可設置多種IT、OT、IoT陷阱，Fortinet正式發表網路欺敵系統

因應網路安全威脅，企業不只是需要懂得運用UTM/NGFW、各種內容安全閘道，以及XDR等產品，進行阻斷、偵測與反制，在事前預防與事中自我察覺異狀的部分，仍可透過其他方式來輔助，以便更早找出駭客與惡意軟體活動的跡象，甚至能讓這些攻擊身陷泥淖卻渾然不知，而這樣的防禦戰術，可以透過所謂的網路資安欺敵系統（Cyber Deception）來達成。

臺灣市場上已經有多家可提供資安欺敵系統的廠商，現在我們來介紹以UTM聞名的Fortinet，他們本身也提供這類產品，稱為FortiDeceptor。根據該公司網站上的技術文件登載，1.0版是在2018年10月推出，隔年4月、7月發布2.0版、2.1版，12月釋出3.0版，2020年分別於5月、10月推出3.1版、3.2版，而3.3版在今年3月登場，至於4.0版則是今年7月出爐，最新版4.0.1則是今年9月發布，發展時間至少超過3年。

可布置與管理IT、OT、IoT等三種環境的陷阱，也整合Fortinet旗下多款網路安全與管理產品，能進行協同防禦

相較於過去我們所認知的蜜罐誘捕系統（Honeypot）、沙箱檢測（Sandbox），FortiDeceptor融合了欺敵、揭露、消除等三種防禦戰術，希望能夠在資安威脅發動的初期階段，就能及早察覺與阻擋攻擊鏈的進展。在部署形式上，Fortinet提供兩種選擇：整合式硬體設備系列FDC-1000F與FDC-1000G，以及虛擬機器FDC-VM。

同時，FortiDeceptor所能運用的陷阱類型相當廣泛，涵蓋資訊科技（IT）系統、操作科技（OT）設備，以及物聯網（IoT）裝置，都是以虛擬機器的型態執行在FortiDeceptor硬體設備，或是虛擬應用設備（巢狀虛擬），而其部署與集中管理的方式也相當簡單、直覺。而就系統負載能力而言，無論是硬體或虛擬設備，每臺FortiDeceptor最多可同時部署16臺陷阱電腦／伺服器／OT設備，但FDC-1000G與FDC-VM最多只能部署至128個VLAN網路環境，可搭配的陷阱環境也僅限於Windows。

以IT系統而言，企業可在此部署Windows陷阱、Linux陷阱、VPN伺服器陷阱、POS陷阱、ERP陷阱，而在OT設備的部份，可部署SCADA陷阱，物聯網裝置的陷阱則是包含路由器、印表機、網路攝影機等類型，醫療設備陷阱應可列於這類。

這些陷阱大多對應企業實際使用的產品，包括：用於個人電腦的Windows 7與Windows 10，以及用於伺服器的Windows Server 2016、Windows Server 2019；VPN伺服器主要是Fortinet本身的FortiGate SSL VPN；在OT領域當中，則是Rockwell PLC，以及施耐德電機EcoStruxure Building Management、PM5560、SCADAPack 333E。而物聯網裝置，目前可支援Cisco路由器、HP印表機。

關於陷阱的部份，除了擺出多種虛擬機器的陣仗，希望能夠涵蓋到各種類型的攻勢，FortiDeceptor也提供陷阱服務，在這些虛擬機器上，啟用經常遭鎖定攻擊的網路通訊協定服務，藉此收集與分析到網路威脅活動的跡象。舉凡IT網路與OT網路常見的SSH、HTTP/S、Telnet、FTP、TFTP、SNMP，以及IT網路特有的SMB、RDP，以及OT網路常見的Modbus、S7comm、BACnet、EtherNet/IP、DNP3等。

另外，這裡也提供多種誘餌，例如，上述的網路連線、內含大量假個資或機密資訊的文件，以及系統暫存的使用者帳號密碼、數位憑證。

而在事件的交互關聯分析上，這套解決方案也能以時間軸的方式呈現攻擊者的各種活動，舉凡存取行為、使用工具、橫向移動，而且還能與Fortinet本身專精資安威脅研究的FortiGuard實驗室互通消息，取得具有前後文脈絡的威脅情報，獲得多層次偵測防護能力。

當然，FortiDeceptor另一個賣點，就是背後能夠整合Fortinet龐大的資安產品陣容，透過Security Fabric的支援，可協同防禦的產品，包含網路防火牆FortiGate、網路交換器FortiSwitch、網路存取控制系統FortiNAC，以及安全調度指揮與自動化反應系統FortiSOAR，也能從安全資訊與事件管理系統FortiSIEM、網路事件記錄分析系統FortiAnalyzer，掌握內部網路威脅態勢。

歷經3年的開發與持續改良，今年以4.0版正式跨入主動式防禦市場

回顧FortiDeceptor這幾年來的發展，我們可以看到Fortinet如何在此擴增對於IT、OT、IoT環境的陷阱系統支援，以及對於進階持續性威脅（APT）的偵測、分析、協防的能力。

1.x版
以最初發布，也就是1.0版來看，FortiDeceptor當時的核心功能，主要包含6大項目：儀表板摘要檢視、欺敵（虛擬機器的部署與監控）、事故分析（偵測結果分析）、網路（網路介面、DNS、路由管理）、系統設定（管理者新增、SNMP，以及LDAP、RADIUS、郵件等伺服器）、事件記錄檢視。

2.x版
到了2.0版，FortiDeceptor增加了Fabric功能，也就是能整合FortiGate網路防火牆，以便針對攻擊者進行自動隔離或阻擋，並且也內建了Fortinet Distribution Network（FDN），能夠透過FortiGuard服務來升級套件，管理者可手動上傳防毒、網路入侵偵測系統、反偵察與反漏洞濫用套件，以及調整FDN伺服器與網頁過濾伺服器設定；儀表板也增加10大網路入侵防禦系統攻擊活動排行榜，同時，攻擊網路拓樸圖的呈現也增加時間軸搜尋、多種過濾條件，以及針對節點位置與條件設定的快照。

至於2.1版，則提供匯出入侵指標（IoC）、唯讀型系統管理者（只能看、不能寫入設定）等功能，陷阱作業系統的搭配上，也提供win10v1與scadav1等兩種映像，前者可支援RDP與SMB等兩種協定的偵察，後者可支援OT設備常用的網路通訊協定，像是：HTTP、FTP、TFTP、SNMP、Modbus、S7comm、BACnet、IPMI、Triconex、Guardian-AST、 IEC 60870-5-104。

3.x版
在FortiDeceptor 3.0版當中，Fortinet增加了命令列主控臺，也允許用戶上傳Windows 10作業系統的ISO映像檔，再自行調整內容，以便作為後續部署誘餌之用的基礎作業系統映像，並支援該公司近期主打的Security Fabric安全平臺（前身是Cooperative Security Fabric，CSF），強化FortiGate整合。

到了2020年5月推出的3.1版，Fortinet提供更多類型陷阱虛擬機器，像是：基於FortiGate SSL VPN而成的VPN伺服器，以及內建微軟SQL Server資料庫系統的Windows Server 2016，以及Windows 2019伺服器。間隔近半年發表的3.2版，新增Webhook整合、用於離線／實體隔離（air-gapped）環境部署支援，也針對SMB與RDP誘餌增添帳號、密碼、IP位址等身分組態。

今年3月登場的3.3版，大幅擴增陷阱虛擬機器類型。以IT環境而言，Fortinet開始提供ERP陷阱（但裡面是客戶關係管理系統）、POS陷阱（能讓用戶接收線上支付與追蹤貨品銷售狀況）、GIT陷阱（內藏開放原始碼分散式版本控管系統Git，可協助追蹤軟體供應鏈攻擊）。

以OT設備而言，Fortinet加入新一代的SCADA陷阱scadav2，用戶可部署Rockwell PLC、BACnet管理伺服器等兩種OT陷阱，也能自定這類型陷阱的組態，調整IT與OT網路通訊協定的參數，同時，能針對既存的OT陷阱進行軟體升級，以及程式碼修改。

在IoT裝置的部份，FortiDeceptor 3.3增加了醫療設備陷阱，包含：影像儲存及通信系統（PACS）網站伺服器、醫療數位影像傳輸系統（DICOM）、無線注射泵浦裝置（Medfusion 4000）模擬。

4.x版
至於7月推出的4.0版，Fortinet在陷阱（Decoy）類型上，除了常見的Windows與Linux之外，大舉擴增了物聯網與操作科技（OT）類型，以因應當前的網路威脅攻擊，以及進階持續威脅鎖定這兩種裝置的趨勢，同時，該公司正式發表這款網路欺敵系統（Cyber Deception），進軍主動式防禦（Active Defense）領域。\

以物聯網設備而言，Fortinet增加了3種欺敵虛擬機器，包含思科路由器、網路印表機（模擬HP印表機）、IP網路攝影機（模擬IP camera）。

而針對OT應用的通訊協定與陷阱，則是增添在scada虛擬機器，以協定來看，可涵蓋常見的DNP3、施耐德電機所負責的Triconex（模擬SIS控制器）。同時，Fortinet還新增了3種OT誘餌，分別是施耐德電機的建築物管理（BMS）伺服器EcoStruxure Building Management、電表PM5560、遠方終端單元SCADAPack 333E（5210）。

在誘餌（Lure）方面，FortiDeceptor 4.0新增能讓駭客「垂涎三尺」的Office與PDF文件檔案，Fortinet稱為HoneyDoc，這些文件內含假造的密碼與財務資料，吸引攻擊者開啟。這些檔案運用可追蹤圖片（基於畫素技術設計的圖像），能讓系統掌握檢視文件者的IP位址，企業若要查看這些資訊，可到FortiDeceptor網路陷阱項目下的網站伺服器記錄調閱。

對於網路攻擊活動的偵測上，FortiDeceptor 4.0也提升兩種行為的識別，分別是：Responder攻擊工具與勒索軟體。前者是包含在Windows陷阱之中的功能模組，可偵測這種快速獲取帳號密碼的工具；後者則是改善FortiDeceptor既有的勒索軟體加密偵測功能，可望縮短系統判斷時間。

在事故分析的功能上，新版FortiDeceptor也強化惡意軟體的深層分析，當中可以整合該公司本身的沙箱檢測解決方案FortiSandbox，以及眾所皆知的VirtusTotal線上惡意檔案與網址檢測服務。前者可針對網路陷阱擷取到的惡意程式碼，提供完整的靜態與動態分析，相關的檢測報告可整合到FortiDeceptor的系統管理主控臺。至於VirtusTotal的整合，能將偵測率資訊併入FortiDeceptor的事故分析警示，以促成相關事件的工作流程處理。

關於與Fortinet其他產品的整合，FortiDeceptor本次改版也涵蓋了Fortinet Security Fabric（CSF），以及FortiNAC的支援。透過CSF整合FortiGate，FortiDeceptor可從網路端自動隔離遭感染的端點設備，預防橫向移動類型的攻擊活動，而且可進行協同防禦的設備包含了FortiSwitch、FortiGate。此外，FortiDeceptor也支援SAML語言，可允許FortiGate與FortiDeceptor之間進行單一登入整合（SSO）。

與FortiNAC的整合也是與協同防禦有關，在先前版本的整合上，Fortinet提供Webhook方式的連接器，但4.0則是提供立即可用的連接器。

而在系統本身的延展性方面，FortiDeceptor 4.0也再進一步提升，例如，以單臺陷阱虛擬機器而言，可支援24個IP位址（先前是16個IP位址），就整臺FortiDeceptor硬體整合應用設備而言，最大可支援128個VLAN。

在陷阱系統的運用上，Fortinet也改善網路層面的部署設定，例如，若要運用固定IP位址，可做到每個IP位址均配置單張網路卡；若是使用動態IP位址來進行部署，每個陷阱裝置可設置多個IP位址。

最後要釐清的是產品使用授權模式，這涉及用戶是否能以更低成本的方式進行大量部署。在4.0版發表之際，Fortinet宣布，FortiDeceptor將採用訂閱制，並根據VLAN數量來計價。具體而言，企業不論採用虛擬機器或硬體設備的部署形式，均根據部署的VLAN數量來計價（最少需購買2個VLAN），當中將涵蓋所有模組與功能，舉凡網路陷阱、欺敵誘餌、技術支援服務Forticare，以及防偵察與防漏洞漏用服務（Anti-Reconnaissance & Anti-Exploit，ARAE）都包含在內。

在陷阱設備的管理上，需額外購買集中管理授權，每個管理員最多可控管50臺設備。值得注意的是，在陷阱設備的應用上，預設不包含在FortiDeceptor本身的授權，需額外購買個別授權。

Fortinet提供多種陷阱授權服務項目，每一種均可擴充2臺陷阱設備、，供企業擴充時選用，像是：混合Windows授權（Windows 7與Windows 10各1）、Windows 7授權、Windows 10授權、Linux授權、SCADA授權、多設備型授權（SSL VPN、ERP系統、POS系統、醫用設備、物聯網設備）、用戶自定Windows10或Server 2016/2019授權。

值得注意的是，FortiDeceptor-1000F內建1套混合Windows授權（也就是2臺Windows陷阱），以及8臺Linux陷阱授權，而且，上述7種授權項目大多只能與這款設備搭配。企業若是採用虛擬機器FDC-VM或FDC-1000G，只能搭配混合Windows授權。

產品資訊

Fortinet FortiDeceptor
●原廠：Fortinet
●建議售價：廠商未提供
●部署形式：硬體設備FortiDeceptor 1000G、虛擬應用設備FortiDeceptor VM
●硬體設備規格：1U機箱，內建8個GbE埠（4個RJ-45埠，4個SFP埠），可支援128個VLAN
●虛擬應用設備規格：6個虛擬網路卡，可支援128個VLAN，支援伺服器虛擬化平臺VMWare vSphere ESXi 5.1/5.5/6.0+、KVM
●誘餌虛擬機器：最多可設置16個誘餌，預設提供2個Windows誘餌（Win7、Win10各1臺）、8個Linux誘餌
    作業系統支援Windows 7/10、Windows Server 2016/2019、Linux
   網路設備支援VPN Server、路由器、印表機、網路攝影機
   業務系統設備支援ERP、POS、醫療設備（PACS醫療影像擷取及傳輸系統、注射幫浦）、SCADA
●誘餌網路服務：SSL VPN、SSH、SAMBA、SMB、RDP、HTTP/S、SQL、GIT、DICOM、Telnet、FTP、TFTP、SNMP、MODBUS、S7COMM、BACNET, IPMI, TRICONEX、GUARDIAN-AST、IEC104、EtherNet/IP、DNP3、JET-DIRECT、RTSP、UpnP、CDP與TCP埠偵聽器

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】