Gartner 每年都会召开面向 CISO、首席风险官、安全架构师等高级 IT 和安全人员的安全与风险管理峰会，同时发布趋势性研究成果和细分领域的专题演讲，备受关注，是安全行业的风向标会议之一。今年Gartner的峰会也因为全球疫情局势，选择以线上形式举办。

会上，欺骗防御占据了专题演讲的一个席位，其重要性可见一斑。主讲人是职级为Sr Director Analyst的Pete Shoard，主要研究威胁检测与响应方向相关的技术及服务，包括MDR、漏洞管理服务，SIEM、UEBA及欺骗防御。

Pete Shoard认为安全的本质就是battle（实战对抗），而且我们不知道对手是谁。所以运用孙子兵法之类的战术来尽可能地争取为自己争取有利的局面很有必要。很多海外安全人士讲起Deception，经常会把孙子兵法奉为欺骗防御战术的圭臬。Deception有两种形态，一种是dissimulation（掩饰和隐藏），比如利用加密和脱敏技术，让别人找不到信息；还有一种是simulation（模拟），也就是放出一些误导性的信息，这也是我们今天要说的重点，所谓的欺骗防御。

欺骗防御的工作机制

这张图非常精简地概括了欺骗防御的工作原理，诱饵的生成需要基于实际的用户环境和已有的IT标准，一旦发现有人落入陷阱，同样也要再做一次分析，对攻击活动作出判断，最后对检测到的威胁进行响应，整个流程相对来说是闭环且缜密的。当然这里所说的诱饵也包含了多种类型。Pete也对诱饵类型作了详细的举例和解释。

Pete Shoard认为欺骗技术部署速度快，尤其是部署网络层的诱饵（难度低于终端层和数据层，且数据层诱饵的部署难度最大），而且误报率极低也是公认的优势。但分析师同样从自身职业的视角，为潜在的市场用户指出了引用欺骗技术时的注意事项。

Pete在这里用了一个生动形象的比喻：把停车场比作IT基础设施，汽车就是其中的资产。右上角是预留的空车位。其中，白色的车是诱饵。如果你只用了Deception这一种防御方法，那么其它车就完全是裸奔状态。3辆假车能够骗到小偷或者攻击者的概率只有8%（共36辆）。当然我们可以增加这3辆车的诱惑性，放置豪车或停在没有摄像头或者光线较差的位置，但它的防护面还是有限的，所以还是需要考虑其它的安全防御手段。欺骗防御不是任何威胁检测方案的替代品，它可以是构建安全体系的起点，也可以是现有体系的力量倍增器。

欺骗工具可能会因为方案设计不够准确，引来一些“不速之客”。有人可能只是为了技术研究，在做测试的过程中由于好奇心的驱使，落入陷阱；有的内部员工也同样可能会被简单的诱饵迷惑，出现因为经不住诱惑而产生的行为。他们的初始动机并非恶意攻击。因此在欺骗防御中，判断一个潜在目标的动机非常重要。

低端诱饵容易被有经验的对手一眼识破，但还是能够命中一部分低水平的攻击者。而高交互诱饵能和攻击者产生有效互动，有利于收集和积累攻击情报，但高交互诱饵非常考验设计和开发者的能力，既要真实，又要确保不会被攻击者利用，获得一个触及真实资产的跳板。

传统的威胁检测体系（SIEM/EDR）离不开4种基础技术：签名、规则、关联、分析。但欺骗防御和它们的关系是相对独立的。

5种技术在不同威胁检测工具中的应用情况

5种技术各有利弊，详见下表。

Pete Shoard罗列了4种欺骗防御的典型应用场景：物联网、SCADA、医疗等因为技术限制很难应用其它检测手段的行业、反间谍活动、发现内鬼威胁以及成熟度更高的攻击情报的收集与分析，反哺防御体系。

对于威胁检测还是一张白纸的用户来说，欺骗防御因其部署的简便性和低误报可以成为入门首选。但这只是第一步，更加完善的安全体系还是应该逐步完善。当然，对于已经在安全方面做了足够工作的单位来说，欺骗防御又是一种另辟蹊径的方法，是对现有安全检测体系的有力补充。此外，Deception技术本身是不存在防御能力的，因此一旦发现威胁，还应具备攻击情报的收集分析、威胁的响应与缓解能力等等。