你有没有想过黑客是如何入侵一个系统的?您是否希望占用任何潜在攻击者的时间,以便在不使用生产系统的情况下收集有关他的信息?当攻击者试图登录您的系统或检索数据时,您是否希望立即检测到?
一种观察和做这些事情的方法是部署一个蜜罐。它是你网络上的一个系统,充当诱饵,引诱潜在的黑客,就像熊被引诱到蜂蜜上一样。蜜罐不包含任何实时数据或信息,但它们可能包含错误信息。此外,一个蜜罐应该防止入侵者访问您的网络受保护的区域。
一个正确配置的蜜罐应该具有与生产系统相同的许多特性。这将包括图形界面、登录警告消息、数据字段等。入侵者不应该能够检测到他在一个蜜罐系统上,他的行动被监视。
蜜罐系统的好处
许多组织都想知道他们为什么要花费金钱和时间来建立一个吸引黑客的系统。尽管蜜罐有这么多好处,但真正的问题应该是为什么你还没有设置一个蜜罐。
蜜罐最重要的值是基于它获得的信息,并能立即发出警报。进入和离开蜜罐的数据允许安全人员收集入侵检测系统(IDS)无法获得的信息。攻击者的击键可以在会话期间被记录下来,即使使用了加密来建立它。此外,任何访问系统的尝试都可以立即触发警报。
IDS需要公开的签名来检测攻击,但它往往无法检测到当时还不知道的漏洞。另一方面,蜜罐可以根据攻击者的行为检测安全社区可能不知道的漏洞。这些通常被称为零日攻击。
蜜罐收集的数据可以用来加强其他安全技术。您可以将蜜罐生成的日志与其他系统日志、IDS警报和防火墙日志关联起来。这可以生成组织内可疑活动的全面图像,并可以配置更多相关警报,从而产生更少的误报。
蜜罐的另一个好处是,一旦攻击者进入系统,它可以挫败他们,使他们停止攻击组织的网络。花在蜜罐上的时间越多,就意味着花在生产系统上的时间越少。
蜜罐的设计与操作
蜜罐可以使用多种操作系统和服务。一个高交互的蜜罐可以提供一个完整的生产型系统,攻击者可以与之交互。
另一端是一个低交互的蜜罐,模拟生产系统的特定功能。这些方法比较有限,但对于获取更高层次的信息很有用。根据我的经验,高交互的蜜罐是最有益的,因为它可以完全模拟生产环境。但是,部署和配置需要的时间最多。
为您的蜜罐配置适当的警报是非常重要的。您应该将蜜罐中所有设备的日志发送到一个集中的日志服务器,并且当攻击者进入环境时,应该对安全人员进行分页。这将使工作人员能够跟踪攻击者并密切监视生产环境,以确保它是安全的。
重要的是你的蜜罐系统会吸引潜在的攻击者。它不应该像您的生产系统那样安全。它应该有响应端口扫描的端口,有用户帐户和各种系统文件。虚假账户的密码应该是弱的,某些易受攻击的端口应该保持开放。这将鼓励攻击者进入蜜罐环境而不是实时生产环境。
攻击者通常先攻击不太安全的环境,然后再攻击防御较强的环境。这允许安全人员了解黑客如何绕过标准控制,然后他们可以做出任何必要的调整。
您可以部署物理蜜罐或虚拟蜜罐。在大多数情况下,最好部署虚拟蜜罐,因为它更易于扩展和维护。您可以在一台物理机器上拥有数千个蜜罐,而且虚拟蜜罐的部署成本通常更低,而且更容易访问。
内部网络上的蜜罐保护免受内部威胁
蜜罐还可以保护一个组织免受内部威胁。根据2016年网络安全情报调查,IBM发现60%的攻击都是由内部人员发起的.一个蜜罐应该部署在您的内部网络中,并且只有最小数量的员工应该知道系统的存在。内部部署比外部部署更受青睐,因为内部攻击的数量更多,而且很多黑客更喜欢建立命令控制服务器,以便与内部网络中受损的服务器进行通信。
Honeyd是一个用于创建蜜罐的开源工具。它是一个守护进程,可以用来创建许多虚拟主机。您可以对每个主机进行不同的配置,并在其上运行各种服务。它们可以配置为在不同的操作系统上运行。您可以建立真正的HTTP服务器、FTP服务器,并在其上运行Linux应用程序。它还允许您模拟各种网络拓扑。
研究人员大多使用蜜罐来研究攻击者的战术和技术。但正如我之前解释的那样,它们对后卫也非常有用。现在是时候让更多的组织考虑使用它们作为一种主动的方式来保护他们的网络了。
对于管理大量敏感数据的组织来说,部署它们的好处远远大于成本。