将伪造的系统设置为诱饵,您可以获取有关潜在威胁的宝贵信息。蜜罐提供了我所知的检测组织内部或外部的攻击者或未经授权的窥探者的最佳方法。
[[344834]]
数十年来,蜜罐一直没有腾飞,虽然数量继续增长,但它们似乎终于达到了临界点。
如果您正在考虑蜜罐部署,则必须做出10个决定。
1. 目的是什么?
蜜罐通常用于两个主要原因:预警或恶意行为分析。我是早期预警蜜罐的忠实拥护者,您可以在其中建立一个或多个伪造系统,这些伪造系统甚至会被稍加探测就立即记录下恶意信息。
预警蜜罐非常适合捕获其他系统遗漏的黑客和恶意软件。为什么?由于蜜罐系统是伪造的,因此任何单一的连接尝试或探测(在过滤掉正常广播和其他合法流量之后)都意味着恶意行为即将到来。
公司部署蜜罐的另一个主要原因是帮助分析恶意软件(尤其是0Day)或帮助确定黑客的意图。
通常,预警蜜罐比恶意行为分析蜜罐更容易设置和维护。使用预警蜜罐,当您检测到探针或连接尝试时,仅进行连接尝试即可为您提供所需的信息,并且您可以将探针追溯到其起源,以开始下一次防御。
可以捕获和隔离恶意软件或黑客工具的取证分析蜜罐,仅仅是非常全面的分析链的开始。我告诉我的客户计划为使用蜜罐进行的每个分析分配几天到几周的时间。
2. 蜜罐要做什么?
您的蜜罐模拟通常是由您认为可以最好地最早发现黑客或最好地保护您的重要资产驱动的。大多数蜜罐都模仿应用程序服务器、数据库服务器、Web服务器和凭据数据库(例如域控制器)。
您可以部署一个蜜罐来模拟您环境中的每个可能的广告端口和服务,也可以部署多个蜜罐,每个蜜罐都专用于模仿特定的服务器类型。有时,蜜罐用于模拟网络设备,例如Cisco路由器,无线集线器或安全设备。您认为黑客或恶意软件最有可能攻击的是您的蜜罐应该模仿的东西。
3. 什么交互水平?
蜜罐分为低交互、中交互和高交互。
- 低交互性蜜罐仅模拟端口扫描程序可能检测到的最基本级别的侦听UDP或TCP端口。但是他们不允许完全连接或登录。低交互性蜜罐非常适合提供恶意行为的预警。
- 中交互的蜜罐提供了更多的仿真功能,通常使连接或登录尝试看起来很成功。它们甚至可能包含可以用来欺骗攻击者的基本文件结构和内容。
- 高交互性蜜罐通常会提供其仿真服务器的完整或接近完整的副本。它们对于取证分析非常有用,因为它们经常诱骗黑客和恶意软件以揭示更多诱骗手段。
4. 您应该将蜜罐放在哪里?
我认为,大多数蜜罐应放置在它们试图模仿的资产附近。如果您有SQLServer蜜罐,请将其放置在实际SQLServer所在的相同数据中心或IP地址空间中。一些蜜罐发烧友喜欢将其蜜罐放置在DMZ中,因此,如果黑客或恶意软件在该安全域中松散,他们可以收到预警。如果您有一家跨国公司,请将蜜罐放在世界各地。甚至有一些企业放置了模仿CEO或其他高级C级员工的笔记本电脑的蜜罐,以检测黑客是否试图破坏这些系统。
5. 真正的系统或仿真软件?
大多数蜜罐都是完全运行的系统,其中包含真实的操作系统-通常是准备退役的旧计算机。真正的系统对蜜罐非常有用,因为攻击者无法轻易地判断出它们是蜜罐。
6. 开源还是商业?
有数十种蜜罐软件程序,但是在发布后的一年内,很少有人支持或积极更新它们。商业软件和开源软件都是如此。如果您发现蜜罐产品的更新时间超过一年左右,那么您就找到了一颗宝石。
无论是新的还是旧的商业产品,通常都更易于安装和使用。像Honeyd(最受欢迎的程序之一)这样的开放源代码产品通常很难安装,但通常更具可配置性。例如,Honeyd可以仿真近100种不同的操作系统和设备,甚至可以仿真到Subversion级别(WindowsXPSP1与SP2等),并且可以与数百个其他开源程序集成以添加功能。
7. 哪个蜜罐产品?
如果您选择开放源代码产品,Honeyd很好,但对于初次蜜罐用户来说可能过于复杂。几个与Honeypot相关的网站(例如Honeypots.net)汇总了数百个honeypot文章,并链接到honeypot软件站点。
8. 谁应该管理蜜罐?
蜜罐不是一劳永逸的解决方案。相反,您需要至少一个人来拥有蜜罐的所有权。该人员必须计划,安装,配置,更新和监视蜜罐。如果您不任命至少一个蜜罐管理员,它将变得被忽略,毫无用处,并且在最坏的情况下,这将成为黑客的跳板。
9. 您将如何刷新数据?
如果部署高交互性蜜罐,它将需要一些数据和内容,以使其看起来更真实。从其他地方获得一次性数据副本是不够的,您需要保持内容新鲜。
确定更新频率和更新方式。我最喜欢的方法之一是使用免费提供的复制程序或复制命令从另一台类似类型的服务器复制非私有数据-并每天使用计划任务或cron作业启动复制。有时,我会在复制过程中重命名数据,以使数据看起来比实际情况更为机密。
10. 您应该使用哪些监视和警报工具?
除非您启用监视恶意活动的能力,并且在发生威胁事件时设置警报,否则蜜罐没有任何价值。通常,您将需要使用组织常规用于此目的的任何方法和工具。但请注意:在任何蜜罐计划周期中,确定要监视和提醒的内容通常是最耗时的部分。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/123881.html<
