什么是Ehoney

e签宝安全团队积累十几年的安全经验，都将对外逐步开放，首开的Ehoney欺骗防御系统，该系统是基于云原生的欺骗防御系统，也是业界唯一开源的对标商业系统的产品，欺骗防御系统通过部署高交互高仿真蜜罐及流量代理转发，再结合自研密签及诱饵，将攻击者攻击引导到蜜罐中达到扰乱引导以及延迟攻击的效果，可以很大程度上保护业务的安全。护网必备良药。

什么是欺骗防御

《孙子兵法》说，兵者，诡道也。从古至今，欺骗技术就作为战场上一种积极防御策略被一直使用。而网络欺骗技术，就是信息安全战场上防御者的“诡计”。Gartner在2016年安全与风险管理峰会的10大信息安全技术中，就提出了欺骗技术，Gartner对网络欺骗技术的定义为：使用骗局或者假动作来阻挠或者推翻攻击者的认知过程，扰乱攻击者的自动化工具，延迟或阻断攻击者的活动，通过使用虚假的响应、 有意的混淆、以及假动作、误导等伪造信息达到“欺骗”的目的。 欺骗技术(Deception Technology )已连续三年被Gartner列为十大安全技术之一， Gartner 认为，未来 5-10 年，欺骗技术将成为主流安全产品对抗未知威胁、0day攻击、高级可持续攻击等的安全问题的最佳解决方案。

与蜜罐的不同：

仿真环境
也就是大家理解的蜜罐，现在市场主流的蜜罐分高中低三类，诉求和解决的问题也不一样，如果要真实模拟环境，高交互蜜罐最合适，实现起来也更复杂，但是市面大部分蜜罐都低交互，稍微有点经验的黑客就能识破，何来欺骗！

覆盖率
蜜罐是被动放在那里，等待黑客自己进来，比如线上服务器1w台，你不可能去部署1w台蜜罐，如果蜜罐仅仅部署几台，犹如杯水车薪，防御效果可想而知，所以这个是欺骗防御必须要解决的问题，就是如何做到高效的请君入瓮

攻击溯源
如果采用高交互蜜罐，黑客入侵进去以后，怎么记录所有黑客的攻击，在蜜罐里装监控，黑客很容易就能发现，而且还能kill该监控，一般黑客都是攻击脚本不落盘，木马程序直接内存运行，没有办法拿到黑客样本，溯源非常困难

动态对抗
蜜罐仅仅只能对攻击进行溯源，分析，不能做到根据黑客的行为，预测黑客的下一步，做到防范于未然，这个不仅仅是分析能力不足，蜜罐的架构也是没法实现动态对抗

安全风险
黑客入侵蜜罐，如果蜜罐没做任何网络隔离，可能就会通过蜜罐做横向渗透测试

e签宝欺骗防御技术点

云原生
轻量级k3s，满足容器管理，这样在一台机器上，可以构造无限制(受限机器配置)的仿真环境，有云原生的一切能力，而且还可以应用云原生自身的安全能力可以监控容器，如falco监控容器并且捕获攻击脚本，k3s防火墙限制只有容器之间互通，跟外界网络都是不通，解决了安全风险问题

代理技术
代理分为透明代理，协议代理，透明代理部署在业务服务器上，解决了蜜罐覆盖率不够的问题，这样业务服务器仅仅安装透明代理，就可以把攻击流量牵引到蜜罐中，协议代理是建立在透明代理和k3s容器之间的桥梁，所有流量都通过协议代理转到对应的k3s容器中，这样既可以记录所有攻击请求，又可以让黑客毫无感知

诱饵(honeybit)
黑客进入蜜罐，一般会做横向渗透测试，上图供给链也已经描述，比如黑客会查看history等，诱饵就是在history等地方插入蜜罐的信息，这样黑客攻击又会进入下一个蜜罐，环环相扣，仿佛进入迷宫一样

密签(honeytoken)
黑客入侵主要还是拿到你的数据，但是大部分不知道数据是否泄露，如果黑客拿到数据，一打开数据就能定位黑客在哪，他是谁，是不是就能闭环，所以密签是整个欺骗防护的精华，所以其实密签可以是单独一个数据泄露产品，e签宝安全团队后续准备在单独开放出来

机器学习
此处暂不做过多赘述，这是实现动态对抗蜜罐的核心，技术还在内部测试当中

e签宝欺骗防御系统的特性

支持丰富的蜜罐类型
通用蜜罐： SSH 蜜罐、Http蜜罐、Redis蜜罐、Telnet蜜罐、Mysql蜜罐、RDP 蜜罐 IOT蜜罐： RTSP 蜜罐 工控蜜罐： ModBus 蜜罐

基于云原生技术
基于k3s打造saas平台欺骗防御，无限生成蜜罐，真实仿真业务环境

业内独一无二密签技术
独创的密签技术，支持20多种密签，如文件、图片，邮件等

强大诱饵
支持数十种诱饵，通过探针管理，进行欺骗引流

可视化拓扑
可以可视化展示攻击视图，让所有攻击可视化，形成完整的攻击链路

动态对抗技术
基于LSTM的预测算法，可以预测黑客下一步攻击手段，动态欺骗，延缓黑客攻击时间，保护真实业务

强大的定制化
支持自定义密签、诱饵、蜜罐等，插件化安装部署，满足一切特性需求

效果展示

相关链接

github
https://seccome.github.io/Ehoney/