企业为什么要设置“蜜罐”，“蜜罐”在企业中会起到什么作用呢？

网络攻防对抗中，信息情报不对称造成的不平衡由来已久。防守方在明处，防御的资产在攻击

者看来是一个不能挪动的堡垒，而攻击方躲在暗处，只要有足够的耐心，总是可以找到缝隙，或者

利用一个“0day”漏洞直接突破边界。尤其随着企业规模不断发展，防守者要防御的资产将从堡垒

发展为“城池”，防护难度加大，攻防之间的不平衡愈发显著。

蜜罐本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信

息，诱使攻击方对它们实施攻击，从而对攻击行为进行捕获和分析。这个出现之初即自带“伪装者

角色”的技术，可以微妙地破坏攻击者和被攻击目标之间的“信任感”，在一定程度上改变了以往

“攻在暗，守在明”的局势。通过引入蜜罐技术，防守者不仅可以更全面地感知到攻击者的态势，

还能改变原来被动修建堡垒的防御思路，虚实结合，将攻击者引入事先准备好的诱捕陷阱中，做到

主动出击。

蜜罐技术在防守体系的3个实践方向：欺骗伪装、威胁感知和溯源反制，实现和企业业务场景相结合，在攻防对抗中发挥实际作用。

欺骗伪装成功的关键在于蜜罐的真实度。以高仿真高交互蜜罐技术为基础，多个蜜罐可结合企业自

身业务特性组成蜜网，蜜网环境贴合真实环境，大大提升欺骗环境的复杂性和真实性。攻击者被诱导至

蜜网中并进行嗅探和扩展时，将面临和真实环境一样的网络和应用环境，一举一动全部在防守方的视角

下。与此同时，蜜网和真实内网环境相互独立，不会对现有的内网网络拓扑造成影响，攻击者进入蜜网

后的行为也不会干扰正常业务。

将蜜罐技术应用在威胁感知领域，通过在内网边界和敏感位置部署具备威胁感知能力的探针节点，

结合流量分析设备，可以很好地解决定位攻击时滞后性强及误报高的问题。攻击者信息搜集的过程势必

需要嗅探到网络端口、架构、应用、系统和数据等维度，在内网中布设诱饵探针节点形成高度逼真的分

布式蜜网，攻击者一旦尝试发送信息或建立初始连接，就一定会被察觉，从而快速精准定位攻击事件。

溯源反制是打破攻防不平衡的关键一步，企业通过蜜罐技术，在外网中部署蜜IP和蜜域名等伪装诱饵，诱使攻击者前来，进而搜集攻击者信息，有效追踪攻击者。当防守方搜集到足够多攻击者信息时，能够借助基础信息库对攻击者进行追踪和溯源，例如恶意程序样本、远程控制站点URL、攻击者IP等信息中暴露出的代码特征、站点注册信息、IP地理位置等，从而定位攻击者实体，借助法律手段追究攻击者责任。