自适应防御和欺骗式防御哪个将是未来的趋势？

近一年都在做相关的东西，因此刚好来回答下这个问题。

首先这两者都是一种安全理念，我来说说这它们最核心的区别：

自适应安全核心理念是可以根据黑客的攻击行为建立行为响应模型，动态缩小黑客攻击面，以及对资产进行全覆盖全感知的这样一种模式，本质上来说还是一种被动防御方式。

而欺骗式防御则是意图在一开始就转移黑客攻击目标，提前感知黑客威胁，属于主动防御方式。

再回答题主问题，从发展趋势上来说，这二者都是未来安全的发展方向，他们本质上并不冲突，只是自适应安全的概念性更强，具体怎么实现可能大家的理解都不一样。而欺骗式防御有一个现成的象征性产品即“蜜罐”，但传统蜜罐的缺点较多，如何在传统蜜罐的思路上玩出更多“花”来，是下一代欺骗式防御产品所要解决的问题。

至于对于甲方哪种产品更适用，针对不同的甲方业务，不同的网络结构，使用产品都可能不一样，所以这么问是无法给出回答的。

下面我来说说这两种技术未来可能发展的趋势：

1.欺骗式防御技术

当前蜜罐推广受到极大的阻碍，结合我的一些个人经验，很多人不看好蜜罐的一个最主要原因就是：

没有解决蜜罐的入口问题 — 即为什么黑客要来攻击你这个诱饵

其实在这个问题上，这些年来众多的学者也好、厂商也好，都在上面做了巨大的努力，比如：提供更具吸引性的诱饵、克隆原站业务、将蜜罐部署在主站的二级域名或同一C段、通过流量转发将攻击导入蜜罐等等。

但这些方式都只是在一定程度上提高了蜜罐对黑客的吸引力，并未根本解决蜜罐系统与主业务割离的问题，比如我要攻击百度，我直接打开 baidu.com 开始扫描，跟你的蜜罐有关系吗？没有。

默安幻阵在蜜罐入口这一问题上做出了努力，通过探针、流量引导等方式解决入口问题。但我个人觉得还是少了点感觉，没能和客户业务实现强绑定，对黑客的真实诱导能力有限。

在黑客进入内网以后，当前长亭啼听的动态内网技术，通过构建虚假节点来欺骗黑客捕获行为，这个是目前针对内网安全的一个比较好的思路，但有一个很重要的前提是，黑客已经进入了内网环境，这是很多用户不愿看到的。

解决了这个问题，才能真正的突破欺骗防御产品的枷锁，也才有后续技术发挥的条件。

另一个问题，现在的欺骗式防御产品博弈层面仍旧停留在纯技术对抗上，通过构造存在漏洞服务、系统来吸引黑客，但实际黑客的攻击面可能涉及到逻辑、信息、社工等，从攻防层面来讲是不对称的，即与攻击者交互度太弱，威胁覆盖面太窄。

除此之外，还有溯源能力不足、无效报警太多等问题，基于此我对欺骗式防御技术未来的发展方向的看法是，未来的欺骗式防御系统，应具备以下几个特征：

2.自适应安全

自适应安全发展到当下，其实已经是一个大的技术架构，从自适应安全3.0版本的架构来看，涵盖了攻击预测、攻击防御、响应和持续监控四个阶段，而“自适应”这三个字目前能够做到的在我看来也就是依据历史攻击以及当前的安全态势不断改变自身的防御策略。

很迷的一点是虽然你听过了这个概念，也大概知道想做什么，但你无法像欺骗式防御技术一样彻底搞懂这个自适应安全架构到底要怎么来搞，有什么产品能做到这一点，这对于做技术的人来说挺灾难的，而且随着自适应安全架构不断的更新，涵盖的面也越来越广，到最近后会发展成什么形态，我也说不好。

既然搞不懂主动防御技术，那我们来从国内做自适应安全的几家厂商看看他们的做法：

首先是天融信的自适应安全防御系统

天融信自适应安全防御系统通过对客户业务系统 内安全指标持续监控和分析，快速识别异常行为，启动应急模式， 激活平台实现联动，对内可为客户提供灵活高效的检测和准确实 时的数据，实现IT运维自动化；对外可集成安全行业任意产品和 服务，满足客户各种业务角色的安全需求;通过多维度、自动化的关联分析，为客户提供效果更好、效率更高、效益更佳的完整安全体系

大家看觉得像什么呢？态势感知？SOC？SIEM？似乎跟这三个产品没有太多区别

再看看腾讯的自适应安全平台

这活脱脱的就是一个云安全平台，东西还是那些东西，并没有什么改变

看了几家其他厂家的自适应安全产品，基本也是自说自话，甚至有的直接把这个概念抄一遍挂上去，可见厂家自己也没想清楚这套东西要怎么来搞。

未来自适应防御技术，我觉得还是要重点突出“自适应”三个字，否则这个架构就显得有点名不副实，几个可能的产品：

在我看来，目前最接近自适应防御这一理念的应该是邬江兴院士的拟态防御思路。

（编辑：南平站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!