蜜罐是IT中最古老的安全实践之一,但要注意:即使在孤立的系统上,将黑客吸引到您的网络也是一种危险的游戏。蜜罐是一种计算机或计算机系统,旨在模仿可能的网络目标。通常,蜜罐会故意配置已知漏洞,以使其对黑客更具吸引力或更明显的目标。蜜罐不包含生产数据或参与您网络上的合法流量,这就是您可以通过威胁来判断其中发生的任何事情的方式。蜜罐类型蜜罐的分类有两种不同的方案:一种基于它们的构建方式,另一种基于它们的用途。纯蜜罐是一种物理服务器,以诱使黑客进入的方式配置。特殊的监控软件会密切关注蜜罐与网络其余部分之间的连接。由于这些是成熟的机器,它们为黑客提供了一个更现实的目标,但黑客可能会转向蜜罐的创建者并将蜜罐用作威胁的临时服务器。它们的配置和管理也是劳动密集型的。高交互蜜罐使用虚拟机来隔离具有潜在破坏性的系统。多个虚拟蜜罐可以在单个物理设备上运行。这使得扩展到多个蜜罐和沙箱受损系统变得更加容易,然后关闭它们并重新启动它们,回到它们的原始状态。然而,每个VM仍然是一个成熟的服务器,具有随之而来的所有配置成本。低交互蜜罐更容易设置和维护,消耗的资源更少,但更容易被黑客“伪造”。区分蜜罐的另一种方法是构建它们的人的意图:有研究蜜罐和生产蜜罐。两者之间的区别涉及到蜜罐在实践中实际使用的杂草,所以我们接下来会讨论这个问题。蜜罐和蜜网之间的区别蜜网是蜜罐概念的逻辑延伸。蜜罐是一台单独的机器(或虚拟机),而蜜网是一系列联网的蜜罐。当然,黑客不仅仅希望在受害者的基础设施上找到一台机器,还希望找到许多不同类型的专用服务器。例如,通过观察黑客在您的网络中从文件服务器转移到Web服务器,您将更好地了解他们在做什么以及他们是如何做的——并且他们更有可能购买错觉他们真的在破坏你的网络。蜜网的一个关键特性是它们像真实网络一样连接和交互,因为模拟或抽象层将是一个提示。蜜罐和蜜网是所谓的欺骗技术的基础。欺骗产品通常包括蜜罐和蜜网,但也可能在生产服务器上放置“诱饵”文件。此类别“或多或少地指代现代动态蜜罐和蜜网”。不同之处在于,欺骗技术包括允许工具实时响应的自动化功能,诱使黑客诈骗资产而不是真正的对手。蜜罐技术本质上是一种欺骗黑客的技术。通过安排一些主机、网络服务或信息作为诱饵,诱使黑客启动,从而对其行为进行监控和分析,了解对方使用的工具。而方法,猜测意图和动机,可以让企业清楚地了解自己面临的安全威胁,通过技术和管理手段提升现有系统的安全防护能力。我们的影子诱捕系统(以下简称影子)是基于欺骗技术设计开发的内网威胁感知系统。全面提升内网行为发现、记录、追溯能力。欺骗技术作为一种新型的网络威胁防御技术,不仅对常见的勒索病毒、鱼叉式钓鱼、侦察、凭据盗窃等具有有效的检测能力,目前在“0day”等APT的发现、分析和防御方面也有一定的成效.技术产品之一。优影可实现对网络威胁的全流量、高精度实时捕获和检测,定位威胁源头,监控各种行为;通过元数据、漏洞数据、资产信息、安全事件、运行状态、审计日志、威胁情报等,对告警进行全面的记录和分析,提高高级威胁的发现和溯源能力,实现对潜在威胁和未知威胁的持续检测威胁。影子系统的行为检测机制可以准确高效地识别。同时,借助HIDS等技术,可以有效感知进程、线程、网络、系统日志、注册表、服务、崩溃等系统事件的发生,并能及时发现和隔离,彻底解决以往基于模式匹配技术的网络安全产品。片面依靠特征签名的数量来检测弊端,大大提高了检测效率,扩大了检测范围。据统计,对于网络威胁,企业平均响应时间长达99天。对于政府、金融等受黑客关照的行业,欺骗技术还可以大大缩短事故修复时间,减少信息泄露。该在线欺骗平台目前被政府、执法机构和世界500强公司使用,证明了欺骗技术和专业知识在IT安全方面的有效性。它运行自动欺骗陷阱来检测和响应零误报。
