2023年國產欺騙式防御技術應用及代表性廠商分析

2023-09-27 12:35:39

在本次報告研究中，我們通過廠商訪談等形式，從市場影響、產品化、行業應用、服務保障和創新能力5大維度，對當前市場上實際能夠提供欺騙防御產品和服務的國產廠商進行了評估分析，并選取了其中具有較高應用代表性的10家廠商（排名不分先后，按首字母序排列）收錄進本年度的《欺騙防御技術應用指南》。

網絡安全的本質是攻防對抗，而對抗的本質則是攻防兩端能力較量。為了扭轉網絡安全攻守不對等及被動防御滯后的局勢，主動出擊、欲擒故縱、誘敵深入的技術正在被大量應用到網絡安全防御中，它們被稱作欺騙式防御。隨著信息安全和網絡安全工作的深入開展，特別是攻防演練、情報生態的發展，基于蜜罐仿真、擬態仿真、移動目標防御的欺騙式防御技術陸續產品化并大量落地應用，彌補了傳統被動式防御模式的諸多不足，也為構建主動式防御的新模式提供了更廣泛的支撐和幫助。

為了幫助企業組織更好地應用欺騙式防御技術，發現目前較先進的國產欺騙式防御產品及技術解決方案，安全牛在第十版《網絡安全行業全景圖》細分領域收錄基礎之上，進一步開展了《2023年欺騙防御技術應用指南》報告研究工作。

在本次報告編寫過程中，安全牛分析師通過問卷、訪談、走訪等形式，綜合調研了27家國內提供欺騙防御技術產品和服務的供應商，覆蓋蜜罐/蜜網、移動目標防御（MTD）、擬態防御等典型欺騙式防御技術領域，并從市場影響、產品化、行業應用、服務保障和創新能力5大維度，對目前領域中的代表性廠商（見下表）進行了評估收錄和特點分析。

圖片

報告關鍵發現

1、根據本次報告的調研數據測算，2022年我國欺騙防御技術的市場規模約為10.6億元人民幣，同比增長28.7%。其中，蜜罐/蜜網類技術（產品）的市場規模約為7.5億人民幣，同比增長21.9%，MTD技術的市場規模約為2.6億人民幣，同比增長29.7%；

欺騙防御技術市場發展預測

2、國內欺騙防御技術的應用和發展主要呈現以下特點：

實戰化背景下的攻防演練活動是欺騙防御技術應用發展的主要驅動因素之一；
組織對欺騙防御技術的采購意愿多是由非合規性的安全事件驅動；
組織對欺騙防御技術的應用訴求多以攻擊誘捕和溯源反制為主；
在技術和產品的成熟度方面，已達到相對穩定的可應用狀態。

3、截至目前，國內欺騙防御技術的應用規模相比傳統檢測防御技術仍然較小，但隨著實戰化攻防演練活動的持續開展，黨政、金融、運營商、能源、軍工行業等行業的企業組織對欺騙防御技術的應用需求正在呈現快速增長態勢，占整個欺騙防御市場份額的68%；

欺騙防御市場行業分布

4、由于新冠疫情對網絡安全市場的整體影響，欺騙防御技術研發和創新在過去兩年中一度趨緩。而2023年開始，由于人工智能、大模型技術的火爆應用，一定程度上推動了網絡仿真技術的發展，布局智能化蜜罐、擬態蜜網、孿生網絡能力的安全廠商明顯增多；

5、本次報告對41家企業用戶進行了欺騙防御技術的應用滿意度調研，其中4.9%受訪企業表示應用效果超出預期，7.4%的受訪企業表示達到預期，53.6%的受訪企業表示部分達到預期目標，而有34.1%的受訪企業明確表示未能實現預期的應用效果；

6、中、低交互型蜜罐成熟度較高，但誘捕能力有限；高交互型蜜罐適配業務方面更靈活，但場景化要求也更強。目前，行業中的部分先進廠商蜜罐種類可達到近百種，但受到仿真能力的限制，多數品類仍屬于通用型蜜罐，行業型蜜罐應用水平仍然較低；

7、研究發現，國產欺騙式防御技術未來將呈現情報化、協同化、簡易化、自動化、智能化、行業化等發展趨勢。

應用與挑戰

相比傳統的威脅檢測手段，欺騙防御技術可以實現精準的威脅誘捕、攻擊檢測，避免漏洞探測和利用，為網絡安全構建“防患于未然”的主動安全體系。在政策引導和產學研融合的助推下，近幾年國內欺騙防御市場的技術推廣、產品化、應用場景、行業覆蓋等方面的能力都有不同程度的擴展。

圖欺騙防御技術應用狀況

調研發現，欺騙式防御技術在落地應用中的主要挑戰包括：

欺騙式防御技術的部署有較高的技術門檻，需要運維人員對虛擬化、網絡系統有一定的理解；
實時變化的動態場景對仿真及誘捕策略配置有較高要求；
溯源及反制能力不足，部署成本較高，且存在一定的合規風險；
欺騙防御難以與傳統安全防護體系形成很好的協同。

在企業部署應用欺騙防御系統時，可以參考以下步驟建議：

開展系統分析了解所有需要保護的信息系統情況是構建欺騙系統的第一步，其內容涉及網絡結構、主機分布、系統類型、重要應用、關鍵數據等信息，對于防守信息系統的理解越深入，越有利于欺騙系統的構建。待保護資產將根據其位置、用途、類型和協議等進行映射，并配合流量分析引擎，將網絡和資產映射為欺騙方案的一部分。
設置誘餌誘餌和面包屑的部署是為了提升欺騙效果而設置的，它們看起來應盡量和真實資產一樣。誘餌是虛擬資產，最好的欺騙誘餌是高度接近真實生產資產的誘餌，“真實”誘餌可以是企業打算淘汰的舊系統，也可以是生產環境中的新服務器，并將它們放在相同的位置，具有相同的服務和防御。而面包屑可以是文件、數據、電子郵件等等，沿途布置一條與攻擊目標有關的面包屑痕跡，能夠吸引攻擊者進入陷阱。
部署欺騙組件欺騙組件的部署情況直接決定欺騙系統的成敗，需要注意的，一是要講究策略，結合第一步系統分析的結果，從攻擊者的視角出發考慮問題；二是要注意欺騙組件和現有系統的融合，避免孤立的使用欺騙技術和組件；三是盡量采用自動化的方法進行部署，以確保準確部署和后續的擴展性。
持續監測與動態調整能夠對攻擊者開展攻擊監測是欺騙系統的重要作用之一，相比傳統的被動式防御方法，欺騙式防御系統在攻擊監測方面表現更加突出。通常情況下，欺騙系統應該在攻擊每次訪問或嘗試訪問誘餌時觸發警報，并向安全團隊報告受到攻擊的情況，報告應該盡量全面的反映攻擊的全部過程。還要注意的是，欺騙系統本身應該是動態變化的，需要伴隨真實系統變化而不斷進行調整。