蜜罐在行動中捕獲黑客的陷阱

高楓

蜜罐是IT專業(yè)人員鎖定了惡意黑客，希望他們會在提供有用的情報的方式與之交互陷阱。這是IT中最古老的安全措施之一，但要注意：即使在孤立的系統(tǒng)上，將黑客吸引到您的網(wǎng)絡(luò)上也是一種危險的游戲。蜜罐是一種計算機(jī)或計算機(jī)系統(tǒng)，旨在模仿可能的網(wǎng)絡(luò)攻擊目標(biāo)。通常情況下，蜜罐會被故意配置已知的漏洞，以便為攻擊者制定更具誘惑力或明顯的目標(biāo)。蜜罐不會包含生產(chǎn)數(shù)據(jù)或參與您網(wǎng)絡(luò)上的合法流量，就是您可以通過攻擊來判斷其中發(fā)生任何事情的方式。

蜜罐類型

蜜罐的分類有2種不同的方案：一種基于它們的構(gòu)建方式，另一種基于它們的用途。

純蜜罐是這樣一種方式，在攻擊者引誘下配置一個物理服務(wù)器。特殊監(jiān)控軟件會密切關(guān)注蜜罐與網(wǎng)絡(luò)其它部分之間的連接。由于這些都是成熟的機(jī)器，它們?yōu)楣粽咛峁┝烁颖普娴哪繕?biāo)，但攻擊者可能會在蜜罐的創(chuàng)建者身上轉(zhuǎn)換表格并使用蜜罐作為攻擊的臨時服務(wù)器。他們配置和管理也是勞動密集型的。

高交互蜜罐使用的虛擬機(jī)，與保持潛在的損害系統(tǒng)隔離。多個虛擬蜜罐可以在單個物理設(shè)備上運(yùn)行，這樣可以更容易地擴(kuò)展到多個蜜罐和沙箱受損系統(tǒng)，然后關(guān)閉并重新啟動它們，恢復(fù)到原始狀態(tài)。但是，每個VM仍然是一個成熟的服務(wù)器，具有所有附帶的配置成本。

一個低交互蜜罐是一個VM只運(yùn)行一組有限的服務(wù)代表最常見的攻擊向量或攻擊媒介隊伍建設(shè)的蜜罐是最感興趣的，這種類型的蜜罐是更容易建立和維護(hù)，消耗資源較少，但更有可能對攻擊者“假”。

將蜜罐分開的另一種方法是建立它們的人背后的意圖：有研究蜜罐和生產(chǎn)蜜罐。二者之間的區(qū)別進(jìn)入了蜜罐在實踐中實際使用的雜草，因此我們將在下一步討論。

蜜罐和蜜網(wǎng)之間的區(qū)別

蜜網(wǎng)是蜜罐概念的合理延伸。蜜罐是一臺獨(dú)立的機(jī)器（或虛擬機(jī)），而蜜網(wǎng)則是一系列聯(lián)網(wǎng)的蜜罐。當(dāng)然，攻擊者不僅希望在受害者的基礎(chǔ)設(shè)施上找到一臺機(jī)器，而且還會找到許多不同專用類型的服務(wù)器。例如，通過觀察攻擊者在網(wǎng)絡(luò)中從文件服務(wù)器移動到網(wǎng)絡(luò)服務(wù)器，將更好地了解他們正在做什么以及他們?nèi)绾巫?，而且他們認(rèn)為真的進(jìn)入了你的網(wǎng)絡(luò)。蜜網(wǎng)的一個關(guān)鍵特性是它們作為真實網(wǎng)絡(luò)連接和交互，因為模擬或抽象層將是一個提示。

蜜罐和蜜網(wǎng)是所謂的欺騙技術(shù)的基礎(chǔ)。欺騙產(chǎn)品通常包括蜜罐和蜜網(wǎng)，但也可能在生產(chǎn)服務(wù)器上放置“誘餌”文件。這個類別“或多或少是指現(xiàn)代的，動態(tài)的蜜罐和蜜網(wǎng)”。最大的區(qū)別在于欺騙技術(shù)包括自動化功能，允許工具實時響應(yīng)攻擊，吸引攻擊者欺騙資產(chǎn)而不是真正的對手。

蜜罐技術(shù)本質(zhì)上是一種對攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使黑客對它們實施攻擊，從而可以對攻擊行為進(jìn)行監(jiān)控和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機(jī)，能夠讓企業(yè)清晰地了解他們所面對的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)現(xiàn)有系統(tǒng)的安全防護(hù)能力。

我們的有影攻擊誘捕系統(tǒng)（以下簡稱有影）是一款基于欺騙技術(shù)設(shè)計研發(fā)的內(nèi)網(wǎng)威脅感知系統(tǒng)?？扇嫣嵘齼?nèi)網(wǎng)發(fā)現(xiàn)、記錄和朔源攻擊行為的能力。欺騙技術(shù)作為一種新型的網(wǎng)絡(luò)威脅防御技術(shù)，除了對常見勒索軟件、魚叉式網(wǎng)絡(luò)釣魚、偵察和憑據(jù)盜竊具有有效偵測能力外，也是目前能夠發(fā)現(xiàn)、分析和防御如“0 day”等APT高級攻擊最有效的技術(shù)產(chǎn)品之一。

有影能夠?qū)崿F(xiàn)全流量、高精度的網(wǎng)絡(luò)威脅實時捕獲和檢測，定位威脅源頭并監(jiān)控各種攻擊行為；通過對元數(shù)據(jù)、脆弱性數(shù)據(jù)、資產(chǎn)信息、安全事件、運(yùn)行狀態(tài)、審計日志和威脅情報等警報的全面記錄與分析，提升了對定向攻擊、高級威脅的發(fā)現(xiàn)和溯源能力，從而達(dá)成對潛在威脅、未知威脅的持續(xù)檢測效果。

有影系統(tǒng)的行為檢測機(jī)制，可準(zhǔn)確、高效地識別各種已知攻擊。同時配合HIDS等技術(shù)可有效感知系統(tǒng)的進(jìn)程、線程、網(wǎng)絡(luò)、系統(tǒng)日志、注冊表、服務(wù)以及崩潰等系統(tǒng)事件的發(fā)生，可及時發(fā)現(xiàn)攻擊者并進(jìn)行隔離，徹底解決了以往基于模式匹配技術(shù)的網(wǎng)絡(luò)安全產(chǎn)品片面依賴攻擊特征簽名數(shù)量來檢測攻擊的弊端，極大提高了檢測效率，擴(kuò)大了檢測范圍。

據(jù)統(tǒng)計，對于網(wǎng)絡(luò)入侵，企業(yè)的平均響應(yīng)時間長達(dá)99天，對于政府、金融等被黑客重點照顧的行業(yè)來說，欺騙技術(shù)還可以極大縮短事故修復(fù)時間，將信息泄露降到最低。

網(wǎng)絡(luò)欺騙平臺目前被政府、執(zhí)法機(jī)構(gòu)和世界500強(qiáng)企業(yè)使用，證明了欺騙在IT安全方面的技術(shù)和專業(yè)知識的有效。