《虚拟蜜罐》新书的作者讨论了最新的安全工具。
Niels Provos和Thorsten Holz在他们的新书中告诉我们,蜜罐只是一个“被严密监视的计算资源,我们想要被探测、攻击或妥协”,虚拟的“粘蜜罐”。
“蜜罐”可以捕获有关非法使用、攻击的信息,还可能检测到人们不太了解的漏洞。它们的最新模型,虚拟蜜罐,仅仅是那些在虚拟环境中运行的蜜罐,比如VMware。
在采访中有个足球雷竞技app网络世界的年代埃伦·梅斯默,普罗沃斯大学的高级工程师谷歌他开发了开源蜜罐Honeyd)和Holz(德国蜜网项目的创始人,曼海姆大学可靠分布式系统实验室的研究生)讨论了构建虚拟蜜罐的最新工具。
那么什么是虚拟蜜罐呢?
Provos:蜜罐技术可以用于僵尸网络跟踪或恶意代码收集等,与虚拟蜜罐的不同之处在于远程管理它很方便。从网络的角度来看,虚拟蜜罐看起来就像一台物理机器。您可以有一个低交互的蜜罐,它通常只公开选定的网络服务,或者有一个高交互的蜜罐,使用一个在网络层虚拟化的完整操作系统。
霍尔兹:你可以使用蜜罐来保护你网络中的客户或检测内部威胁。
虚拟蜜罐需要特殊工具吗?
霍尔兹:您可以使用可用的工具,它们在客户操作系统中运行。
在你的书中,你讨论了一些最新的蜜罐工具。例如,您提到了客户端蜜罐,特别是由工程师Kathy Wang开发的用于检测对Windows客户端的攻击的HoneyClient虚拟机工具。
霍尔兹:你可以在www.honeyclient.org上找到很多,这是一个Mitre项目。
其他工具有Capture、Nepenthes和Honeyd。Nepenthes是一种用于模拟网络服务漏洞的工具,在德国蜜网项目中使用,我们正与亚琛大学在这方面密切合作。在亚琛,我们经营它是为了保护自己。它是安全的基石。一些isp使用我们的工具来检测受感染用户的迹象。
书中还提到了荷兰阿姆斯特丹自由大学(Vrije Universiteit Amsterdam)开发的Argos。阿哥斯是什么?
Provos:使用Argos,你可以在没有签名的情况下检测到新的攻击。阿尔戈斯的人进行了信息流跟踪或“污染”,以确定发送到蜜罐的任何信息最终是否影响了蜜罐内部。
这个叫做山羊比利的工具是什么?
霍尔兹:基本的想法是模拟脆弱的网络服务。山羊比利是封闭资源,由IBM,并部署在IBM。
那么你提到的另外两个工具,Collapsar和Potemkin虚拟蜂蜜农场呢?
Provos:来自普渡大学的Collapsar的想法是能够在互联网上部署节点,但分析是集中的。由加州大学的研究人员开发的Potemkin虚拟蜂蜜农场在一个网络上提供了很多地址,并为所有地址提供了高调的地址。这是一个轻量级的蜜罐系统,一个克隆的蜜罐。在这一点上,我不认为它是开源的。
蜜墙是干什么用的?
霍尔兹:有了Honeywall,你就有了一种降低风险的设备。如果一个饼干危及你的蜜罐,你想把他包含在蜜网。它是一种入侵防御系统,可以防止外发攻击。
谷歌会使用蜜罐来监视攻击吗?
Provos:我不能说谷歌。
正如你在书中指出的那样,可能有法律上的原因——有时会提到诱捕的法律概念——这可能会阻止使用蜜罐,即使是出于保护目的。
普罗沃斯:我们不是律师,所以如果你想用蜜罐的话,我们建议你和你的法律顾问谈谈。但我们希望看到一个顶尖的律师真正研究这一领域。
似乎没有很多商业蜜罐产品,你也不怎么听到人们谈论蜜罐。
Provos:许多防病毒公司使用蜜罐。很多时候,人们不想讨论他们为了发现问题而发布的内容。即使你不打算部署一个蜜罐,在我们的书中,你也会了解到僵尸网络和内部攻击。