蜜罐技術簡介
參考視頻:蜜罐使用到實戰
什么是蜜罐
-
蜜罐(honeypot)用於欺騙攻擊者並跟蹤攻擊者,通過布置一些作為誘餌的主機或網絡服務,誘使攻擊方對他們實施攻擊,從而可以對攻擊行為進行捕獲和分析
-
蜜罐的本質是一種主動、欺騙防御技術,如蜜網,蜜雲和蜜場等。
-
從與攻擊者交互的角度來看,蜜罐分為低交互、中交互和高交互三類:
-
低交互蜜罐無法與攻擊者進行交互,例如一個虛假的SSH服務,攻擊者輸入任意密碼都可以登錄成功,但無法真正執行命令
-
高交互蜜罐可以與攻擊者進行交互,例如一個運行在Docker里面的真實的SSH服務同時存在弱口令,便於攻擊者登錄后分析它的行為,此時攻擊者可以正常攻擊這個SSH服務
-
中交互蜜罐介於兩者之間
-
-
從用途的角度來看,蜜罐分為研究型和防御型兩類:
-
研究型蜜罐:主要部署在公網上,用於分析攻擊者的行為,通過一段時間的觀察和分析,可以大概感知近期網絡安全態勢的變化
-
防御型蜜罐:主要部署在內網上,用於發現攻擊告警並盡可能地溯源,甚至反制。內網蜜罐被觸發,說明攻擊者已經進入到了內網中
-
-
蜜罐的自身安全性主要依賴於虛擬化技術,現有方案包括Docker蜜罐和虛擬機蜜罐
-
蜜標(Honeytoken)
-
一般用來描述用於吸引攻擊者進行未經授權而使用的信息資源,可以是一個偽造的用戶ID(比如,設置一個admin賬號,如果有人試圖以此登錄,就證明正在被攻擊),特殊的URL,郵件地址,數據庫表項,Word或Excel文檔等
-
一旦觸發告警,就需要立刻處置
-
與蜜罐的區別在於,既可以獨立使用(輕量級),也可以和蜜罐搭配使用(拓展性強),變成一個可隨處布置的探針,最終數據匯集到一起
-
蜜罐的作用
- 蜜罐是安全架構中重要的一環,並不會替代任何的安全產品
- 蜜罐使得防守方轉被動為主動,結合多個不同維度額蜜罐以及一些黑客工具自身的漏洞甚至可以溯源攻擊者並反制攻擊者PC
- 蜜罐加快了防守方發現自身被攻擊的速度
- 蜜罐捕獲到的告警信息純度高、數據量小,便於防守方及時、高效的處置。
- 蜜罐不會影響正常業務,對網絡架構影響不大
蜜罐未來的發展方向
- 蜜網:多個不同類型的蜜罐的組合,且自帶一個私有網絡,與外部網絡的連接點就是蜜網的網關,可以更多維度的捕獲到攻擊者的信息且安全性更高
- 蜜場:蜜罐系統被集中部署於一個受控的欺騙網絡環境中,而在業務網絡中僅僅部署一些輕量級的重定向器,重定向遷移到蜜場環境中,由蜜罐系統與攻擊源進行交互,在具有偽裝性的欺騙環境中可以更加深入地分析這些安全威脅
- 蜜雲:雲端的蜜場