你有没有想过黑客如何闯入现场系统?您想保留任何潜在的攻击者是否可以在不使用生产系统的情况下收集有关他的信息?您想立即检测攻击者是否尝试登录系统或检索数据?
一种观察和做这些事情的方法是部署一个蜜罐。它是你网络上的一个系统,充当诱饵,引诱潜在的黑客,就像熊被引诱到蜂蜜上一样。蜜罐不包含任何实时数据或信息,但它们可能包含错误信息。此外,一个蜜罐应该防止入侵者访问您的网络受保护的区域。
一个正确配置的蜜罐应该具有与生产系统相同的许多特性。这将包括图形界面、登录警告消息、数据字段等。入侵者不应该能够检测到他在一个蜜罐系统上,他的行动被监视。
蜜罐系统的好处
许多组织都想知道他们为什么要花费金钱和时间来建立一个吸引黑客的系统。尽管蜜罐有这么多好处,但真正的问题应该是为什么你还没有设置一个蜜罐。
蜜罐最重要的价值基于它获得的信息,并可以立即警惕。进入和离开蜜罐的数据允许安全人员收集入侵检测系统(IDS)无法获得的信息。即使使用用于建立它,也可以在会话期间记录攻击者的击键。此外,任何访问系统的尝试都可以触发立即警报。
IDS需要公开的签名来检测攻击,但它往往无法检测到当时还不知道的漏洞。另一方面,蜜罐可以根据攻击者的行为检测安全社区可能不知道的漏洞。这些通常被称为零日攻击。
可以利用蜜罐收集的数据来增强其他安全技术。您可以将从蜜罐机生成的日志与其他系统日志,IDS警报和防火墙日志相关联。这可以在组织中产生全面的可疑活动,并启用要配置的更相关的警报,可以产生更少的误报。
蜜罐的另一个好处是,一旦攻击者进入系统,它可能会挫败他们并导致他们停止攻击组织的网络。蜜罐中花费的时间越多意味着在生产系统上花费的时间更少。
蜜罐的设计和操作
有各种操作系统和服务可以使用蜜罐。高互动蜜罐可以提供攻击者可以与之交互的完整生产型系统。
另一端是一种低相互作用的蜜罐,用于模拟生产系统的特定功能。这些更有限,但它们对于在更高级别获得信息非常有用。在我的经验中,高互动蜜罐是最有利的,因为它可以完全模拟生产环境。但是,它需要最多的时间来部署和配置。
为您的蜜罐配置合适的警报至关重要。您应该为发送到集中式记录服务器的蜜罐中的所有设备的日志,并且每当攻击者进入环境时都应该分页安全人员。这将使人员能够跟踪攻击者并密切监视生产环境以确保它是安全的。
重要的是您的蜜罐系统对潜在的攻击者具有吸引力。它不应该像生产系统一样安全。它应该具有响应端口扫描的端口,具有用户帐户和各种系统文件。假帐帐户的密码应该薄弱,并且某些易受攻击的端口应露开。这将鼓励攻击者进入蜜罐环境与现场生产环境。
攻击者通常攻击侵害具有更强防御的环境不太安全的环境。这允许安全员工了解黑客如何绕过标准控制,然后他们可以进行任何必要的调整。
您可以部署物理或虚拟蜜罐。在大多数情况下,最好部署虚拟蜜罐,因为它更加可扩展,更易于维护。您可以只在一个物理机器上拥有数千个蜜罐,加上虚拟蜜罐通常不那么便宜,以便部署和更容易访问。
内部网络上的蜜罐可以防止内幕威胁
蜜罐还可以保护一个组织免受内部威胁。根据2016年网络安全情报调查,IBM发现60%的攻击都是由内部人员发起的.一个蜜罐应该部署在您的内部网络中,并且只有最小数量的员工应该知道系统的存在。内部部署比外部部署更受青睐,因为内部攻击的数量更多,而且很多黑客更喜欢建立命令控制服务器,以便与内部网络中受损的服务器进行通信。
Honeyd是一个用于创建蜜罐的开源工具。它是一个守护进程,可以用来创建许多虚拟主机。您可以对每个主机进行不同的配置,并在其上运行各种服务。它们可以配置为在不同的操作系统上运行。您可以建立真正的HTTP服务器、FTP服务器,并在其上运行Linux应用程序。它还允许您模拟各种网络拓扑。
研究人员大多使用蜜罐来研究攻击者的战术和技术。但正如我之前解释的那样,它们对后卫也非常有用。现在是时候让更多的组织考虑使用它们作为一种主动的方式来保护他们的网络了。
对于管理大量敏感数据的组织来说,部署它们的好处远远大于成本。