针对信息收集

路径分析：攻防演练期间攻击者通常会利用信息公开平台如GitHub、码云、百度网盘、网络空间搜索引擎等互联网入口，并尝试利用信息挖掘脆弱点。

应对策略：

1、构建陷阱：通过构造含有敏感词、非关键源代码、系统配置文件等信息的蜜罐系统作为吸引攻击者访问的陷阱。

2、投放诱饵：在投递诱饵信息的时候，考虑到通过浏览器ID进行溯源成功概率更高，可更多地将诱饵投递到相关信息共享平台上。

针对系统踩点

路径分析：攻击者通过信息收集获取到目标资产信息或账号信息，会选择熟悉系统踩点找寻脆弱点。

应对策略：高度仿真重点系统：围绕攻防演练期间攻击者重点关注的企业真实业务系统仿真，可将已下线的历史业务系统重新上线至蜜罐系统当中，诱导攻击者停留。

模拟定制高仿真场景：结合人工维护的方式对这些域名网站进行如添加交互页面、定期发布集团公告信息、定期后台登录及管理等方式来构建高仿真场景。

针对内网横向攻击

路径分析：预设攻击方通过0day等方式可以进入内网，由于攻防演练中获取防守方路径对应分值极大，路径摸排、内网横向攻击往往是攻防演练中必经的攻击过程。

应对策略：

1、及时攻击感知：内网尽可能多部署感知蜜罐，可通过trunk的方式进行空闲IP绑定，以此覆盖内网所有区域进行攻击感知。

2、关键点部署蜜罐：为防止攻击者通过主机访问日志直接摸到真实的主机或运维终端，应将关键节点处的主机上开放部分端口绑定至蜜罐。

敏感信息诱导攻击：可伪造登录域凭据、RDP连接记录、运维日志、用户文件夹、浏览器浏览记录及相关敏感信息内容来诱惑攻击者进行攻击。

针对实时攻击

攻击分析：攻击者发动实时攻击，防守者需要阻断攻、记录攻击信息、分析攻击路径、溯源对手信息。这些绝非单纯的数据信息可以胜任的，必须依托于自身产品的攻击感知、记录的能力，还需要扩展其与安全产品的协同防御能力、结合安全大数据的溯源反制、人物画像能力。

应对策略:攻击重定向

网络攻击检测：蜜罐实时监测网络环境有无攻击流量。

攻击流重定向：将攻击流重定向引入至部署蜜罐系统当中，实现攻击活动与客户网络环境的安全隔离，确保客户网络环境安全性。

针对攻击分析

应用分析：掌握了攻击者的攻击信息，还要对攻击者的攻击工具、路径、意图等进行进一步分析才可以寻找自身系统及防御漏洞，针对性查漏补缺。

应对策略：漏洞仿真

仿真场景升级：基于国内最大最丰富的漏洞知识库Seebug，定期通过POC对蜜罐设备中的仿真场景进行升级。

仿真漏洞设置：蜜罐系统可注入带有较新漏洞、贴合业务服务及应用需求的仿真场景，引诱入侵者对蜜罐进行探测并延长停留时间，精准捕获高风险黑客攻击，保护客户的业务系统。

针对攻击溯源

应用分析：蜜罐在攻防演练场景中应用的最大优势是以攻为守，溯源得分。

应对策略：攻击实时取证

获取虚拟身份：获取攻击行为数据进行分类溯源处理，实现深度溯源与反渗透，可获取攻击者包括社交媒体身份IP、IM通讯工具ID等更多个人信息。

关联威胁情报：攻击者常使用VPN/代理等手段发起访问请求，蜜罐可通过其集成的丰富溯源插件获取攻击者的真实IP。蜜罐对每个攻击源IP会建立唯一指纹进行标注，即使攻击者篡改IP也可通过指纹有效关联分析其攻击行为，并将此阶段获取到的信息同步到安全大脑、腾讯威胁情报等大数据平台，构建出准确、全面的威胁情报。