蜜罐本質上是黑客的陷阱。通過引誘黑客遠離真實係統(並在虛擬文件和模仿上浪費時間),蜜罐可以收集有關其來源和方法以及入侵原因的重要信息。通常,蜜罐是一個誘餌計算機系統,其中存在一些誘人的漏洞。
您可能熟悉公司為確保網絡安全而採用的防禦性策略,例如加密和客戶身份驗證,但蜜罐的不同之處在於它會主動邀請網絡犯罪分子對其進行檢查。當然,他們這樣做要自擔風險!在本指南中,我們將了解設置蜜罐的一些優點以及常見的蜜罐變體。
蜜罐如何工作?
蜜罐是一種用來引誘黑客的計算機系統。對於不細心的人來說,這個系統可能看起來並不那麼不尋常——它會有應用程序和數據,但它都是誘餌,而且都受到非常密切的監視。由於普通用戶沒有理由訪問蜜罐,因此任何與蜜罐交互的流量都會立即被標記。
一旦他們取得聯繫,您就可以推斷出有關黑客的很多信息,從而擊退他們的攻擊。
蜜罐系統本身應該看起來盡可能真實。它需要具有嗅探和日誌記錄功能,運行所有預期的進程和應用程序,並包含選擇的文件作為誘餌。為了讓蜜罐對潛在的黑客來說更有趣,在系統中植入漏洞也是一個好主意——例如過時的操作系統。
為什麼叫“蜜罐”?
如果您聽到“蜜罐”這個詞並想到小熊維尼 - 您並不孤單!溫妮會不遺餘力地偷他的一罐蜂蜜,“蜜罐”隨後成為一個俚語,指的是令人嚮往的東西。此後它也被用來形容令人嚮往的人。間諜有時會討好目標並建立浪漫關係,利用這種感情來施加影響,迫使目標交出證據,或者乾脆鼓勵他們洩露秘密。
為什麼要使用蜜罐?
蜜罐通常由大公司、數據庫管理員和研究人員使用。通過觀察黑客與蜜罐的交互,可以收集到很多信息,而且您不必為此將網絡的其餘部分置於危險之中。蜜罐可以了解黑客的作案手法、他們在系統內的目標以及他們最初來自哪裡。此外,蜜罐可以突出現有網絡中的安全缺陷。
而且,正如我們之前提到的,蜜罐可以更容易地發現黑客嘗試,因為它們根本不接收常規流量。在篩選合法網絡上的大量流量時,有時很難確定攻擊是否正在進行。使用蜜罐可以消除這種干擾,從而使管理員能夠確定威脅級別以及任何 IP 模式。
蜜罐還為安全人員提供了絕佳的虛擬訓練場。真正的企業網絡不會有任何危險,因為蜜罐是隔離的,並且它允許仔細檢查和傳播黑客的進程。
蜜罐變體
當然,蜜罐有各種各樣的類型,它們的不同取決於它們的參與程度、目標以及“誘餌”是什麼。我們先來看看研究型和生產型蜜罐。
🔭研究
研究蜜罐對外部世界比對網絡更感興趣,主要用於收集有關黑客方法、動機和趨勢以及惡意軟件菌株的信息。有了這些數據,您就可以領先潛在的攻擊者一步;您可以改進現有的安全功能並開發新的補丁。由於它們相當難以操作,因此您通常會發現政府、軍隊和研究團體正在使用研究蜜罐。
🔬生產
生產蜜罐確實會向內查看您的內部網絡。企業利用這些蜜罐來發現惡意入侵,然後引誘黑客離開,同時了解他們的情況。它們相對容易設置和使用,儘管它們收集的信息不如它們的研究同類那麼多!然而,生產蜜罐仍然可以監控和收集企業網絡內部的網絡安全數據,並在與生產服務器一起放置在網絡內部時增強安全性。
接下來我們就來看看高交互蜜罐和低交互蜜罐!
💤低互動
低交互蜜罐讓一切變得輕鬆。它們並不需要大量資源,並且會收集有關即將到來的威脅的基本信息 - 例如它們來自何處以及它們的嚴重程度。只需一點專業知識和一些 TCP、IP 協議和網絡服務就可以快速設置這些蜜罐,並且一個物理系統可以託管大量虛擬機。低交互蜜罐中並沒有過多的複雜代碼,但這也意味著它們不會讓黑客長時間忙碌——而且他們也不會收集有關其方法的太多有用信息。
🔆高互動
然而,高交互蜜罐才是最有效的!這些蜜罐希望黑客浪費時間,以便他們可以密切監視它們,深入了解他們的方法、動機和所使用的任何漏洞。使用高交互蜜罐的組織將獲得一份有關黑客趨勢的詳細報告,這在主動保護其真實網絡時非常有用。正如您所料,高交互蜜罐使用更多資源,需要更多時間來設置,並且需要經常維護。
蜜罐也有各種虛擬形狀和大小,具體取決於它們旨在解決的威脅。以下是一些更常見的變體。
💌電子郵件
最聰明的電子郵件蜜罐被放置在隱藏的位置。這樣,合法發件人就無法到達該地址或向其發送郵件——只有自動收割機。因此,任何進入收件箱的郵件都會被自動標記為垃圾郵件。然後,所需要做的就是阻止郵件並將發件人的 IP 添加到拒絕列表中。
♊誘餌
基本防火牆有時可能無法檢測 SQL 注入 - 攻擊者不會迴避這種策略。因此,為了防止這種情況,企業可能會決定使用數據庫防火牆,其中一些防火牆支持蜜罐。然後,任何入侵者都會遇到虛假數據庫,而實際網絡仍然安全。
🦠惡意軟件
惡意軟件蜜罐通過利用已知的攻擊向量來嗅探惡意軟件。然後,可以手動或使用模擬驅動器的蜜罐檢查 USB 驅動器和其他復制向量是否有修改。