【51CTO.com快譯】雖然以偽造系統(tǒng)作為誘餌能夠幫助大家排除潛在威脅，然而此類蜜罐方案的具體實(shí)施仍會(huì)帶來(lái)一系列亟待解決的難題。

[[173470]]

蜜罐是一種檢測(cè)攻擊者或者識(shí)別企業(yè)內(nèi)外潛在威脅因素的理想的方式。

經(jīng)歷了數(shù)十年的緩慢發(fā)展，如今蜜罐終于迎來(lái)了飛躍期。而如果大家也已經(jīng)在考慮部署自己的首套蜜罐，那么以下十項(xiàng)重要決策必須加以認(rèn)真考量。

1. 目的是什么？

蜜罐的主要用途有二：預(yù)警與取證分析。我個(gè)人更支持將蜜罐用于預(yù)警，因?yàn)榧傧到y(tǒng)的存在能夠通過(guò)各類試探性行為發(fā)現(xiàn)惡意活動(dòng)。

當(dāng)然，也有一部分企業(yè)選擇部署蜜罐以分析惡意軟件（特別是與零日漏洞相關(guān)的惡意工具）或者協(xié)助判斷黑客意圖。

總體而言，預(yù)警型蜜罐的部署與維護(hù)較取證分析型蜜罐更為輕松便捷。預(yù)警蜜罐的作用在于吸引惡意人士接入，借此獲取相關(guān)信息并據(jù)此設(shè)計(jì)未來(lái)防御體系。

取證分析型蜜罐則用于捕捉并隔離惡意軟件或者黑客工具，其通常需要被包含在一套綜合性的分析鏈之內(nèi)。根據(jù)我的實(shí)踐經(jīng)驗(yàn)，利用蜜罐進(jìn)行分析往往需要耗費(fèi)大量時(shí)間。

2. 蜜罐需要執(zhí)行哪些任務(wù)?

蜜罐的基本作用是模擬核心資產(chǎn)，并借此檢測(cè)針對(duì)這部分資產(chǎn)的黑客活動(dòng)。大多數(shù)蜜罐負(fù)責(zé)模擬應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器以及憑證服務(wù)器等。

大家可以部署單一蜜罐，并利用其模擬環(huán)境中每種潛在的廣告端口與服務(wù); 也可以部署多套蜜罐，其各自模擬一種服務(wù)類型。有時(shí)候蜜罐亦會(huì)被用于模擬網(wǎng)絡(luò)設(shè)備，例如思科路由器、無(wú)線集線器或者安全設(shè)備?？傊?，只要是有可能受到攻擊的因素，皆可利用蜜罐加以模擬。

3. 采用怎樣的交互級(jí)別?

蜜罐被分為低、中及高交互級(jí)別。低交互型蜜罐僅用于模擬基礎(chǔ)層面的UDP或者TCP端口，這些端口可被掃描發(fā)現(xiàn)，但不允許完全連接或者登錄。低交互蜜罐適用于針對(duì)惡意活動(dòng)提供早期警報(bào)。

中級(jí)交互蜜罐的模擬范圍更廣，通常能夠顯示成功接入或者登錄。其中甚至包含部分基礎(chǔ)文件結(jié)構(gòu)及內(nèi)容，用于迷惑攻擊者。高交互級(jí)蜜罐則幾乎能夠完整模擬整套服務(wù)器，其通常用于引誘黑客及惡意軟件入侵以收集更多信息，以供后續(xù)取證分析。

4. 蜜罐應(yīng)該部署在哪里?

在我個(gè)人看來(lái)，大部分蜜罐亦部署在需要模擬的資產(chǎn)周邊。如果大家希望使用一套SQL Server蜜罐，則可將其部署在與實(shí)際SQL Server相同的數(shù)據(jù)中心或者IP地址空間內(nèi)。也有部分用戶傾向于在DMZ中部署蜜罐以獲取早期惡意活動(dòng)警告。某些用戶甚至?xí)妹酃弈MCEO或者其他高管人員的筆記本，用以檢測(cè)黑客是否嘗試入侵這些系統(tǒng)。

5. 這是一套真實(shí)系統(tǒng)抑或模擬軟件?

我所部署的大多數(shù)蜜罐包含真正的操作系統(tǒng)，這是為了更好地迷惑攻擊者。

當(dāng)然，我也經(jīng)常使用各類蜜罐模擬軟件; 我個(gè)人比較偏愛(ài)KFSensor，此類優(yōu)秀的蜜罐軟件易于安裝且內(nèi)置有簽名檢測(cè)與監(jiān)控功能。總之，這類方案適合要求低風(fēng)險(xiǎn)、快速安裝及豐富功能的受眾。

6. 開(kāi)源還是商用?

蜜罐軟件多種多樣，但其中大部分會(huì)很快失去初始開(kāi)發(fā)者的支持——這種情況在商用及開(kāi)源軟件中皆有出現(xiàn)。如果大家能夠找到一套更新時(shí)間超過(guò)一年的蜜罐產(chǎn)品，請(qǐng)務(wù)必將其收藏起來(lái)。

商用產(chǎn)品往往易于安裝及使用。而Honeyd等開(kāi)源產(chǎn)品則往往難于安裝，但卻通常更具可配置性。以Honeyd為例，其能夠模擬近100種不同操作系統(tǒng)及設(shè)備，且能夠與其它數(shù)百種開(kāi)源程序相集成以實(shí)現(xiàn)功能添加。

7. 選擇哪款蜜罐產(chǎn)品?

我個(gè)人選擇易于使用、功能豐富且具備良好支持的商用產(chǎn)品，例如KFSensor。如果大家希望使用開(kāi)源方案，那么Honeyd是個(gè)理想選擇——但對(duì)于新手而言其使用可能較為復(fù)雜。

8.蜜罐應(yīng)由誰(shuí)管理?

蜜罐同樣需要后續(xù)管理及維護(hù)，因此大家至少需要委派一名員工專門(mén)負(fù)責(zé)。這位員工需要規(guī)劃、安裝、配置、更新及監(jiān)控蜜罐。再次強(qiáng)調(diào)，與其它軟件一樣，不加維護(hù)會(huì)導(dǎo)致其徹底失效甚至淪為黑客的跳板。

9. 如何更新數(shù)據(jù)?

如果決定部署一套高交互級(jí)蜜罐，那么大家需要為其提供數(shù)據(jù)與內(nèi)容以提升真實(shí)性。一次性數(shù)據(jù)副本顯然是不夠的，您需要保證內(nèi)容新鮮有效。

我個(gè)人最喜歡的實(shí)現(xiàn)方法是從另一類似服務(wù)器處復(fù)制非專有數(shù)據(jù)，并利用計(jì)劃任務(wù)或者cron任務(wù)定期執(zhí)行復(fù)制。有時(shí)候我還會(huì)在復(fù)制過(guò)程中對(duì)數(shù)據(jù)進(jìn)行重命名，從而使其看起來(lái)包含更多秘密。

10. 應(yīng)當(dāng)使用哪些監(jiān)控與警報(bào)工具?

如果不對(duì)惡意活動(dòng)加以監(jiān)控并在出現(xiàn)威脅時(shí)發(fā)布警報(bào)，那么蜜罐本身將不具備任何價(jià)值。一般來(lái)講，企業(yè)中的常規(guī)方法與工具在蜜罐中亦同樣適用。不過(guò)請(qǐng)注意，監(jiān)控與警報(bào)內(nèi)容往往是蜜罐規(guī)劃周期當(dāng)中最為耗時(shí)的部分。

原文鏈接：http://www.infoworld.com/article/3128818/security/10-decisions-youll-face-when-deploying-a-honeypot.html

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】