近年來(lái)���,隨著數(shù)字化、智能化的迅速發(fā)展以及網(wǎng)絡(luò)攻防對(duì)抗技術(shù)的持續(xù)演進(jìn)升級(jí)���,攻擊呈現(xiàn)出的高隱蔽性��、強(qiáng)對(duì)抗性���、難以預(yù)判等特點(diǎn)愈發(fā)明顯���,網(wǎng)絡(luò)安全形態(tài)也逐漸呈現(xiàn)多模態(tài)特征�。
一方面��,安全對(duì)象的多模態(tài)化:安全對(duì)象的多模態(tài)指的是主機(jī)����、操作系統(tǒng)、應(yīng)用軟件����、數(shù)據(jù)庫(kù)數(shù)據(jù)�����、文件數(shù)據(jù)���、通信鏈路、身份等以及其包含的協(xié)議�����、端口�、API等關(guān)鍵對(duì)象及其屬性的不同形態(tài)特征。網(wǎng)絡(luò)安全攻防技術(shù)的發(fā)展��,是以安全對(duì)象范圍的不斷擴(kuò)大為主線的���,傳統(tǒng)的網(wǎng)絡(luò)安全對(duì)象主要是基于IP的主機(jī)�,隨著數(shù)字化時(shí)代的來(lái)臨�,網(wǎng)絡(luò)安全關(guān)注的重點(diǎn)也逐漸擴(kuò)展到流量、數(shù)據(jù)庫(kù)�����、文件、數(shù)據(jù)��、身份�����、API等��,安全對(duì)象的類型�����、屬性差異巨大����,呈現(xiàn)明顯的多模態(tài)特征。
同時(shí)�,攻擊技術(shù)的多模態(tài)化:近年來(lái)����,網(wǎng)絡(luò)攻擊技術(shù)逐漸呈現(xiàn)工具化、體系化特征��,攻擊者綜合運(yùn)用多種不同類型的網(wǎng)絡(luò)攻擊手段����,形成相互配合�����、協(xié)同工作的攻擊方式�����,以實(shí)現(xiàn)更強(qiáng)大的攻擊效果���,這些攻擊方式通常涉及不同模態(tài)的攻擊技術(shù)及攻擊手段進(jìn)行組合,旨在最大化對(duì)目標(biāo)系統(tǒng)的破壞和影響���。一些常見(jiàn)的組合攻擊方式包括:偵察與漏洞利用組合���、惡意軟件與社會(huì)工程學(xué)組合、拒絕服務(wù)與中間人攻擊組合����、密碼破解與權(quán)限提升組合、網(wǎng)絡(luò)層攻擊與應(yīng)用層攻擊組合等方式�����。可以看出�,網(wǎng)絡(luò)攻擊(過(guò)程)是一系列不同模態(tài)的攻擊動(dòng)作的組合。
現(xiàn)有的面向主機(jī)的攻擊檢測(cè)方法多采用基于規(guī)則的特征檢測(cè)方法�,再結(jié)合基于行為的檢測(cè)和分析方法后,對(duì)于已知攻擊具有較好的檢測(cè)效果�,但對(duì)于多模態(tài)組合攻擊、高隱蔽未知網(wǎng)絡(luò)攻擊檢測(cè)效果較差���。亟需有效的手段主動(dòng)發(fā)現(xiàn)�、跟蹤和溯源網(wǎng)絡(luò)攻擊���,建立面向多模態(tài)攻防特征的網(wǎng)絡(luò)安全防御體系���。
欺騙防御作為主動(dòng)防御里最為有效的手段,通過(guò)布置一些作為誘餌的主機(jī)�、服務(wù)等對(duì)象,誘使攻擊方對(duì)它們實(shí)施訪問(wèn)��、攻擊�����,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析�����,了解攻擊方所使用的工具與方法���,識(shí)別攻擊意圖�、技術(shù)手段�,從而通過(guò)技術(shù)和管理手段實(shí)現(xiàn)安全防護(hù)。傳統(tǒng)欺騙防御技術(shù)主要面向網(wǎng)絡(luò)�、主機(jī)、服務(wù)等安全對(duì)象���,依賴于靜態(tài)配置和預(yù)設(shè)的響應(yīng)規(guī)則來(lái)模擬業(yè)務(wù)或系統(tǒng)行為��,這種方式雖然能在一定程度上吸引攻擊者�����,但仿真對(duì)象單一���、部署復(fù)雜、缺乏靈活性和動(dòng)態(tài)性��,難以對(duì)多模態(tài)對(duì)象進(jìn)行仿真,難以應(yīng)對(duì)復(fù)雜多變的攻擊場(chǎng)景與攻擊技術(shù)�����,無(wú)法滿足復(fù)雜場(chǎng)景的安全防御需求��,也缺乏有效的對(duì)抗檢測(cè)機(jī)制����,主動(dòng)探查能力不足、主動(dòng)響應(yīng)能力不足���。因此�����,如何實(shí)現(xiàn)多模態(tài)威脅感知和主動(dòng)誘捕顯得尤為重要�����,可盡早發(fā)現(xiàn)潛在的攻擊威脅����,繼而展開(kāi)溯源分析和攻擊防御����。
隨著AI技術(shù)的發(fā)展,特別是多模態(tài)技術(shù)�、NLP技術(shù)、AI大模型的應(yīng)用����,為欺騙防御技術(shù)提供了多模態(tài)對(duì)象處理、自然語(yǔ)言理解�����、多模態(tài)大模型生成并進(jìn)行智能化響應(yīng)的能力�,使得欺騙防御技術(shù)能夠有效地構(gòu)建業(yè)務(wù)系統(tǒng)多模態(tài)場(chǎng)景,更加逼真地模擬真實(shí)業(yè)務(wù)或系統(tǒng)的交互過(guò)程����,從而更有效地吸引和迷惑攻擊者,能夠極大的提升誘捕能力與誘捕效率�。
一、 什么是多模態(tài)誘捕
多模態(tài)誘捕針對(duì)多模態(tài)安全對(duì)象��、多模態(tài)網(wǎng)絡(luò)攻擊�,設(shè)計(jì)多類型的仿真、誘捕和分析方法�����,并基于AI進(jìn)行有機(jī)融合來(lái)構(gòu)建面向數(shù)字化時(shí)代、復(fù)雜業(yè)務(wù)場(chǎng)景的多模態(tài)仿真及攻擊誘捕分析能力�����,以有效應(yīng)對(duì)多模態(tài)組合攻擊��、高級(jí)未知隱蔽攻擊���。多模態(tài)誘捕能夠?qū)崿F(xiàn)細(xì)粒度的精準(zhǔn)仿真和定向誘捕�����,并與傳統(tǒng)網(wǎng)絡(luò)安全�、數(shù)據(jù)安全技術(shù)能力形成協(xié)同�,構(gòu)建新型面向數(shù)字化時(shí)代的綜合運(yùn)營(yíng)體系。
二����、 多模態(tài)誘捕關(guān)鍵技術(shù)
多模態(tài)誘捕針對(duì)多模態(tài)安全對(duì)象中的每一種安全對(duì)象(單模對(duì)象)分別設(shè)計(jì)仿真、誘捕和分析方法��,實(shí)現(xiàn)面向多模態(tài)的仿真組件集合��,并基于安全對(duì)象多模態(tài)特點(diǎn),設(shè)計(jì)孿生誘捕網(wǎng)絡(luò)構(gòu)建方法����;基于網(wǎng)絡(luò)攻擊多模態(tài)特點(diǎn),設(shè)計(jì)攻擊向量識(shí)別方法����、智能編排調(diào)度方法及攻擊溯源分析方法���;并面向安全運(yùn)營(yíng)體系��,設(shè)計(jì)聯(lián)動(dòng)響應(yīng)方法��,最終實(shí)現(xiàn)檢測(cè)��、分析����、溯源����、響應(yīng)的閉環(huán),實(shí)現(xiàn)面向數(shù)字化時(shí)代的多模態(tài)網(wǎng)絡(luò)安全�、數(shù)據(jù)安全誘捕能力體系�。
多模態(tài)誘捕技術(shù)架構(gòu)如下圖所示:
多模態(tài)誘捕包括四項(xiàng)關(guān)鍵技術(shù)能力���,分別是多模態(tài)組件構(gòu)建能力����、孿生誘捕網(wǎng)絡(luò)生成能力���、智能調(diào)度與管理能力和安全分析與連接能力�。
1. 多模態(tài)組件構(gòu)建能力
多模態(tài)誘捕仿真對(duì)象不再僅僅是傳統(tǒng)的實(shí)體安全對(duì)象���,而是實(shí)體對(duì)象及其屬性的組合���,等價(jià)于在向量空間上進(jìn)行升維,首先定義實(shí)體仿真對(duì)象��,包括:人員����、主機(jī)、應(yīng)用���、數(shù)據(jù)庫(kù)���、文件等����;然后基于仿真實(shí)體對(duì)象及其流量�����、行為�、身份���、漏洞等關(guān)鍵屬性�����、關(guān)聯(lián)關(guān)系等特征�����,靈活的構(gòu)建多模態(tài)誘捕仿真對(duì)象���。
多模態(tài)誘捕仿真組件集合是面向多模態(tài)誘捕仿真對(duì)象生成的仿真實(shí)體模板集合,典型的多模態(tài)誘捕仿真組件集合包括以下類別:
(1)主機(jī)組件:主機(jī)���、服務(wù)器的仿真方法�����,高交互特性的誘捕單元����,為運(yùn)行狀態(tài)的主機(jī),包括操作系統(tǒng)�����,可以加載應(yīng)用軟件�、API組件、身份組件����、數(shù)據(jù)庫(kù)組件、文件組件�、數(shù)據(jù)流組件、文件組件�����、漏洞組件,形成交互式環(huán)境���、接口和數(shù)據(jù)流���;
(2)容器組件:服務(wù)、應(yīng)用的仿真方法�,高交互特性的誘捕單元,為運(yùn)行狀態(tài)的容器����,包括操作系統(tǒng)、服務(wù)等��,可以加載應(yīng)用軟件��、API組件��、身份組件��、數(shù)據(jù)庫(kù)組件��、文件組件����、數(shù)據(jù)流組件、文件組件�����、漏洞組件�,形成交互式環(huán)境、接口和數(shù)據(jù)流�;
(3)數(shù)據(jù)庫(kù)組件:數(shù)據(jù)庫(kù)的仿真方法,為按照數(shù)據(jù)庫(kù)類型���,構(gòu)建仿真數(shù)據(jù)庫(kù)表單����、仿真數(shù)據(jù)庫(kù)數(shù)據(jù)字段�����、數(shù)據(jù)內(nèi)容����、可加載身份組件、數(shù)據(jù)流組件����、漏洞組件�;
(4)文件組件:文件的仿真方法�����,為按照文件類型��,構(gòu)建仿真文件�,并按照真實(shí)業(yè)務(wù)文件在網(wǎng)內(nèi)的存儲(chǔ)分布特點(diǎn),進(jìn)行仿真文件的分散發(fā)布�;
(5)API組件:API的仿真方法,為可運(yùn)行的API訪問(wèn)接口���,可以加載身份組件��、漏洞組件�����,可以實(shí)現(xiàn)數(shù)據(jù)交互和訪問(wèn)���;
(6)數(shù)據(jù)流組件:數(shù)據(jù)流的仿真方法����,可管理的各種類型模擬數(shù)據(jù)流,支持設(shè)置各種應(yīng)用、協(xié)議����、端口、數(shù)據(jù)庫(kù)類型屬性���,數(shù)據(jù)內(nèi)容支持基于現(xiàn)網(wǎng)流量自動(dòng)學(xué)習(xí)生成����;
(7)漏洞組件:漏洞的仿真方法��,為按照漏洞類型�����,構(gòu)建漏洞環(huán)境�����,實(shí)現(xiàn)方法包括基于系統(tǒng)��、軟件�、應(yīng)用、中間件等對(duì)象構(gòu)建漏洞版本方法以及訪問(wèn)交互方法等���。漏洞組件包含兩種形態(tài):包含多種類型漏洞的特定版本的系統(tǒng)�、軟件、應(yīng)用��、中間件等���;以及采用訪問(wèn)交互方法基于漏洞利用攻擊訪問(wèn)�����、回包信息構(gòu)建的訪問(wèn)交互單元�����;
(8)身份組件:身份的仿真方法���,為基于主機(jī)、應(yīng)用����、數(shù)據(jù)庫(kù)等的賬戶、密碼信息的仿真�����,身份組件可以在系統(tǒng)中對(duì)仿真的其他組件進(jìn)行身份的管理�、分發(fā)、修改���,支持自動(dòng)動(dòng)態(tài)生成弱密碼��。
2. 孿生誘捕網(wǎng)絡(luò)生成能力
孿生誘捕網(wǎng)絡(luò)為吉沃科技在2023年推出的欺騙防御智能化應(yīng)用技術(shù)���,旨在通過(guò)自動(dòng)化手段,構(gòu)建智能型環(huán)境仿真�����、攻擊誘捕能力�����。多模態(tài)孿生誘捕網(wǎng)絡(luò)是多模態(tài)誘捕的核心�����,其在原孿生誘捕網(wǎng)絡(luò)能力基礎(chǔ)上進(jìn)行了擴(kuò)展����,提供如下核心能力��,包括:
(1)分布式異構(gòu)形態(tài)蜜網(wǎng)
采用自研的SDN架構(gòu)及原生虛擬化仿真底座實(shí)現(xiàn)對(duì)多模態(tài)誘捕網(wǎng)絡(luò)的仿真����,支持虛擬機(jī)仿真�����、容器仿真��、軟件仿真等不同仿真技術(shù)��、不同交互等級(jí)的多模態(tài)仿真對(duì)象分布式異構(gòu)組網(wǎng)�,在蜜網(wǎng)內(nèi)可以相互通信。支持通過(guò)虛擬機(jī)仿真技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備����、主流操作系統(tǒng)的高交互仿真;通過(guò)容器仿真技術(shù)實(shí)現(xiàn)對(duì)應(yīng)用���、服務(wù)�、數(shù)據(jù)庫(kù)等的高交互仿真���;通過(guò)軟件仿真技術(shù)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)孿生對(duì)象的模擬仿真�。孿生誘捕網(wǎng)絡(luò)它不是面向整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的數(shù)字孿生,而是面向網(wǎng)絡(luò)攻擊面的多模態(tài)仿真對(duì)象的數(shù)字孿生����,可以根據(jù)多模態(tài)仿真對(duì)象的不同選擇最匹配的仿真技術(shù)手段�����,達(dá)到資源利用率和誘捕能力的綜合效益最大化��。
(2)多模態(tài)對(duì)象實(shí)例化能力
在創(chuàng)建孿生誘捕網(wǎng)絡(luò)時(shí)���,需要先對(duì)多模態(tài)對(duì)象進(jìn)行實(shí)例化���。接收多模態(tài)數(shù)據(jù)采集單元的模型及參數(shù),調(diào)取主機(jī)��、服務(wù)����、應(yīng)用、數(shù)據(jù)庫(kù)����、文件���、API、數(shù)據(jù)流�、漏洞、身份等多模態(tài)仿真組件模板進(jìn)行實(shí)例化參數(shù)配置�����,對(duì)各實(shí)例化多模態(tài)組件根據(jù)行業(yè)特性���、業(yè)務(wù)特征等進(jìn)行組合應(yīng)用��,實(shí)現(xiàn)對(duì)各類多模態(tài)業(yè)務(wù)網(wǎng)絡(luò)仿真誘捕對(duì)象實(shí)例化的快速構(gòu)建�。
(3)多模態(tài)誘捕網(wǎng)絡(luò)構(gòu)建能力
生成業(yè)務(wù)網(wǎng)絡(luò)的多模態(tài)孿生誘捕網(wǎng)絡(luò)時(shí)�,基于網(wǎng)絡(luò)空間探測(cè)引擎對(duì)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行測(cè)繪的結(jié)果,送模式識(shí)別引擎與多模態(tài)組件仿真模板�����、多模態(tài)仿真對(duì)象進(jìn)行擬合�����,輸出最優(yōu)的孿生誘捕網(wǎng)絡(luò)初始化參數(shù)和拓?fù)淠P停褂梅植际疆悩?gòu)形態(tài)蜜網(wǎng)技術(shù)創(chuàng)建多模態(tài)數(shù)字孿生網(wǎng)絡(luò)���,來(lái)實(shí)現(xiàn)基于業(yè)務(wù)網(wǎng)絡(luò)特性和網(wǎng)絡(luò)攻擊面的多模態(tài)孿生誘捕網(wǎng)絡(luò)的快速創(chuàng)建�����。
3. 智能調(diào)度與管理能力
多模態(tài)誘捕智能調(diào)度與管理實(shí)現(xiàn)仿真誘捕的集成管理功能�����,包括多模態(tài)仿真組件管理、多模態(tài)數(shù)據(jù)采集����、自適應(yīng)擬態(tài)調(diào)度、AI專項(xiàng)模型等主要能力���。
(1)多模態(tài)數(shù)據(jù)采集���、范式化能力
通過(guò)與網(wǎng)絡(luò)空間探測(cè)單元等進(jìn)行聯(lián)動(dòng)、人工導(dǎo)入等方式采集業(yè)務(wù)網(wǎng)絡(luò)�����、設(shè)備、主機(jī)����、服務(wù)、應(yīng)用�����、數(shù)據(jù)庫(kù)��、文件���、人員等全要素多模態(tài)安全對(duì)象的靜態(tài)���、動(dòng)態(tài)數(shù)據(jù),進(jìn)行數(shù)據(jù)清洗�、范式化,構(gòu)建多模態(tài)業(yè)務(wù)網(wǎng)絡(luò)和對(duì)象模型及參數(shù)特征���;采集漏洞掃描��、攻擊面管理等單元的系統(tǒng)脆弱性數(shù)據(jù)構(gòu)建多模態(tài)業(yè)務(wù)網(wǎng)絡(luò)脆弱性模型及參數(shù)特征����,采集安全設(shè)備、威脅情報(bào)等單元的告警數(shù)據(jù)構(gòu)建動(dòng)態(tài)網(wǎng)絡(luò)攻擊模型及參數(shù)特征���。
(2)多模態(tài)誘捕網(wǎng)絡(luò)自適應(yīng)擬態(tài)能力
設(shè)計(jì)仿真智能編排引擎�,通過(guò)集成���、編排和調(diào)度不同多模態(tài)仿真對(duì)象�,將各個(gè)孤立的調(diào)度操作關(guān)聯(lián)起來(lái)�,基于多源攻擊數(shù)據(jù)動(dòng)態(tài),自動(dòng)執(zhí)行復(fù)雜的仿真編排調(diào)度流程�����,實(shí)現(xiàn)對(duì)誘捕策略的動(dòng)態(tài)調(diào)整和對(duì)網(wǎng)絡(luò)攻擊的快速響應(yīng)�;同時(shí)�����,設(shè)計(jì)多模態(tài)對(duì)象有效性度量模型�,通過(guò)實(shí)時(shí)接收的安全設(shè)備、威脅情報(bào)等單元的告警數(shù)據(jù)��,結(jié)合誘捕網(wǎng)絡(luò)攻擊誘捕結(jié)果�,采用AI智能算法對(duì)多模態(tài)對(duì)象的檢測(cè)績(jī)效進(jìn)行評(píng)估����,給出誘捕網(wǎng)絡(luò)最優(yōu)績(jī)效調(diào)整方案����,發(fā)送給調(diào)度引擎進(jìn)行各多模態(tài)對(duì)象的動(dòng)態(tài)調(diào)整,實(shí)現(xiàn)面向?qū)崟r(shí)攻擊狀態(tài)的仿真誘捕網(wǎng)絡(luò)的自適應(yīng)擬態(tài)重構(gòu)。
4. 安全分析與連接能力
多模態(tài)誘捕設(shè)計(jì)安全分析和溯源功能�,同時(shí)面向網(wǎng)絡(luò)安全攻防場(chǎng)景,設(shè)計(jì)多種單模形態(tài)�、多模形態(tài)組合的安全能力接口,與網(wǎng)絡(luò)安全�����、數(shù)據(jù)安全�����、應(yīng)用安全�、身份安全等防御設(shè)備進(jìn)行連接,實(shí)現(xiàn)特定安全場(chǎng)景的防護(hù)能力及綜合安全防護(hù)能力�����。
(1)攻擊分析溯源能力
多模態(tài)孿生誘捕網(wǎng)絡(luò)原生支持攻擊監(jiān)控和采集能力����,通過(guò)對(duì)采集的攻擊行為進(jìn)行全方位��、多維度監(jiān)控和分析��,基于ATT&CK模型�,對(duì)攻擊階段及攻擊技術(shù)進(jìn)行識(shí)別�����,實(shí)現(xiàn)攻擊鏈繪制����,提供攻擊過(guò)程的還原和多維度的攻擊者畫像展示。多模態(tài)孿生誘捕網(wǎng)絡(luò)具有更高的仿真度���,通過(guò)在孿生誘捕網(wǎng)絡(luò)里的攻擊路徑上預(yù)設(shè)WEB反制、掃描反制��、蜜標(biāo)反制等反制手段��,主動(dòng)獲取攻擊者主機(jī)或者網(wǎng)絡(luò)的信息��,支持更準(zhǔn)確的定位攻擊者的身份�,提供更精準(zhǔn)的溯源��。
(2)安全連接能力
基于多模態(tài)誘捕單元捕獲的攻擊行為和攻擊數(shù)據(jù)���,實(shí)現(xiàn)攻擊向量特征輸出、攻擊載荷提取����、標(biāo)準(zhǔn)格式內(nèi)生威脅情報(bào)生產(chǎn)、攻擊者TTP畫像輸出等����,提供面向網(wǎng)絡(luò)安全設(shè)備、數(shù)據(jù)安全設(shè)備��、身份管理設(shè)備的多模態(tài)安全防護(hù)策略���,與各種安全設(shè)備進(jìn)行連接���,實(shí)現(xiàn)自動(dòng)化響應(yīng)能力,快速對(duì)攻擊進(jìn)行響應(yīng)��,降低攻擊對(duì)真實(shí)資產(chǎn)可能造成的影響��,實(shí)現(xiàn)自動(dòng)化防護(hù)閉環(huán)����。
三��、 多模態(tài)誘捕的核心價(jià)值
多模態(tài)誘捕在實(shí)踐應(yīng)用中�,實(shí)現(xiàn)了以下核心價(jià)值:
1. 多模態(tài)誘捕實(shí)現(xiàn)了面向數(shù)字化時(shí)代的欺騙誘捕
多模態(tài)誘捕打破傳統(tǒng)蜜罐僅適用網(wǎng)絡(luò)安全場(chǎng)景���,僅能對(duì)傳統(tǒng)網(wǎng)絡(luò)����、設(shè)備���、服務(wù)等進(jìn)行仿真���、誘捕的現(xiàn)狀,多模態(tài)誘捕可以提供對(duì)更多不同類型的對(duì)象進(jìn)行誘捕��,實(shí)現(xiàn)面向數(shù)字化時(shí)代數(shù)據(jù)安全風(fēng)險(xiǎn)場(chǎng)景的仿真��、誘捕���,進(jìn)行數(shù)據(jù)異常行為分析、提供數(shù)據(jù)風(fēng)險(xiǎn)線索����、證據(jù)��,與數(shù)據(jù)安全產(chǎn)品對(duì)接�����,全面融入數(shù)據(jù)安全管控體系����,提供面向數(shù)字化時(shí)代的欺騙誘捕能力����。
2. 多模態(tài)誘捕實(shí)現(xiàn)了面向復(fù)雜場(chǎng)景的高效誘捕防護(hù)
多模態(tài)誘捕將多種誘捕能力進(jìn)行融合,能夠更逼真����、更靈活的仿真各種復(fù)雜業(yè)務(wù)場(chǎng)景,實(shí)現(xiàn)對(duì)多模態(tài)網(wǎng)絡(luò)攻擊向量�����、組合策略���、業(yè)務(wù)系統(tǒng)漏洞的分析能力�,能夠有效地捕獲多模態(tài)組合攻擊、未知攻擊����,并彌補(bǔ)了目前欺騙防御對(duì)于數(shù)據(jù)對(duì)象和攻擊缺乏有效誘捕能力的關(guān)鍵技術(shù)短板和業(yè)務(wù)應(yīng)用的空白,提供面向復(fù)雜網(wǎng)絡(luò)場(chǎng)景的高效誘捕防護(hù)��。同時(shí)�,多模態(tài)誘捕技術(shù)也可以基于單模特性,實(shí)現(xiàn)某一特定領(lǐng)域的定向誘捕��,例如API安全定向誘捕���、漏洞利用定向誘捕等�����,可以實(shí)現(xiàn)輕量化的部署和應(yīng)用���,更靈活的適配專項(xiàng)數(shù)據(jù)安全場(chǎng)景,與數(shù)據(jù)安全產(chǎn)品�����、技術(shù)配合,形成專項(xiàng)防御能力��。
3. 多模態(tài)誘捕大幅提升了產(chǎn)品部署����、應(yīng)用效率
目前市場(chǎng)上欺騙防御產(chǎn)品應(yīng)用受限于環(huán)境貼合度不高�、誘捕效能較低、部署難度大等困境���,制約了欺騙防御產(chǎn)品的進(jìn)一步推廣與應(yīng)用�。多模態(tài)誘捕基于AI技術(shù)��,在環(huán)境高逼真仿真及運(yùn)維智能化��、自動(dòng)化方面作出了一些積極的探索與應(yīng)用��,同時(shí)積極地推進(jìn)與目前安全運(yùn)營(yíng)體系融合�����,擺脫主動(dòng)防御體系只能作為一個(gè)安全運(yùn)營(yíng)體系的外掛技術(shù)的尷尬局面�,大幅提升了蜜罐的誘捕能力、場(chǎng)景適應(yīng)能力����、以及與安全產(chǎn)品特別是數(shù)據(jù)安全產(chǎn)品的聯(lián)動(dòng)能力����,從而大幅提升技術(shù)應(yīng)用的經(jīng)濟(jì)效益�����。
四��、 未來(lái)展望
隨著人工智能時(shí)代的來(lái)臨�����,網(wǎng)絡(luò)安全的攻防對(duì)抗也逐漸向基于AI的對(duì)抗演進(jìn)�����。攻防對(duì)抗越來(lái)越智能化�����、自動(dòng)化���、多模態(tài)化����。面向業(yè)務(wù)網(wǎng)絡(luò)的脆弱性細(xì)節(jié),多種模態(tài)的攻擊向量快速構(gòu)建�����、攻擊嘗試迅速迭代��,傳統(tǒng)的安全防護(hù)體系����、人工運(yùn)維模式在檢測(cè)能力���、防護(hù)能力���、防護(hù)效率方面都完全無(wú)法應(yīng)對(duì),已經(jīng)完全不是一個(gè)量級(jí)的對(duì)抗�����。未來(lái)的防護(hù)體系必然也是以AI為核心��,將所要防護(hù)的業(yè)務(wù)體系構(gòu)建成為多模態(tài)的主動(dòng)防御“有機(jī)體”�����,將檢測(cè)體系、誘捕體系�����、防護(hù)體系融合構(gòu)建“免疫體系”�,人在其中的作用已經(jīng)成為實(shí)際操作者轉(zhuǎn)化為 “免疫體系”養(yǎng)成者。多模態(tài)誘捕提供攻擊的自動(dòng)化誘捕和分析��,將成為“免疫系統(tǒng)”的核心能力����,在攻擊主動(dòng)誘捕、攻擊溯源定位����、威脅情報(bào)應(yīng)用、威脅聯(lián)動(dòng)防御等關(guān)鍵安全運(yùn)營(yíng)環(huán)節(jié)�,發(fā)揮重要作用。
