蜜罐的定義
蜜罐的其中一個定義來自間諜界的瑪塔哈里(Mata Hari)式的間諜手法,即利用戀愛關係竊取機密,被形容為設置「蜂蜜陷阱」或「蜜罐」。通常情況下,敵方間諜會中了蜜罐的圈套,然後被迫交出他/她所知道的一切。
在電腦安全術語中,網絡蜜罐的運作方式與此類似,即是為黑客設下陷阱。蜜罐是一個作為犧牲品的電腦系統,用於吸引網絡攻擊,就像一個誘餌。它模仿黑客的目標,並利用黑客的入侵嘗試獲取有關網絡犯罪分子及其操作方式的資訊,或分散他們對其他目標的注意力。
蜜罐的運作原理
蜜罐看起來就像一個真正的電腦系統,裏面有應用程式和資料,能讓網絡犯罪分子誤以為這是一個正式的目標。例如,蜜罐可以模仿公司的客戶賬單系統 -- 這是犯罪分子經常攻擊的目標,因為他們想找到信用卡號碼。一旦黑客進入,就可以對他們進行跟蹤,並對他們的行為進行評估,從中找出如何提高真實網絡安全防護的線索。
蜜罐透過故意設置的安全漏洞來吸引攻擊者。例如,蜜罐中可能存在可回應端口掃描的端口或弱密碼。脆弱的端可能會被打開,以吸引攻擊者進入蜜罐環境,而不是更安全的正在運行的真實網絡。
蜜罐並不像防火牆或防毒軟件那樣是為了解決某個具體問題而設置的。相反,它是一種資訊工具,可以幫助你瞭解業務目前所面對的威脅,以及用於發現新出現的威脅。利用從蜜罐獲得的情報,可以確定安全工作的優先次序和重點。
不同類型的蜜罐及其運作原理
不同類型的蜜罐可用於識別不同類型的威脅。各種蜜罐的定義取決於所應對的威脅類型。在全面有效的網絡安全戰略中,它們都各有其作用。
電子郵件陷阱或垃圾郵件陷阱會將一個虛假的電郵地址放置在一個隱蔽的位置,只有自動地址收集器才能找到它。由於該地址除作為垃圾郵件陷阱外沒有任何其他用途,因此可以百分百確定任何發往該地址的郵件都是垃圾郵件。所有與發送到垃圾郵件陷阱且內容相同的郵件都會被自動攔截,寄件者的來源 IP 也會被添加到拒絕清單中。
可以建立一個誘餌資料庫來監控軟件漏洞,發現利用不安全系統架構或使用 SQL 注入、利用 SQL 服務或濫用權限的攻擊。
惡意軟件蜜罐會模仿軟件應用程式和 API,誘導惡意軟件的攻擊。透過分析惡意軟件的特徵,可以開發防惡意軟件的軟件或堵塞 API 的漏洞。
蜘蛛蜜罐的設計目的是透過建立只有爬蟲才能存取的網頁和連結來誘捕網絡爬蟲(「蜘蛛」)。偵測爬蟲可以幫助你瞭解如何阻擋惡意機械人以及廣告網絡爬蟲。
透過監控進入蜜罐系統的流量,可以進行以下評估:
- 網絡犯罪分子來自哪裡
- 威脅程度
- 他們採用哪種運作方式
- 他們對哪些資料或應用程式感興趣
- 你的安全措施對阻止網絡攻擊有多大效用
蜜罐的另一個定義是看蜜罐是高互動還是低互動。低互動蜜罐使用的資源較少,收集的基本資訊包括威脅的程度和類型,以及威脅的來源。它們的設置簡單快捷,通常只需模擬一些基本的 TCP 和 IP 協定以及網絡服務。但是,蜜罐中沒有任何東西能讓攻擊者長時間進行互動,你也無法獲得有關攻擊者習慣或複雜威脅的深入資訊。
另一方面,高互動蜜罐旨在令黑客逗留在蜜罐中的時間盡可能長,提供大量有關其意圖和目標的資訊,以及他們正在利用的漏洞和作案手法。可以把它想像成一個添加了「膠水」的蜜罐 -- 資料庫、系統和流程,它們可以令攻擊者在蜜罐中停留更長的時間。這樣,研究人員就能跟蹤攻擊者在系統中的哪些位置查找敏感資訊,使用哪些工具提升許可權,或利用哪些漏洞入侵系統。
<
然而,高互動蜜罐需要大量資源。設置和監控它們更加困難和耗時。它們還可能帶來風險;如果沒有「蜜牆」保護,一個真正果斷狡猾的黑客就可能利用高互動蜜罐攻擊其他互聯網主機,或從被入侵的機器上發送垃圾郵件。
這兩種類型的蜜罐在蜜罐網絡安全中都佔一席位。透過混合使用這兩種蜜罐,你可以在低互動蜜罐中獲得有關威脅類型的基本資訊,並在高互動蜜罐中添加有關意圖、通訊和利用漏洞的資訊。
透過使用網絡蜜罐來建立一個威脅情報框架,企業可以確保其網絡安全支出用在正確的地方,並能發現其安全防護的薄弱點。
使用蜜罐的好處
蜜罐是暴露主要系統漏洞的好方法。例如,蜜罐可以顯示物聯網設備受到的攻擊所構成的高度威脅。它還能提出改善安全防護的方法。
與試圖在真實系統中發現入侵行為相比,使用蜜罐有幾個優點。例如,根據定義,蜜罐不應該獲得任何合法流量,因此所記錄的任何活動都可能是探測或入侵企圖。
這樣就更容易發現模式,例如用來進行網絡掃描都是類似 IP 位址(或 IP 位址都來自一個國家)。相比之下,在核心網絡上查看大量合法流量時,這種攻擊的蛛絲馬跡很容易被掩蓋。使用「蜜罐」安全系統的最大優點在於,你可能只看到這些惡意位址,從而更容易識別攻擊。
由於蜜罐處理的流量非常有限,因此它們需要的資源也很「輕盈」。它們對硬件的要求不高;使用不再使用的舊電腦也能建立蜜罐。至於軟件,網上資源庫提供了許多現成的蜜罐,從而進一步減少了啟動和運行蜜罐所需的內部工作量。
蜜罐的誤報率很低。這與傳統的入侵偵測系統(IDS)形成鮮明對比,後者會產生大量錯誤警報。同樣,這將有助確定工作的優先次序,並將蜜罐的資源需求保持在較低水平。(事實上,使用蜜罐收集資料並將這些資料與其他系統和防火牆記錄聯繫起來,就能為入侵偵測系統設定更多相關警報,從而減少誤報。這樣,「蜜罐」就能幫助完善和改善其他網絡安全系統)。
蜜罐可以為你提供有關威脅演變的可靠情報。它們提供有關攻擊載體、漏洞利用和惡意軟件的資訊,在電子郵件陷阱中還提供有關垃圾郵件發送者和網絡釣魚攻擊的資訊。黑客不斷改善他們的入侵技術;網絡蜜罐有助發現新出現的威脅和入侵。善用蜜罐還有助消除盲點。
對於技術安全人員來說,蜜罐也是很好的培訓工具。蜜罐是一個受控的安全環境,可用於展示攻擊者的操作方式和檢查不同類型的威脅。借助蜜罐,安全人員就不會被使用網絡的真實流量所干擾 -- 他們可以百分之百地焦中研究威脅。
蜜罐還能捕捉內部威脅。大多數機構都把時間花在了邊界防禦上,以確保外來者和入侵者無法進入。但是,如果只對邊界進行防禦,任何成功突破防火牆的黑客在進入內部後都可以為所欲為。
防火牆也無法抵禦內部威脅 -- 例如,員工想在辭職前盜取檔案。蜜罐同樣可以提供有關內部威脅的資訊,顯示如允許內部人員利用系統權限等方面的漏洞。
最後,建立蜜罐實際上是一種利他主義行為,可以幫助其他電腦使用者。黑客在 蜜罐上浪費的時間越長,他們就越沒有時間入侵正在運行的真實系統,對你或他人造成真實的損失。
蜜罐的危險
雖然蜜罐網絡保安有助描述威脅狀況,但蜜罐不會看到所有情況,只會看到針對蜜罐的活動。不能因為某種威脅沒有針對蜜罐,就認為它不存在;最重要的是,要及時知道資訊技術安全的最新消息,而不是只靠蜜罐來通知你威脅的存在。
一個設置良好的蜜罐會令攻擊者誤以為他們已經進入了真實系統。它將擁有與真實系統相同的登入警告資訊、相同的資料欄位,甚至相同的外觀和標誌。但是,如果攻擊者識別出這是一個蜜",他們就可以繼續攻擊你的其他系統,而蜜罐卻不會受到攻擊。
一旦獲得蜜罐的「指紋」,攻擊者就可以創造欺騙性攻擊,轉移大家對針對生產系統的真實漏洞攻擊的注意力。他們還可以向蜜罐提供有害資訊。
更壞的情況是,聰明的攻擊者有可能利用蜜罐進入你的系統。因此,蜜罐永遠不能取代防火牆和其他入侵偵測系統等適當的安全控制措施。由於蜜罐可能成為進一步入侵的發射台,因此要確保所有蜜罐都有良好的安全保護。「蜜罐牆」可提供基本的蜜罐安全防護,阻止針對蜜罐的攻擊進入系統。
蜜罐可為你提供資訊,協助你訂定網絡保安工作的優先次序,但卻不能取代適當的網絡保安。無論你擁有多少個蜜罐,都可以考慮使用 Kaspersky's Endpoint Security Cloud 等套裝軟件來保護你的企業資產。(Kaspersky 使用自己的蜜罐來偵測互聯網威脅,因此你不必這樣做)。
總之,使用蜜罐的好遠超過風險。黑客通常被認為是一種遙遠的、隱形的威脅,但使用蜜罐,你可以即時準確地看到他們在做甚麼,並利用這些資訊阻止他們獲得想要的東西。
Kaspersky Endpoint Security 獲得三項 2021 年 AV-TEST 的企業終端安全防護產品奬項,包括最佳效能、保護和用途。在所有測試中, Kaspersky Endpoint Security 都顯示出出色的效能、保護和用途。
推薦產品:
