欺骗防御大讲堂|第四课：仿真管理&伪装端点 – 作者:黑豹cyd0

在了解过欺骗防御入门篇之后，相信大家对欺骗防御已经有了一个大致的了解。那么在此篇章，我们将依次介绍欺骗防御的六项重要功能，讲述如何围绕仿真度、流量控制、威胁捕捉三大要素，层层展开一项以欺骗为核心的主动防御。

仿真管理

仿真管理又可以叫做仿真沙箱管理，所以我们有必要认识一下沙箱。

Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序，允许你在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。在网络安全中，沙箱指在隔离环境中，用以测试不受信任的文件或应用程序等行为的工具。

通过概念的理解，想必能够猜出这个功能的用处所在。沙箱伪装成真实资产，部署在真实环境外围，诱惑黑客攻击，从而隔离至沙箱环境，与真实资产分开。同时，由于沙箱的独立性，管理者可以放纵攻击者的攻击行为，观察到沙箱内攻击者的活动，研究他们的技术并记录他们的行为，充分了解攻击意图，保存攻击证据。而仿真则突出的是欺骗两字，每个沙箱都是真实可见的，黑客可以通过沙箱的ip地址访问到难以分辨真实的虚拟资产。

管理者一键部署企业相关的高仿真沙箱，控制漏洞的生成，打造完美欺骗环境。

仿真沙箱系统主要包括仿真沙箱资源池模块、仿真沙箱控制器模块、攻击行为检测模块、漏洞利用检测模块、病毒样本检测模块、漏洞自定义集成等模块。

仿真沙箱资源池模块提供多种应用服务,诸如系统服务，windows等沙箱种类,保证可提供多种切合企业使用环境的沙箱,进一步保证沙箱真实度。

端点伪装

与仿真管理完全虚拟的不同，端点伪装是基于真实服务器，但是欺骗的思路确是相似的。端点伪装在真实服务器上虚拟出不存在端点，用以给攻击者创造攻击契机，然后通过此端点，再将攻击者诱导至沙箱环境。

端点伪装可以跨平台应用，支持端口转发,自定义标签,关联信息展现以及批量管理等功能。此功能开放源代码，无任何数据安全风险。它可以将攻击者的流量隔离进沙箱，沙箱是在客户网络中部署的高度模仿客户资产信息的系统，根据客户不同的需求可以仿真出客户不同的系统和不同的业务。通过在真实系统上安装伪装端点，结合业务机器的仿真服务，伪装后可以大幅度提高系统安全性。

点击视频跟随安全讲师回顾本节内容吧。

来源：freebuf.com 2021-01-01 14:43:19 by: 黑豹cyd0