Deception国外厂商产品发展（一）：illusive和Smokescreen – 作者:柚子

直接用Deception是因为国内术语各异，厂商和第三方机构都想宣传和包装自己的专业名词和定义，咱们就用Deception直截了当。美其名曰是厂商产品发展方向分析，更多可能是官网和新闻内容搬运，也不作功能细节的竞争分析，不喜轻喷。主要是想看看国外没有中国特色攻防演练的背景，Deception厂商如何做产品的迭代和演进。

illusive

概况

第一家厂商选illusive的原因很简单，他家视频和图片做得非常漂亮。视频不方便放，随手截一张官网宣传图给大家感受下。

言归正传，illusive成立于2014年，总部在以色列和纽约。资料显示，illusive的研发团队中有来自以色列国防（IDF，Israel Defense Forces）下属部队 Unit 8200的管理人员、研究人员和软件开发人员。该部队是以色列顶尖的高科技情报部门，被称为“以色列创新之心”，大量退伍士兵创办了数千家出色的高科技企业。

产品演变

Illusive成立7年，目前官网仅呈现三款产品（一定程度上还是反映了老外做精品的心态），分别是攻击检测系统（Attack Detection System，ADS）、攻击情报系统（Attack Intelligence System，AIS）和攻击面管理工具Attack Surface Manager （ASM），三款工具组成完整的主动防御体系（Active Defense Suite）。

攻击检测系统在威胁发现和检测阶段发挥作用，利用端点欺骗方法让攻击者无法实现横向移动；

攻击情报系统用于响应处置阶段，主要输出当前的攻击活动，帮助安全人员调查并作处置，比如攻击进程和正在被使用工具的屏幕快照、部署的文件、进程概要、注册表信息、活动目录详细信息以及攻击发生的时间顺序等等；

攻击面管理工具则是在事前阶段，持续发现和移除多余的凭证、连接、路径等，同时借助deception技术，发现攻击者的探测活动，并呈现所有可能发生的攻击路线图，及时切断攻击链，降低攻击者提权和内网渗透的概率。

Illusive也不是一开始就做这三款产品，而是在今年年初做了品牌升级的同时才梳理了三款新产品。原来的产品有DeceptionEverywhere、Attacker View、Advanced Ransomware Guard和Wire Transfer Guard。

DeceptionEverywhere就是我们所认知的欺骗或蜜罐系统，但它做的是agentless的端点欺骗；

Attacker View则类似BAS入侵与攻击模拟平台，从攻击者视角发现潜在的攻击链和各类风险隐患，并将攻击路径做可视化呈现；

Advanced Ransomware Guard（高级勒索软件防护）主要做的是自动识别对关键资产的勒索加密、删除和修改等行为，及时阻断勒索软件的扩散。但勒索软件的识别能力应该还是基于它本身的欺骗技术；

Wire Transfer Guard保护电汇安全的产品也同样采用欺骗技术，部署诱饵系统和数据，及时发现攻击行为，对于老旧、难以维护更新的银行系统来说，这种方式不失为比较好的解决方案。

Advanced Ransomware Guard和Wire Transfer Guard更像是deception产品的延伸，偏应用场景。完成品牌和产品线升级后，现在也能在按照行业和不同应用场景分类的解决方案中看到这两款产品的影子。

但illusive在Attacker View的基础上延伸出了Attack Surface Manager的产品，除了本身的攻击面自动发现，还依赖于deception的威胁发现功能，发现攻击者真实的探测点后才能更准确地预测攻击路径。而且攻击面管理也是近两年非常热的名词，无论是从各大咨询公司分析师提及的频率来看，还是从一些安全大厂的收购动作来看（例如Palo Alto在2020年年底宣布完成对攻击面管理公司Expanse的收购），攻击面管理无疑是全球安全市场的新热点之一。

同时illusive又发展了一款攻击情报系统，这个产品是deception平台的衍生品。攻击者踩到蜜罐，系统发现后做攻击者身份、攻击行为、进度等各类信息的分析，本身就是一个精准攻击情报的生产过程，情报再利用，帮用户做更快速的响应和处置。尽管可能限于情报的丰富程度、收集较困难、人才稀缺等原因，目前还没有看到国内Deception厂商发布情报平台，但相信他们都在默默地做自己的攻击情报库的积累。

服务

Illusive的服务包括产品部署、关键资产的发现、和其他安全产品的集成、常规安全培训和专业的安全培训，也可以提供专业安全人员一对一服务；针对攻击面管理，还可以提供专家服务，以服务方式做更为全面的攻击面发现和修复。另外，溯源取证人员也可按需提供相应服务。

最新动态

2021年illusive在友商合作方面也做了不少大动作：

Azure Active Directory——illusive对存在风险的Azure活动目录用户凭证做自动发现和删除。

Azure Sentinel——illusive把自己的攻击面数据和deception系统生成的告警传输给Azure Sentinel，Sentinel根据风险信息作出处置建议，阻止攻击者进一步入侵。

CrowdStrike——与CrowdStrike的终端保护平台或工作负载保护平台合作，根据illusive精准的威胁告警，在攻击早期阶段对受感染的终端系统做自动隔离。

CyberArk——与CyberArk的权限控制安全方案做集成，持续、自动地发现未知的权限账户，缩小攻击面，增强CyberArk的发现能力。

Palo Alto的Cortex XSOAR：Cortex XSOAR是Palo Alto2019年收购Demisto后推出的安全编排、自动化和响应平台，对威胁情报做自动分析和管理，提高事件响应速度和安全运营效率。Illusive精准的威胁告警和攻击情报信息和Cortex XSOAR这样的大运营平台结合，能够产生更大的价值。

今年4年，illusive宣布自己的主动防御体系和Microsoft Defender for Endpoint合作，抵御针对终端的真人攻击。Microsoft更是一个拥有庞大客户群体的合作伙伴。此类商业合作也值得中国厂商借鉴。

Smokescreen

第二家选Smokescreen也纯粹是“看脸”，他家官网做得看似扁平却不乏创意，Blog写得也很不错。Smokescreen成立于2015年，是一家印度的Deception厂商，在Gartner的peer insights上有4.7的高分（满分5分）。它的deception产品名为IllusionBLACK，成立6年多，只做这一款产品，但第三方数据显示员工也只有几十人，年营收170万刀（数据仅参考，不一定准确）。官网自然也没有必要罗列产品，直接放了针对web应用攻击、横向移动、勒索软件、社工等应用场景的解决方案。

它的欺骗覆盖面不只做终端，还覆盖网络层以及活动目录、云环境、电子邮件、操作系统的欺骗，还有适配各类应用场景的诱饵库；支持本地和云环境的部署；支持取证溯源。完整的服务包里面还包括独家的威胁情报、欺骗防御培训（每年在Black Hat USA上提供付费课程）以及优先享受各类福利的白金会员服务。

官网是gif，视觉效果更好

同样的市场策略，大多数国外安全厂商都很注重产品集成（很多国内甲方也越来越关注安全厂商的实际集成能力），Smokescreen也表示和很多SIEM、防火墙、EDR、威胁情报平台、SOAR等安全工具实现了即插即用的集成，官网上罗列的安全厂商有Palo Alto、Cisco、Crowdstrike、Check Point、Carbon Black、IBM、Splunk、ArcSight。

一句题外话，和其他国家之间的开放合作局面相比，中国的网络安全市场因其政治敏感性更多地形成了一种持续封闭的现状，反而是很多国外厂商的产品正在不断地通过经销商渗入中国市场，当然也跟产品本身的口碑有很大关系。

回到Smokescreen，比较有意思的是它的定价模式，在网站上回答几个问题就可以获得报价参考：

你有几个要部署deception的终端系统？（建议范围是1500-20万个，也支持范围以外的自定义填写）

你有几个地点需要部署deception？比如数据中心或主要的办公地（1到50个）

部署环境？云环境还是本地？

额外服务：独家的威胁情报、欺骗防御培训与认证、白金级别的售后支持。

选择额外服务，或者部署地点超过3个，或者终端系统在5000个以上，报价都需要填写工作邮箱；假如不需要附加的服务，我有1500个终端系统，2个或3个地点需要部署，报价是$14500/年；1500个终端，1个办公地是$7750/年；本地和云环境报价一致。但实际不用服务的可能性应该比较小。

尽管外部环境飞快变化，Smokescreen仍然坚持走一条道，坚信deception在威胁检测领域仍有不可替代的市场价值。当然它也有发展自己的威胁情报业务，除了高级威胁检测，deception对威胁情报的补充作用也是大势所趋。

其它有名的deception厂商还有Acalvio、Attivo Networks、Cymmetria、TrapX等等，咱们下回再选几家瞎叨叨。

参考来源：

illusive官网

illusive最新动态1、动态2

smokescreen官网

来源：freebuf.com 2021-04-29 23:30:40 by: 柚子