將偽造的系統(tǒng)設(shè)置為誘餌，您可以獲取有關(guān)潛在威脅的寶貴信息。蜜罐提供了我所知的檢測(cè)組織內(nèi)部或外部的攻擊者或未經(jīng)授權(quán)的窺探者的最佳方法。

數(shù)十年來(lái)，蜜罐一直沒(méi)有騰飛，雖然數(shù)量繼續(xù)增長(zhǎng)，但它們似乎終于達(dá)到了臨界點(diǎn)。

如果您正在考慮蜜罐部署，則必須做出10個(gè)決定。

1. 目的是什么?

蜜罐通常用于兩個(gè)主要原因：預(yù)警或惡意行為分析。我是早期預(yù)警蜜罐的忠實(shí)擁護(hù)者，您可以在其中建立一個(gè)或多個(gè)偽造系統(tǒng)，這些偽造系統(tǒng)甚至?xí)簧约犹綔y(cè)就立即記錄下惡意信息。

預(yù)警蜜罐非常適合捕獲其他系統(tǒng)遺漏的黑客和惡意軟件。為什么?由于蜜罐系統(tǒng)是偽造的，因此任何單一的連接嘗試或探測(cè)(在過(guò)濾掉正常廣播和其他合法流量之后)都意味著惡意行為即將到來(lái)。

公司部署蜜罐的另一個(gè)主要原因是幫助分析惡意軟件(尤其是0Day)或幫助確定黑客的意圖。

通常，預(yù)警蜜罐比惡意行為分析蜜罐更容易設(shè)置和維護(hù)。使用預(yù)警蜜罐，當(dāng)您檢測(cè)到探針或連接嘗試時(shí)，僅進(jìn)行連接嘗試即可為您提供所需的信息，并且您可以將探針追溯到其起源，以開(kāi)始下一次防御。

可以捕獲和隔離惡意軟件或黑客工具的取證分析蜜罐，僅僅是非常全面的分析鏈的開(kāi)始。我告訴我的客戶(hù)計(jì)劃為使用蜜罐進(jìn)行的每個(gè)分析分配幾天到幾周的時(shí)間。

2. 蜜罐要做什么?

您的蜜罐模擬通常是由您認(rèn)為可以最好地最早發(fā)現(xiàn)黑客或最好地保護(hù)您的重要資產(chǎn)驅(qū)動(dòng)的。大多數(shù)蜜罐都模仿應(yīng)用程序服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器和憑據(jù)數(shù)據(jù)庫(kù)(例如域控制器)。

您可以部署一個(gè)蜜罐來(lái)模擬您環(huán)境中的每個(gè)可能的廣告端口和服務(wù)，也可以部署多個(gè)蜜罐，每個(gè)蜜罐都專(zhuān)用于模仿特定的服務(wù)器類(lèi)型。有時(shí)，蜜罐用于模擬網(wǎng)絡(luò)設(shè)備，例如Cisco路由器，無(wú)線集線器或安全設(shè)備。您認(rèn)為黑客或惡意軟件最有可能攻擊的是您的蜜罐應(yīng)該模仿的東西。

3. 什么交互水平?

蜜罐分為低交互、中交互和高交互。

• 低交互性蜜罐僅模擬端口掃描程序可能檢測(cè)到的最基本級(jí)別的偵聽(tīng)UDP或TCP端口。但是他們不允許完全連接或登錄。低交互性蜜罐非常適合提供惡意行為的預(yù)警。
• 中交互的蜜罐提供了更多的仿真功能，通常使連接或登錄嘗試看起來(lái)很成功。它們甚至可能包含可以用來(lái)欺騙攻擊者的基本文件結(jié)構(gòu)和內(nèi)容。
• 高交互性蜜罐通常會(huì)提供其仿真服務(wù)器的完整或接近完整的副本。它們對(duì)于取證分析非常有用，因?yàn)樗鼈兘?jīng)常誘騙黑客和惡意軟件以揭示更多誘騙手段。

4. 您應(yīng)該將蜜罐放在哪里?

我認(rèn)為，大多數(shù)蜜罐應(yīng)放置在它們?cè)噲D模仿的資產(chǎn)附近。如果您有SQLServer蜜罐，請(qǐng)將其放置在實(shí)際SQLServer所在的相同數(shù)據(jù)中心或IP地址空間中。一些蜜罐發(fā)燒友喜歡將其蜜罐放置在DMZ中，因此，如果黑客或惡意軟件在該安全域中松散，他們可以收到預(yù)警。如果您有一家跨國(guó)公司，請(qǐng)將蜜罐放在世界各地。甚至有一些企業(yè)放置了模仿CEO或其他高級(jí)C級(jí)員工的筆記本電腦的蜜罐，以檢測(cè)黑客是否試圖破壞這些系統(tǒng)。

5. 真正的系統(tǒng)或仿真軟件?

大多數(shù)蜜罐都是完全運(yùn)行的系統(tǒng)，其中包含真實(shí)的操作系統(tǒng)-通常是準(zhǔn)備退役的舊計(jì)算機(jī)。真正的系統(tǒng)對(duì)蜜罐非常有用，因?yàn)楣粽邿o(wú)法輕易地判斷出它們是蜜罐。

6. 開(kāi)源還是商業(yè)?

有數(shù)十種蜜罐軟件程序，但是在發(fā)布后的一年內(nèi)，很少有人支持或積極更新它們。商業(yè)軟件和開(kāi)源軟件都是如此。如果您發(fā)現(xiàn)蜜罐產(chǎn)品的更新時(shí)間超過(guò)一年左右，那么您就找到了一顆寶石。

無(wú)論是新的還是舊的商業(yè)產(chǎn)品，通常都更易于安裝和使用。像Honeyd(最受歡迎的程序之一)這樣的開(kāi)放源代碼產(chǎn)品通常很難安裝，但通常更具可配置性。例如，Honeyd可以仿真近100種不同的操作系統(tǒng)和設(shè)備，甚至可以仿真到Subversion級(jí)別(WindowsXPSP1與SP2等)，并且可以與數(shù)百個(gè)其他開(kāi)源程序集成以添加功能。

7. 哪個(gè)蜜罐產(chǎn)品?

如果您選擇開(kāi)放源代碼產(chǎn)品，Honeyd很好，但對(duì)于初次蜜罐用戶(hù)來(lái)說(shuō)可能過(guò)于復(fù)雜。幾個(gè)與Honeypot相關(guān)的網(wǎng)站(例如Honeypots.net)匯總了數(shù)百個(gè)honeypot文章，并鏈接到honeypot軟件站點(diǎn)。

8. 誰(shuí)應(yīng)該管理蜜罐?

蜜罐不是一勞永逸的解決方案。相反，您需要至少一個(gè)人來(lái)?yè)碛忻酃薜乃袡?quán)。該人員必須計(jì)劃，安裝，配置，更新和監(jiān)視蜜罐。如果您不任命至少一個(gè)蜜罐管理員，它將變得被忽略，毫無(wú)用處，并且在最壞的情況下，這將成為黑客的跳板。

9. 您將如何刷新數(shù)據(jù)?

如果部署高交互性蜜罐，它將需要一些數(shù)據(jù)和內(nèi)容，以使其看起來(lái)更真實(shí)。從其他地方獲得一次性數(shù)據(jù)副本是不夠的，您需要保持內(nèi)容新鮮。

確定更新頻率和更新方式。我最喜歡的方法之一是使用免費(fèi)提供的復(fù)制程序或復(fù)制命令從另一臺(tái)類(lèi)似類(lèi)型的服務(wù)器復(fù)制非私有數(shù)據(jù)-并每天使用計(jì)劃任務(wù)或cron作業(yè)啟動(dòng)復(fù)制。有時(shí)，我會(huì)在復(fù)制過(guò)程中重命名數(shù)據(jù)，以使數(shù)據(jù)看起來(lái)比實(shí)際情況更為機(jī)密。

10. 您應(yīng)該使用哪些監(jiān)視和警報(bào)工具?

除非您啟用監(jiān)視惡意活動(dòng)的能力，并且在發(fā)生威脅事件時(shí)設(shè)置警報(bào)，否則蜜罐沒(méi)有任何價(jià)值。通常，您將需要使用組織常規(guī)用于此目的的任何方法和工具。但請(qǐng)注意：在任何蜜罐計(jì)劃周期中，確定要監(jiān)視和提醒的內(nèi)容通常是最耗時(shí)的部分。