微步在线

威胁诱捕与诱骗系统（HFish）介绍

LEADER IN THREAT DETECTION AND RESPONSE

 1 问题与挑战

2 产品特性与价值

目录 3 典型应用场景 & 客户案例

CONTENT

4 产品Demo展示

5 PoC流程简介
1 问题与挑战
当前存在的问题，等保要求
什么是欺骗平台以及Gartner的认可、与传统安全设备能力对比
当前存在的问题

企业安全面临的现实问题

海量误报
海量误报 手段升级 流量加密 风险复杂

安全设备越多 攻击手段层出不穷 攻击者利用HTTPS 要上云、业务非标

误报越来越多 0day、变形、魔改 攻击流量无法检测 检测难度越来越大

用户不知所措 用户疲于奔命 用户无能为力 用户无可奈何

网络安全等级保护2.0

原文要求 整改建议
应采取技术措施对网络行为进行分析，实现对
网络攻击特别是新型网络攻击行为的分析…… 建议在关键网络节点（如互联网边界处）合理
…… 部署可对APT或新型网络攻击行为进行检测、分
应能检测到云服务客户发起的网络攻击行为， 析的防护设备……
并能记录攻击类型、攻击时间、攻击流量等……

思考！如何在真实企业环境或云环境中
感知和分析新型的、未知的网络攻击行为
 Gartner对欺骗防御技术的信心
欺骗平台（Deception Platforms）是一个供组织创建、分发和管理整个欺骗环境及其相关架构元素的集中管理系统。这些
伪造的计算机、服务器、设备、应用程序、服务、协议、数据或用户通常是虚拟的且与真实资产和身份无法区分，用于吸引
和检测攻击者

《Hype Cycle for Security Operations, 2021》

《Hype Cycle for Security Operations, 2020》

《Hype Cycle for Threat-Facing Technologies, 2018/2019》

欺骗防御技术的优势

告警准确，无需分析
云端蜜罐内置丰富威胁检测引擎
高度还原攻击行为并定位攻击源

感知能力增强
在网络末梢和云环境作为探针 捕获未知高级威胁
增强现有XDR感知能力 云端蜜罐内置丰富威胁检测引擎
高度还原攻击行为并定位攻击源

提升黑客攻击成本
混淆攻击者目标，延缓入侵
反转不利条件
为业务安全修复赢得宝贵时间 传统防御成功99次抵不过失败1次
欺骗防御将不利情况颠倒
攻击者成功99次抵不过失败1次
投入成本低
HFish – 微步赞助的企业级免费蜜罐
支持syslog、企业微信、钉钉、飞书多种告警输出
欺骗防御技术的优势

传统安全 叠加 欺骗与防御

可实施程度 加密流量无效、部署位置要求、异地多出口 快速实施、不挑位置、兼容加密流量

依赖与干扰 串接或旁路，依赖网络结构 无依赖不干扰、不串接不旁路而是融入

准确与误报 误报顽疾，基于检测规则，频繁升级 触发即威胁！准确率高、误报低

信息丰富度 仅观测已知和已发生的威胁 检测当前未知威胁，遇见未来威胁

主动防御 依赖规则、威胁情报 牵引攻击者，化被动为主动，威胁情报生产者

投入产出 亡羊补牢，硬件按处理能力付费 不再亡羊补牢，直接产出弱点、失窃数据、攻击者真实身份

2 产品特性和价值
快速部署、安全可靠、简单可信赖
私有情报生产节点、微步MSS服务
各模块基本概念与关系

构建 / 服务 牵引 / 迷惑
控制 / 响应 可包含

SSH、Web
……
IoT、
Database

控制端 节点端 蜜罐服务 蜜饵 蜜网

创建、管理节点 根据控制端配置 提供虚假的登录页面 伪造的包含敏感数据 更广阔且真实的蜜罐网络
接收节点蜜罐数据 动态构建蜜罐服务 漏洞服务或网络接口 的文件或页面 通常在远离客户真实
分析并展示 回传攻击数据 目的在于牵引攻击者 环境的云端建立

配合蜜饵消耗、迷惑和
进一步观测攻击者
产品特点 – 安全、简单、可信赖

云端蜜网 / 多地统一管理
简单、准确、零误报 非本地网络，本地不承受任何风险
接触即威胁 无需担心被击穿
无需研判，零误报便于自动化处置

内置多种行业模板开箱即用
丰富的企业业务蜜罐场景
SaaS
支持自定义组合7大类30+种蜜罐服务

防御当下，预见未来
预知下一步攻击动作
已经泄露账号、已失陷主机
与微步威胁情报完美融合
稳定准确的私有情报生产节点
无缝对接客户自身SOC、本地/云端情报平台
软件交付、灵活部署
支持物理机、虚拟机和云环境混合部署
解决云边缘和云内网安全无感知痛点
产品特点 - 云端蜜网MSS（Managed Security Service，安全托管服务）

虚假域名蜜饵 生产网蜜饵

被打穿，引狼入室
担心 干扰业务，部署麻烦
阶段性使用，无人运维
配置作废子域名
指向云端蜜网
牵引攻击者异地上云
专业人员7x24小时值守

感知真实威胁 办公网蜜饵
实时外网威胁、内网横移
捕获攻击者，感知 0-N day 威胁 希望 网盘
弹性扩容、厂商运维

利用攻击者常检索的
网络资源构建蜜饵
产品部署架构

互联网 云环境或外网IDC 云端蜜网

SSH 服务
Web 管理后台
MySQL服务
蜜饵
…
态势感知平台

办公网

惠普商用打印机 本地情报平台
FTP 文件传输服务
监控摄像头服务
蜜饵
… 内部IDC
与其他安全产品关系

终端安全响应
放大蜜罐部署面、挥洒蜜饵
根据蜜罐收集木马特征批量清理

防火墙
提供实时拦截黑名单 情报管理管理平台
提升现有设备感知能力 消费威胁情报
生产实时私有威胁情报

态势感知
更立体、更丰富的视角和数据 SaaS API
可用于预测的感应器 加入蜜罐社区，获取社区情报
更精准的黑客画像、行业威胁预警

自动化编排与联动
提供编排启动线索 威胁感知
更精准的威胁感知
3 典型应用场景 & 客户案例
部署场景、真实案例
四个常见场景简介

外部威胁 威胁牵引 投入产出 安全培训

内网横移 研究分析 云内网横移 失窃感知
恶意员工 情报生产 告警准确 了解意图
部署场景 - 华北金融类客户内网场景
客户痛点
真实主机
内网横向移动感知
中植入蜜饵 办公网内部流量大，采购检测设备得不偿失
内部服务器区 蜜罐主机
内置蜜饵 环境模拟不够真实

…
其他蜜罐重点在外网，对内网模拟不够重视

抓取内部恶意员工
恶意员工、要离职员工非法获取内部数据

方案特点

内部办公网 丰富的内网蜜罐
除传统主机，还支持交换机、打印机、摄像头、

…
防火墙等真实内网资源模拟

捕捉攻击者内网横向移动
独立 异常时间 / 异常行为 / 异常来源
蜜罐主机
… 在真实或虚拟主机中部署蜜饵
蜜饵的唯一性保证能精确定位失陷主机
静态蜜饵文件不影响业务

高敏感数据监控
允许用户自定义高敏感账号，发现即告警
部署场景 - 华南科技类客户内外网场景
客户痛点

云端蜜网 牵引威胁远离业务环境
利用蜜饵将攻击者诱引到业务不相关云端
云端生产网
安全团队对技术细节感兴趣

…
希望获得更多攻击手法，强化内部安全

安全团队希望凸显自身能力
不甘于采购数据，希望具有情报生产能力
威胁牵引

场景特点
多种环境中 高低结合，安全可靠
部署蜜饵 用户网络部署低交互蜜罐，收集 必要 信息
微步蜜网部署高交互蜜罐，收集 丰富 情报

7x24 云端蜜网，从容不迫
将威胁引到云端蜜网，确保用户无损
根据用户需求弹性扩充，消耗攻击者精力
内部办公网

…
威胁牵引 私有情报生产，胜券在握
外网蜜罐成为有效的威胁情报生产单元
感知威胁数据回传本地SOC

环境拟态，融为一体
快速复制客户真实业务，融入客户环境
部署场景 – 企业客户云环境安全感知

客户痛点

云内网 云安全手段匮乏、昂贵、效率低下
基本上只有主机Agent + 云WAF

云内网完全无防护手段
攻击者从边界进入后，轻松漫游云内网

复盘无法确定攻击真实来源
云外网进入还是从本地网络进入？

云内网主机 Web服务 跳板机

方案特点
适应性强，部署成本低
云外网
软件交付，节点完美适应虚、实和云环境

捕捉攻击者的横向移动
异常时间 / 异常行为 / 异常来源

在真实或虚拟主机中部署蜜饵
蜜饵的唯一性保证能精确定位失陷主机
静态蜜饵文件不影响业务

告警精确零误报，不骚扰安全团队
触发即告警，无需研判，无邀功式无效告警
部署场景 – 客户员工外部泄露账号威胁感知

客户痛点
先试试 VPN服务蜜罐
vpn.a.com
跨行业用户安全意识差
使用公司信箱注册各种外部三方账号
1
Webmail登录页面蜜罐 外网账号信息泄露无法感知
三方网站泄密不可知，连带威胁不可控
用户名：user@a.com
密码：qwertyui 无法掌握攻击者真实意图
感知失陷 蠕虫？勒索？境外有政治目的的组织机构

方案特点

通知改密 可用于教职员工日常安全模拟训练
蜜罐虚拟页面也可用于平日钓鱼威胁模拟

客户内部网络 直接感知泄露账号风险，第一时间通知受害人
虚假 VPN 域名巧妙诱骗攻击者

cdn02.a.com … 初步掌握攻击者意图和能力
通过高交互蜜罐初步了解攻击者威胁能力

云端全自动运维，告警零误报，无需运维
蜜罐可部署在MSS云端，自动化通知，无需
客户耗费精力运维和鉴别威胁
4 产品Demo展示
部署场景、真实案例
5 PoC流程简介
部署场景、真实案例
快速 PoC 方案

1、访问官网：https://hfish.io

2、根据自身环境选择安装包

3、自行在本地部署，体验完整欺骗防御能力

没有功能限制、没有时间限制、不需要授权、可用于商业环境
 THREAT DETECTION AND RESPONSE EXPERT

电话：400-030-1051

网址：www.threatbook.cn