网络安全并不总是攻击者试图攻击无辜受害者和网络的情况。多亏了一个被称为“蜜罐”的诱饵计算机系统,这个角色有时会颠倒过来。
虽然蜜罐可能会让人想起小熊维尼沉浸在一大桶蜂蜜中的形象,但它在网络安全领域有着不同的内涵。
但究竟什么是蜜罐,它如何帮助减轻网络攻击?是否有不同类型的蜜罐,它们是否也带有一些风险因素?让我们来了解一下。
蜜罐是安全团队用来故意诱捕威胁参与者的欺骗技术。作为威胁情报和检测系统的组成部分,蜜罐通过模拟关键基础设施、服务和配置来工作,以便攻击者可以与这些虚假的 IT 资产进行交互。
蜜罐通常部署在组织已经使用的生产系统旁边,可以成为了解更多关于攻击者行为以及他们用于进行安全攻击的工具和策略的宝贵资产。
蜜罐通过故意让网络的一部分对威胁行为者开放,从而将恶意目标吸引到系统中。这允许组织在受控环境中进行网络攻击,以评估其系统中的潜在漏洞。
蜜罐的最终目标是通过利用自适应安全来增强组织的安全态势。如果配置正确,蜜罐可以帮助收集以下信息:
蜜罐的一大优势是您可以将网络上的任何文件服务器、路由器或计算机资源合二为一。除了收集有关安全漏洞的情报外,蜜罐还可以降低误报的风险,因为它只会吸引真正的网络犯罪分子。
蜜罐有多种设计,具体取决于部署类型。我们在下面列出了其中的一些。
蜜罐主要按用途分类,例如生产蜜罐或研究蜜罐。
生产蜜罐:生产蜜罐是最常见的类型,用于收集有关生产网络中网络攻击的情报信息。生产蜜罐可以收集 IP 地址、数据泄露尝试、日期、流量和数量等属性。
虽然生产蜜罐易于设计和部署,但与研究同行不同,它们无法提供复杂的智能。因此,他们大多受雇于私营公司,甚至受雇于名人和政治人物等知名人士。
研究蜜罐:一种更复杂的蜜罐,研究蜜罐用于收集有关攻击者使用的特定方法和策略的信息。它还用于发现系统中存在的与攻击者应用的策略相关的潜在漏洞。
研究蜜罐主要被政府实体、情报界和研究组织用来估计组织的安全风险。
蜜罐也可以按属性分类。这只是意味着根据其交互级别分配诱饵。
高交互蜜罐:这些蜜罐不会保存太多数据。它们的设计目的不是模仿一个完整的生产系统,但它们确实运行了一个生产系统会运行的所有服务——比如一个全功能的操作系统。这些类型的蜜罐允许安全团队实时查看入侵攻击者的行为和策略。
高交互蜜罐通常是资源密集型的。这可能会带来维护挑战,但它们提供的洞察力非常值得付出努力。
低交互蜜罐:这些蜜罐主要部署在生产环境中。通过在有限数量的服务上运行,它们可以作为安全团队的早期检测点。低交互蜜罐大多处于闲置状态,等待某些活动发生,以便它们能够提醒您。
由于这些蜜罐缺乏功能齐全的服务,因此网络攻击者可以实现的目标并不多。但是,它们相当容易部署。低交互蜜罐的一个典型例子是自动机器人,它们扫描互联网流量中的漏洞,例如 SSH 机器人、自动暴力破解和输入清理检查器机器人。
蜜罐也可以根据它们推断的活动类型进行分类。
恶意软件蜜罐:有时攻击者试图通过在其上托管恶意软件样本来感染开放和易受攻击的系统。由于易受攻击系统的 IP 地址不在威胁列表中,因此攻击者更容易托管恶意软件。
例如,蜜罐可用于模拟通用串行总线 (USB) 存储设备。如果计算机受到攻击,蜜罐会欺骗恶意软件攻击模拟 USB。这允许安全团队从攻击者那里获取大量新的恶意软件样本。
垃圾邮件蜜罐:这些蜜罐通过使用开放代理和邮件中继来吸引垃圾邮件发送者。它们用于收集有关新垃圾邮件和基于电子邮件的垃圾邮件的信息,因为垃圾邮件制造者通过使用它们向自己发送电子邮件来对邮件中继进行测试。
如果垃圾邮件发送者成功发送大量垃圾邮件,蜜罐可以识别垃圾邮件发送者的测试并阻止它。任何虚假的开放 SMTP 中继都可以用作垃圾邮件蜜罐,因为它们可以提供有关当前垃圾邮件趋势的知识,并确定谁在使用组织的 SMTP 中继来发送垃圾邮件。
客户端蜜罐:顾名思义,客户端蜜罐模仿客户端环境的关键部分,以帮助进行更有针对性的攻击。虽然这些类型的蜜罐没有读取数据,但它们可以使任何假主机看起来与合法主机相似。
客户端蜜罐的一个很好的例子是使用指纹数据,例如操作系统信息、开放端口和正在运行的服务。
凭借其所有奇妙的优势,蜜罐具有被开发的潜力。虽然低交互蜜罐可能不会带来任何安全风险,但高交互蜜罐有时会成为一个有风险的实验。
在具有服务和程序的真实操作系统上运行的蜜罐部署起来可能很复杂,并且可能会无意中增加外部入侵的风险。这是因为如果蜜罐配置不正确,您最终可能会在不知不觉中允许黑客访问您的敏感信息。
此外,网络攻击者一天比一天变得更聪明,可能会寻找配置不当的蜜罐来劫持连接的系统。在您冒险使用蜜罐之前,请记住,蜜罐越简单,风险越低。
