蜜罐的定義

蜜罐的一個定義來自間諜世界，瑪塔哈里 (Mata Hari) 式的間諜將戀愛關(guān)系用作竊取秘密的方式，被描述為設(shè)置“美人計”或“蜜罐”。經(jīng)常會有敵方間諜中了美人計，然后被迫交待他/她所知道的一切。

在計算機(jī)安全方面，網(wǎng)絡(luò)蜜罐的工作原理與此類似，是為黑客設(shè)下的誘餌。這是一種具有犧牲性質(zhì)的計算機(jī)系統(tǒng)，旨在吸引網(wǎng)絡(luò)攻擊，就像誘餌一樣。它模仿黑客的目標(biāo)，利用黑客的入侵企圖來獲取網(wǎng)絡(luò)犯罪分子的信息以及他們的行動方式，或者將他們從其他目標(biāo)上引開。

蜜罐的工作原理

蜜罐看起來是一個真實(shí)的計算機(jī)系統(tǒng)，其中包含應(yīng)用程序和數(shù)據(jù)，欺騙網(wǎng)絡(luò)犯罪分子以為這是一個合理目標(biāo)。例如，蜜罐可以模仿公司的客戶計費(fèi)系統(tǒng)，這是想要找到信用卡號碼的犯罪分子經(jīng)常攻擊的目標(biāo)。一旦黑客進(jìn)入，就可以對他們進(jìn)行追蹤，并對他們的行為進(jìn)行評估，以獲取如何使真實(shí)網(wǎng)絡(luò)更安全的線索。

蜜罐通過刻意構(gòu)建安全漏洞來吸引攻擊者。例如，蜜罐可能具有響應(yīng)端口掃描或弱密碼的端口。脆弱的端口可能保持開放，以誘使攻擊者進(jìn)入蜜罐環(huán)境而不是更安全的實(shí)時網(wǎng)絡(luò)。蜜罐并未像防火墻或反病毒軟件一樣設(shè)置為解決特定問題。相反，它是一種信息工具，可以幫助您了解企業(yè)的現(xiàn)有威脅，并發(fā)現(xiàn)新出現(xiàn)的威脅。利用從蜜罐獲得的情報，可以制定安全工作的優(yōu)先級和重點(diǎn)。

不同類型的蜜罐及其工作原理

不同類型的蜜罐可以用來識別不同類型的威脅。各種蜜罐定義均基于所解決的威脅類型。它們都在全面有效的網(wǎng)絡(luò)安全策略中占有一席之地。

電子郵件陷阱或垃圾郵件陷阱將偽造的電子郵件地址放置在隱藏位置，只有自動地址收集器才能找到它。由于該地址除了是垃圾郵件陷阱外，沒有任何其他用途，因此可以100%確定發(fā)送到該地址的任何郵件都是垃圾郵件。所有與發(fā)送到垃圾郵件陷阱的郵件內(nèi)容相同的郵件都可以被自動阻止，并且發(fā)件人的源 IP 可以添加到黑名單中。

可以設(shè)置一個誘餌數(shù)據(jù)庫來監(jiān)控軟件漏洞，并發(fā)現(xiàn)利用不安全的系統(tǒng)架構(gòu)或使用 SQL 注入、SQL 服務(wù)漏洞或濫用權(quán)限的攻擊。

惡意軟件蜜罐模仿軟件應(yīng)用程序和 API 來引誘惡意軟件攻擊。然后可以通過分析惡意軟件的特征，來開發(fā)反惡意軟件或封堵 API 中的漏洞。

爬蟲蜜罐旨在通過創(chuàng)建只有網(wǎng)絡(luò)爬蟲才能訪問的網(wǎng)頁和鏈接來誘捕網(wǎng)絡(luò)爬蟲。檢測網(wǎng)絡(luò)爬蟲可以幫助您了解如何阻止惡意機(jī)器人以及廣告網(wǎng)絡(luò)爬蟲程序。

通過監(jiān)視進(jìn)入蜜罐系統(tǒng)的流量，您可以評估：

網(wǎng)絡(luò)犯罪分子來自何處

威脅級別

他們的作案手法

他們感興趣的數(shù)據(jù)或應(yīng)用程序

您的安全措施在阻止網(wǎng)絡(luò)攻擊方面的效果如何

另一個蜜罐定義著眼于蜜罐是高交互還是低交互。低交互式蜜罐使用的資源較少，收集有關(guān)威脅的級別和類型以及威脅來源的基本信息。它們的設(shè)置簡單快捷，通常只需模擬一些基本的TCP和IP協(xié)議以及網(wǎng)絡(luò)服務(wù)。但是蜜罐中沒有任何內(nèi)容可以讓攻擊者長時間交互，您不會獲得有關(guān)他們的習(xí)慣或復(fù)雜威脅的深入信息。

另一方面，高交互性蜜罐旨在使黑客在蜜罐內(nèi)花費(fèi)盡可能多的時間，從而提供有關(guān)他們的意圖和目標(biāo)以及他們正在利用的漏洞和所用作案手法的大量信息?？梢詫⑵湟暈樘砑恿恕澳z水”的蜜罐 - 可以讓攻擊者花費(fèi)更長時間交互的數(shù)據(jù)庫、系統(tǒng)和進(jìn)程。這使得研究人員能夠跟蹤攻擊者在系統(tǒng)中的哪些位置查找敏感信息，他們使用哪些工具來提權(quán)，或者利用哪些漏洞來破壞系統(tǒng)。

為什么將蜜罐用于網(wǎng)絡(luò)安全

然而，高交互蜜罐需要大量資源。設(shè)置和監(jiān)視它們更加困難且耗時。它們也會產(chǎn)生風(fēng)險；如果未使用“蜜墻”進(jìn)行保護(hù)，那么一個堅決而狡猾的黑客可以使用高交互蜜罐攻擊其他互聯(lián)網(wǎng)主機(jī)，或者從受感染的計算機(jī)發(fā)送垃圾郵件。

兩種類型的蜜罐都在蜜罐網(wǎng)絡(luò)安全中占有一席之地。將兩種類型結(jié)合使用，可以通過添加有關(guān)高交互蜜罐的意圖、通信和漏洞利用的信息來優(yōu)化有關(guān)低交互蜜罐的威脅類型的基本信息。通過使用網(wǎng)絡(luò)蜜罐創(chuàng)建威脅情報框架，企業(yè)可以確保將其網(wǎng)絡(luò)安全支出定位在正確的位置，并可以查看安全弱點(diǎn)所在。

使用蜜罐的好處

蜜罐是暴露主要系統(tǒng)中的漏洞的好方法。例如，蜜罐可以顯示出對物聯(lián)網(wǎng)設(shè)備的攻擊所帶來的高度威脅。它還可以提出改進(jìn)安全性的方法。

與嘗試在實(shí)際系統(tǒng)中發(fā)現(xiàn)入侵相比，使用蜜罐具有多個優(yōu)勢。例如，根據(jù)定義，蜜罐不應(yīng)獲得任何合法流量，因此所記錄的任何活動都可能是探測或入侵嘗試。

這樣可以更容易地發(fā)現(xiàn)模式，例如相似的 IP 地址（或全部來自一個國家的 IP 地址）被用來進(jìn)行網(wǎng)絡(luò)掃描。相比之下，當(dāng)您在核心網(wǎng)絡(luò)上查看大量合法流量時，很容易在噪聲中錯過此類攻擊跡象。使用蜜罐的一大優(yōu)勢在于，這些惡意地址可能是您看到的全部地址，從而使攻擊更容易識別。

由于蜜罐處理的流量非常有限，它們也非常節(jié)省資源。它們對硬件的要求不高；可以用您不再使用的舊計算機(jī)來設(shè)置蜜罐。至于軟件，可以從在線存儲庫中獲得許多現(xiàn)成的蜜罐，這進(jìn)一步減少了設(shè)置和運(yùn)行蜜罐所需的內(nèi)部工作量。

蜜罐的誤報率很低。 這與傳統(tǒng)的入侵檢測系統(tǒng) (IDS) 形成鮮明對比，后者可能產(chǎn)生大量誤報。此外，這有助于確定工作的優(yōu)先級，并使蜜罐的資源需求保持在較低水平。（事實(shí)上，通過使用蜜罐收集的數(shù)據(jù)并將其與其他系統(tǒng)日志和防火墻日志相關(guān)聯(lián)，可以為 IDS 配置更相關(guān)的警報，以減少誤報。這樣，蜜罐可以幫助優(yōu)化和改進(jìn)其他網(wǎng)絡(luò)安全系統(tǒng)。）

蜜罐的優(yōu)點(diǎn)和缺點(diǎn)

蜜罐可以提供有關(guān)威脅如何進(jìn)化的可靠情報。它們提供有關(guān)攻擊媒介、漏洞利用和惡意軟件的信息，對于電子郵件陷阱，則提供有關(guān)垃圾郵件發(fā)送者和網(wǎng)絡(luò)釣魚攻擊的信息。黑客會不斷完善他們的入侵技術(shù)；網(wǎng)絡(luò)蜜罐有助于確定新出現(xiàn)的威脅和入侵。充分利用蜜罐也有助于消除盲點(diǎn)。

蜜罐也是技術(shù)安全人員的絕佳培訓(xùn)工具。蜜罐是受控制的安全環(huán)境，用于展示攻擊者的工作方式和檢查不同類型的威脅。使用蜜罐，安全人員將不會因使用網(wǎng)絡(luò)的實(shí)際流量而分心 - 他們將能夠 100% 專注于威脅。

蜜罐還可以捕獲內(nèi)部威脅。大多數(shù)組織都花時間保護(hù)周邊，并確保外部人員和入侵者無法進(jìn)入。但是，如果僅保護(hù)周邊，任何已成功越過防火墻的黑客都能盡其所能造成破壞。

防火墻也無助于抵御內(nèi)部威脅，例如，一名員工想要在離職前竊取文件。蜜罐可以提供同樣有用的內(nèi)部威脅信息，并將此類區(qū)域中的漏洞展示為允許內(nèi)部人員利用系統(tǒng)的權(quán)限。

最后，通過設(shè)置蜜罐，您實(shí)際上是在無私幫助其他計算機(jī)用戶。黑客在蜜罐上浪費(fèi)精力的時間越多，他們用來入侵實(shí)時系統(tǒng)并對您或其他人造成實(shí)際損害的時間就越少。

蜜罐的危險

雖然蜜罐網(wǎng)絡(luò)安全技術(shù)將有助于繪制威脅環(huán)境圖，但蜜罐不會看到所有正在發(fā)生的事情，而只能看到針對蜜罐的活動。不能因為某種威脅沒有針對蜜罐，就認(rèn)為它不存在；重要的是要及時了解 IT 安全新聞，而不僅僅是依靠蜜罐來通知您這些威脅。

一個好的、配置合理的蜜罐會欺騙攻擊者，讓他們相信他們已獲得真實(shí)系統(tǒng)的訪問權(quán)限。它將具有與真實(shí)系統(tǒng)相同的登錄警告消息、相同的數(shù)據(jù)字段甚至相同的外觀和徽標(biāo)。但是，如果攻擊者成功將其識別為蜜罐，他們就會繼續(xù)攻擊您的其他系統(tǒng)，同時不與蜜罐接觸。

一旦蜜罐被“采指紋”，攻擊者便可以進(jìn)行欺騙性攻擊以轉(zhuǎn)移注意力，而以您的生產(chǎn)系統(tǒng)為目標(biāo)真正進(jìn)行攻擊。他們還可以將錯誤的信息提供給蜜罐。

更糟糕的是，聰明的攻擊者可能會使用蜜罐作為進(jìn)入系統(tǒng)的一種方式。這就是蜜罐永遠(yuǎn)不能取代防火墻和其他入侵檢測系統(tǒng)等足夠安全的控制措施的原因。由于蜜罐可以用作進(jìn)一步入侵的踏板，因此請確保所有蜜罐都得到良好保護(hù)?！懊蹓Α笨梢蕴峁┗镜拿酃薨踩?，并阻止針對蜜罐的攻擊進(jìn)入您的實(shí)時系統(tǒng)。

總體而言，使用蜜罐的好處遠(yuǎn)大于風(fēng)險。黑客通常被認(rèn)為是遙遠(yuǎn)、無形的威脅，但是使用蜜罐，您可以實(shí)時準(zhǔn)確地看到他們在做什么，并使用這些信息阻止他們得逞。