自身安全测试方面 ,是对蜜罐欺骗防御系统自身安全和防护能力提出的各种要求 , 比如产品配置管理要求 、 交付与运行要求 、 开发规范要求等 。本次测试对于结果的评价,包括不支持、基本支持、支持较好和完全支持。 本次测试对于结果的评价,只针对到场测试的产品的型号、版本号。 (四)测试内容简介 蜜罐类产品技术测试方案中共涉及二十个大项、五十一个功能小项,覆盖产品的功能、性能和安全性三大方向。 表 5 蜜罐类产品测试项目表测试大项 测试小项 功能测试 服务伪装功能 总体要求网络服务仿真操作系统仿真数据库仿真Web应用仿真欺骗防御功能 伪装欺骗功能捕获监测功能威胁情报产出功能威胁行为攻击链标记风险分析功能 入侵实时分析攻击关联分析关联威胁情报样本信息展示攻击维度分析攻击事件分析攻击分析模型风险展示功能 蜜网监控分析攻击事件分析诱捕态势感知 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 23 蜜罐管理功能 节点信息节点操作镜像管理场景模板管理蜜饵管理流量重定向漏洞管理自定义拓扑图节点拓补自动生成联动功能时间校准机构管理安全性测试 安全管理 安全角色管理远程保密传输可信管理主机系统可用性监测用户标识与鉴别 用户标识身份鉴别响应处理 告警 事件记录性能测试 设备预警安全事件与安全事件发生的时间间隔安全事件的识别速度单台设备至少支持同时开启的高交互蜜罐数量蜜罐场景启动及切换设备可识别的木马家族数量攻击事件留存时间及导出捕获行为数量页面响应速度内置检测规则内置威胁情报内置 IP库内置漏洞模板 来源:中国信息通信研究院五、蜜罐类产品测试结果总体分析(一)交互模式支持度较为全面通过测试结果发现,几乎全部受测产品都能很好地支持不同的 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 24 交互类型。本次测试方案对受测产品进行了交互类型支持能力的总体要求进行了测试,测试包含的受测产品应能支持高交互、低交互两种类型的蜜罐。 来源:中国信息通信研究院图 16 某蜜罐产品功能界面图 来源:中国信息通信研究院图 17 受测产品交互种类支持情况如图 17 所示 , 受测产品中 , 只有两款产品不支持低交互的蜜罐 国内威胁诱捕(蜜罐)类产品研究与测试报告(2021 年) 25 类型 , 而高交互的蜜罐类型则 34 款产品全部支持 。 一般情况下 , 低交互蜜罐仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动为有限,因此通过低交互蜜罐能够收集的信息也比较有限。而高交互蜜罐能够提供完全真实的操作系统和网络服务 , 从攻击者角度上看没有任何的模拟痕迹 。因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息,往往偏向于攻击手段研究型蜜瓜更倾向于高交互的蜜罐部署方式。此外,受测产品中还有部分支持 “ 中交互 ” , 中交互蜜罐相低交互蜜罐虽然能够提供更多的交互信息,但仍然不是提供一个真实的操作系统。 而且中交互与低交互的功能边界不易区分,本次测试不对中交互型蜜罐作要求 。 虽然 , 高交互 、 低交互的蜜罐形式都有各自的优缺点 ,但从本次测试结果总体来看,国内蜜罐类产品在不同交互种类的支持上较为全面,为蜜罐在不同的部署需求和场景中提供了较为灵活地选择。 (二)威胁情报的赋能有待加强和完善通过测试结果发现, 仅有少数受测的蜜罐产品能够实现与威胁情报进行联动,多数产品不具备此功能或实现程度不高。本次测试 方案中,针对威胁情报在蜜罐中的应用主要包含两个方面,一方面是受测产品对于捕获收集的相关数据产出形成威胁情报的能力,包括但不限于样本
