昨天提到蜜罐honeypot乃至蜜網honeynet的一些問題，以及商用的Deception技術，雖然Deception還是相對較新的技術，並沒有Gartner魔力向限可供參考，但是Gartner有一篇文章”Improve Your Threat Detection Function With Deception Technologies”提供很多資料和方向，SC Magazine也測試幾家知名廠商產品寫開箱文心得，各家廠商的Deception平台/產品各具特色，互別苗頭，但是Deception產品大多有以下特點：

可擴展性
部署容易，能夠從Deception平台迅速部署大量各式蜜罐或散布各種honeytoken在網路環境中，無需另外創建VLAN，可以直接在伺服器與一般網段佈署；無需認識蜜罐種類和套件，依功能性和目的配置事先加強防護的蜜罐。

彈性
能夠從Deception平台部署不同種類高低交互式蜜罐，偽裝成各種真實的設備如Switch、伺服器、資料庫、印表機等等，在不同佈署的區域和網路環境，模擬最真實的陷阱。例如上傳一般佈署新電腦時所需要的Golden Image，讓蜜罐和一般使用者的電腦非常相似。

完整防護
Deception平台提供完整防護包含資料、端點及網路，能在Data層面 佈署Honeytoken，靜待駭客觸發警示；在Endpoint層面佈署 Lure，例如假的terminal記錄或Registry，一步步引誘駭客到蜜罐；在Network 層面佈署Decoys，當惡意網路流量觸及decoy便會回報Deception平台。

整合性
Deception平台除了接收來自各個蜜罐及honeytoken等等資訊，還提供SIEM功能，將資料集中管理，方便檢索、分析、比對，具備強大偵測能力及數位鑑識功能，可以將駭客手法完整記錄，重建入侵軌跡。同時要和現有資安設備整合，例如整合資安情資Threat Intelligence，整合IPS、NAC或次世代防火牆，在偵測辨識攻擊後，提供阻擋能力，進一步防範日後再次攻擊。

從單一的蜜罐Honeypot，複數組合的蜜網honeynet，到次世代、完整動態的Deception防禦，攻擊與防禦兩者間的爭鬥運用種種技術、手法，且看Deception技術是否能繼續進化、成熟，成為新一代的防禦利器。

「弟兄們...歡迎踏進八奇的思考領域」--《火鳳燎原》

SC Media/SC Magazine
https://www.scmagazine.com/home/