2023年国产欺骗式防御技术应用及代表性厂商分析

　　在本次报告研究中，我们通过厂商访谈等形式，从市场影响、产品化、行业应用、服务保障和创新能力5大维度，对当前市场上实际能够提供欺骗防御产品和服务的国产厂商进行了评估分析，并选取了其中具有较高应用代表性的10家厂商（排名不分先后，按首字母序排列）收录进本年度的《欺骗防御技术应用指南》。

　　网络安全的本质是攻防对抗，而对抗的本质则是攻防两端能力较量。为了扭转网络安全攻守不对等及被动防御滞后的局势，主动出击、欲擒故纵、诱敌深入的技术正在被大量应用到网络安全防御中，它们被称作欺骗式防御。随着信息安全和网络安全工作的深入开展，特别是攻防演练、情报生态的发展，基于蜜罐仿真、拟态仿真、移动目标防御的欺骗式防御技术陆续产品化并大量落地应用，弥补了传统被动式防御模式的诸多不足，也为构建主动式防御的新模式提供了更广泛的支撑和帮助。

　　为了帮助企业组织更好地应用欺骗式防御技术，发现目前较先进的国产欺骗式防御产品及技术解决方案，安全牛在第十版《网络安全行业全景图》细分领域收录基础之上，进一步开展了《2023年欺骗防御技术应用指南》报告研究工作。

　　在本次报告编写过程中，安全牛分析师通过问卷、访谈、走访等形式，综合调研了27家国内提供欺骗防御技术产品和服务的供应商，覆盖蜜罐/蜜网、移动目标防御（MTD）、拟态防御等典型欺骗式防御技术领域，并从市场影响、产品化、行业应用、服务保障和创新能力5大维度，对目前领域中的代表性厂商（见下表）进行了评估收录和特点分析。

　　4、由于新冠疫情对网络安全市场的整体影响，欺骗防御技术研发和创新在过去两年中一度趋缓。而2023年开始，由于人工智能、大模型技术的火爆应用，一定程度上推动了网络仿真技术的发展，布局智能化蜜罐、拟态蜜网、孪生网络能力的安全厂商明显增多；

　　5、本次报告对41家企业用户进行了欺骗防御技术的应用满意度调研，其中4.9%受访企业表示应用效果超出预期，7.4%的受访企业表示达到预期，53.6%的受访企业表示部分达到预期目标，而有34.1%的受访企业明确表示未能实现预期的应用效果；

　　6、中、低交互型蜜罐成熟度较高，但诱捕能力有限；高交互型蜜罐适配业务方面更灵活，但场景化要求也更强。目前，行业中的部分先进厂商蜜罐种类可达到近百种，但受到仿真能力的限制，多数品类仍属于通用型蜜罐，行业型蜜罐应用水平仍然较低；

　　7、研究发现，国产欺骗式防御技术未来将呈现情报化、协同化、简易化、自动化、智能化、行业化等发展趋势。

　　开展系统分析了解所有需要保护的信息系统情况是构建欺骗系统的第一步，其内容涉及网络结构、主机分布、系统类型、重要应用、关键数据等信息，对于防守信息系统的理解越深入，越有利于欺骗系统的构建。待保护资产将根据其位置、用途、类型和协议等进行映射，并配合流量分析引擎，将网络和资产映射为欺骗方案的一部分。

　　设置诱饵诱饵和面包屑的部署是为了提升欺骗效果而设置的，它们看起来应尽量和真实资产一样。诱饵是虚拟资产，最好的欺骗诱饵是高度接近真实生产资产的诱饵，“真实”诱饵可以是企业打算淘汰的旧系统，也可以是生产环境中的新服务器，并将它们放在相同的位置，具有相同的服务和防御。而面包屑可以是文件、数据、电子邮件等等，沿途布置一条与攻击目标有关的面包屑痕迹，能够吸引攻击者进入陷阱。

　　持续监测与动态调整能够对攻击者开展攻击监测是欺骗系统的重要作用之一，相比传统的被动式防御方法，欺骗式防御系统在攻击监测方面表现更加突出。通常情况下，欺骗系统应该在攻击每次访问或尝试访问诱饵时触发警报，并向安全团队报告受到攻击的情况，报告应该尽量全面的反映攻击的全部过程。还要注意的是，欺骗系统本身应该是动态变化的，需要伴随真实系统变化而不断进行调整。

　　了解更多欺骗防御技术应用信息，可关注即将于“安全牛商城”上架的完整版《2023年欺骗防御技术应用指南》报告。

　　ARP（AddressResolutionProtocol）地址转换协议，工作在OSI模型的数据链路层，在以太网中，网络设备之间互相通信是用MAC地址而不是IP地址，ARP协议就是用来把IP地址转换为MAC地址的。而RARP和ARP相反，它是反向地址转换协议，把MAC地址转换为IP地址。