从三份报告看欺骗防御的市场发展 – 作者:默安科技

云舒在他去年写的《欺骗防御未来已来》一文中提到，“欺骗防御是传统APT检测产品、下一代防火墙产品的盟友，三者将会一起壮大这个市场。未来不局限于企业内网和云，更会扩展到IoT安全、工控安全等多个领域。这样的壮大，会在2022年之前到来。”他的预测似乎与越来越多市场分析机构的研究结果不谋而合。

01 Gartner2020年安全运营技术成熟度曲线

在Gartner2020年安全运营技术成熟度曲线报告中，分析师将“欺骗平台”这项技术放在了“期望膨胀期”，并将目前的成熟度定义为“青春期”，预计该技术会在5至10年后达到完全成熟。

图源：Gartner

 尽管分析师的预期相对来说更为保守，但国内外专家感受到的趋势是一致的，无论是5年还是3年，这样的局面早晚都会到来。

Gartner分析师认为欺骗平台市场作为对传统威胁检测方案的宝贵补充，一直保持缓慢但稳定的增长。欺骗系统能够满足不同类型的客户需求，例如，成为中型企业唯一的威胁检测系统（尽管这样的应用还是比较少见），或在安全体系更加成熟的组织中增强原有的检测能力（更为常见）。另外，由于技术架构的限制，日志不可用或无法部署代理/传感器的ICS/SCADA环境、物联网架构下的医疗机构、关键基础设施单位等都是欺骗平台的潜在客户。

如果是没有上过SIEM之类的低安全成熟度单位能够在欺骗平台中获得价值；已配备SIEM、EDR和NDR等方案的中成熟度组织可以将欺骗平台视为检测攻击者横向移动的补充；高成熟度单位则可以发挥欺骗平台生成本地威胁情报等高级应用场景的作用。

02 Mordor Intelligence的市场分析

 今年3月，Mordor Intelligence这家成立于2014年、总部位于印度海德拉巴的市场分析机构发布了专门针对欺骗技术市场的分析与预测——《Deception Technology Market – Growth, Trends, and Forecast (2020 – 2025)》。2019年欺骗技术市场估值11.9亿美金，预计到2025年将达到24.8亿美元，2020年至2025年的预计年复合增长率为13.3％。报告中分析了欺骗防御市场容量不断扩大的主要原因。

欺骗技术是一类高级安全解决方案，通过故意混淆、错误响应和误导等实现对高级威胁的检测和防御。由于网络威胁的不断升级，检测和缓解高级威胁的需求也越来越迫切，这样的大环境促进了欺骗技术市场的扩容。

一般的安全工具能够有效发现异常行为，但对这些异常情况的影响和潜在风险却一无所知，而且不断产生的误报耗费了安全团队大量的精力，造成资源浪费的同时更容易忽视真实存在的威胁。通过改变攻防的不对称性，欺骗技术可以帮助安全团队将精力集中在真实的威胁上。过去的五年中，这样的场景是欺骗技术得以发展和成长的主因。

当前，很多欺骗方案已将AI和机器学习（ML）内置到其核心功能中，不仅确保了欺骗的灵活性，而且还可以避免陷入不断创建欺骗组件的繁杂工作中，减少运营开销和对安全团队的影响。

另外，该报告中还值得关注的一点是，在其“关键市场趋势”中提到国家政府是驱动欺骗市场快速扩张的主要因素。这一观点在国内外的安全市场中都得到了印证。

首先，欺骗技术为政府组织建立了实现主动防御的基础，在网络威胁的早期阶段就做到准确检测和快速响应。美国国家标准与技术研究所（NIST）认识到采用欺骗手段来保护关键信息的重要性，于2019年将其纳入SP 800-160和800-171b草案中。

其次，各国政府对高级持续性威胁（APT）攻击的热衷以及政府或相关监管机构对网络犯罪的侦察需求也是为欺骗市场增长带来了机遇。2019年4月，英国国家警察局长委员会（NPCC）宣布了英国政府对国家网络犯罪计划的数百万英镑投资，英格兰和威尔士的每个警察部队都将设立专门的网络犯罪部门。

03 Industry Research研究成果

Industry Research认为在2019年至2024年的预测期内，欺骗技术市场的年复合增长率预计为14.9％。与Mordor Intelligence的13.3%接近，但相对来说更为乐观。

市场扩容的主要原因包括：全球数据泄露和网络攻击的事件数量不断增加，需要能够抵御和应对此类攻击的先进安全基础架构。而且目前很多安全工具在告警方面的能力表现欠佳，欺骗技术是能够巧妙绕过这一难题的方案之一。类似的解决方案到未来5年也不会很多。

04 默安科技推出下一代欺骗防御方案

欺骗防御的市场前景普遍被看好，但是如何在复杂的安全市场中选择一套效果理想的欺骗防御方案往往是摆在需求方面前的大难题。作为国内率先将欺骗防御理念成功落地的新兴安全厂商，默安科技的安全专家在服务数百家用户的实践中发现了欺骗防御目前遇到的一些明显挑战：

盲 点

当前国内欺骗防御产品存在一定的局限性，一般高交互环境覆盖10%到20%的业务，如果攻击者直接对真实的IP、端口发起攻击，而不发起扫描时，当前的欺骗防御解决方案是难以捕捉的。

效 果

当下的欺骗防御要产生效果，非常依赖于攻击者的触碰，所以提高诱捕率最简单的办法就是扩大欺骗防御的节点。

资 源

随着资产量级的上升，部署维护成本会成倍上升，而蜜罐的高交互性决定了扩展欺骗防御节点的成本非常高，并且要求具备很强的技术功底。

默安的下一代欺骗防御解决方案，通过灵活快速安全地部署欺骗节点，随时随地给攻击者呈现一个完全不同的网络结构，让企业的网络如同一个不断生长的有机生命体，从而构造出“黑洞级网络攻击引力场”。

基于纵深欺骗，耗尽攻击者的时间和精力

通过全方位的纵深欺骗防御，虚拟出完全的高交互欺骗环境，模拟边缘业务攻击面、企业数据攻击面、以及业务逻辑攻击面等，让攻击者深挖攻击面持续渗透，却无法看到真实企业网络环境，从而消耗攻击者的时间和精力。

情报与反情报联动

外部威胁情报输入，作为动态欺骗网络编排依据之一；内部自生TTPS威胁情报，对智能安全运营中心输出；从早期攻击者信息收集阶段开始散布虚假情报，让攻击者陷入动态欺骗网络。

攻击溯源与攻击反制

通过攻击者指纹、身份识别，以及虚拟文件执行控制等方式，最大程度溯源攻击者信息，对攻击者形成极大威慑。

完全旁路部署模式，不影响企业自身业务

通过旁路流量分发技术和无代理技术虚拟出大量欺骗防御节点，极大程度地增加欺骗防御的覆盖面，同时整体部署方案完全旁路，不会影响企业任何正常业务。

参考链接：http://suo.im/6dmoIc；http://suo.im/5JmalE

来源：freebuf.com 2020-07-23 15:12:06 by: 默安科技