APP下载

部署蜜罐时需要考虑的10个因素

2020-04-01王英哲

计算机与网络 2020年21期
关键词:蜜罐黑客预警

王英哲

将伪造的系统设置为诱饵,可以获取有关潜在威胁的宝贵信息,蜜罐提供了检测组织内部、外部的攻击者,或未经授权窥探者的最佳方法。

数十年来,蜜罐一直没有腾飞,虽然数量继续增长,但它们似乎终于达到了临界点,如果您正在考虑蜜罐部署,则必须考虑以下10个因素。

目的是什么

蜜罐通常有2个作用:预警或恶意行为分析。可以在其中建立一个或多个伪造系统,这些伪造系统只要会被稍加探测就能立即记录下恶意信息。

预警蜜罐非常适合捕获其他系统遗漏的黑客和恶意软件。为什么?由于蜜罐系统是伪造的,因此任何单一的连接尝试或探测(在过滤掉正常广播和其他合法流量之后)都意味着恶意行为即将到来。

公司部署蜜罐的另一个主要原因是帮助分析恶意软件(尤其是0Day)或确定黑客的意图。

通常,预警蜜罐比恶意行为分析蜜罐更容易设置和维护。使用预警蜜罐,当检测到探针或连接尝试时,仅进行连接尝试即可为您提供所需的信息,并且可以将探针追溯到其起源,以开始下一次防御。

可以捕获和隔离恶意软件或黑客工具的取证分析蜜罐,仅仅是全面分析链的开始。

蜜罐要做什么

蜜罐模拟通常是由认为可以最好、最早发现黑客或最好地保护重要资产驱动的。大多数蜜罐都模仿应用程序服务器、数据库服务器、Web服务器和凭据数据库(例如域控制器)。

可以部署一个蜜罐来模拟每个可能的广告端口和服务,也可以部署多个蜜罐,每个蜜罐都专用于模仿特定的服务器类型。有时,蜜罐用于模拟网络设备,例如Cisco路由器、无线集线器或安全设备。认为黑客或恶意软件最有可能攻击的就是蜜罐应该模仿的东西。

什么交互水平

蜜罐分为低交互、中交互和高交互。

低交互性蜜罐仅模拟端口扫描程序,可能检测到最基本级别的侦听UDP或TCP端口,但是他们不允许完全连接或登录。低交互性蜜罐非常适合提供恶意行为的预警。

中交互蜜罐提供了更多的仿真功能,通常使连接或登录尝试看起来很成功,甚至可能包含可以用来欺骗攻擊者的基本文件结构和内容。

高交互性蜜罐通常会提供仿真服务器的完整或接近完整的副本。他们对于取证分析非常有用,因为他们可以诱骗黑客和恶意软件以揭示更多诱骗手段。

应该将蜜罐放在哪里

大多数蜜罐应放置在他们试图模仿的资产附近。如果有SQLServer蜜罐,请将其放置在实际SQLServer所在的相同数据中心或IP地址空间中。一些蜜罐发烧友喜欢将蜜罐放置在DMZ中,如果黑客或恶意软件在该安全域中,他们可以收到预警。如果您有一家跨国公司,请将蜜罐放在世界各地,甚至有一些企业放置了模仿CEO或其他高级C级员工笔记本电脑的蜜罐,以检测黑客是否企图破坏这些系统。

真正的系统或仿真软件

大多数蜜罐都是完全运行的系统,其中包含真实的操作系统———通常是准备退役的旧计算机。真正的系统对蜜罐非常有用,因为攻击者无法轻易地判断出他们是蜜罐。

开源还是商业

有数十种蜜罐软件程序,但是在发布后的一年内,很少有人支持或积极更新它们,商业软件和开源软件都是如此。如果发现蜜罐产品的更新时间超过一年,那么您就找到了一颗宝石。

无论是新的还是旧的商业产品,通常都更易于安装和使用,像Honeyd(最受欢迎的程序之一)这样的开放源代码产品通常很难安装,但通常更具可配置性。例如,Honeyd可以仿真近100种不同的操作系统和设备,甚至可以仿真到Subversion级别(WindowsXPSP1与SP2),并且可以与数百个其他开源程序集成添加功能。

哪个蜜罐产品

如果选择开放源代码产品,Honeyd很好,但对于初级蜜罐用户来说可能过于复杂。几个与Honeypot相关的网站(例如Honeypots.net)汇总了数百个Honeypot文章,并链接到Honeypot软件站点。

谁应该管理蜜罐

蜜罐不是一劳永逸的解决方案。相反,需要至少一个人来拥有蜜罐的所有权。该人员必须计划、安装、配置、更新和监视蜜罐。如果不至少任命一个蜜罐管理员,它将变得被忽略,毫无用处,并且在最坏的情况下,将成为黑客的跳板。

如何刷新数据

如果部署高交互性蜜罐,将需要一些数据和内容,以使其看起来更真实,从其他地方获得一次性数据副本是不够的,需要保持内容新鲜。

确定更新频率和更新方式,方法之一是使用免费提供的复制程序或复制命令从另一台类似类型的服务器复制非私有数据,并每天使用计划任务或cron作业启动复制。还可以在复制过程中重命名数据,使数据看起来比实际情况更为机密。

应该使用哪些监视和警报工具

除非启用监视恶意活动的能力,并且在发生威胁事件时设置警报,否则蜜罐没有任何价值,通常使用组织常规用于此目的的任何方法和工具。但请注意:在任何蜜罐计划周期中,确定要监视和提醒的内容通常是最耗时的部分。

猜你喜欢

蜜罐黑客预警
嘻哈动物帮
超级秀场 大风预警
金融系统中的早期预警信号及其统计物理性质
高交互蜜罐和低交互蜜罐之间的区别
被自己撑死的蜜罐蚁
蜜罐蚁
黑客传说
卷烟工业企业产品质量预警机制的建立
最黑客等3则