通过设置假系统作为诱饵,您可以获得有关潜在威胁的宝贵信息。蜜罐提供了我所知道的检测组织内外的攻击者或未经授权的窥探者的最佳方法。蜜罐已经几十年没有起飞了,虽然它们的数量继续增长,但它们似乎终于达到了一个临界点。如果您正在考虑部署蜜罐,那么您必须做出以下10个决定。1.目的是什么?蜜罐通常用于两个主要原因:预警或恶意行为分析??。我是预警蜜罐的忠实拥护者,您可以在其中设置一个或多个伪造系统,这些系统会立即记录恶意信息,即使检测很少。预警蜜罐非常适合捕捉其他系统遗漏的黑客和恶意软件。为什么?由于蜜罐系统是假的,任何一次连接尝试或探测(在过滤掉正常广播和其他合法流量之后)都意味着恶意行为正在进行中。公司部署蜜罐的另一个主要原因是帮助分析恶意软件(尤其是零日)或帮助确定黑客的意图。一般来说,预警蜜罐比恶意行为分析??蜜罐更容易建立和维护。使用预警蜜罐,当您检测到探测或连接尝试时,仅连接尝试就会为您提供所需的信息,并且您可以将探测追溯到其来源以开始下一次防御。可以捕获和隔离恶意软件或黑客工具的取证分析蜜罐只是一个非常全面的分析链的开始。我告诉我的客户计划为每个使用蜜罐的分析分配几天到几周的时间。2.蜜罐要做什么?您的蜜罐模拟通常由您认为最能及早捕获黑客或最能保护您的宝贵资产的方法驱动。大多数蜜罐模仿应用程序服务器、数据库服务器、Web服务器和凭证数据库(例如域控制器)。您可以部署一个蜜罐来模拟环境中每个可能的广告端口和服务,或者您可以部署多个蜜罐,每个蜜罐专用于模拟特定的服务器类型。有时蜜罐用于模拟网络设备,例如Cisco路由器、无线集线器或安全设备。您认为黑客或恶意软件最有可能攻击的是您的蜜罐应该模仿的。3.什么层次的互动?蜜罐分为低、中和高交互。低交互蜜罐仅模拟端口扫描器可能检测到的最基本级别的侦听UDP或TCP端口。但他们不允许完全连接或登录。低交互蜜罐非常适合提供恶意行为的早期预警。交互蜜罐提供了更多的模拟能力,通常使连接或登录尝试看起来很成功。它们甚至可能包含可用于愚弄攻击者的基本文件结构和内容。高交互性蜜罐通常会提供其模拟服务器的完整或接近完整的副本。它们非常适合取证分析,因为它们经常诱骗黑客和恶意软件揭示更多技巧。4.你应该把你的蜜罐放在哪里?在我看来,大多数蜜罐应该放置在它们试图模拟的资产附近。如果你有一个SQLServer蜜罐,将它放在与实际SQLServer相同的数据中心或IP地址空间中。一些蜜罐爱好者喜欢将他们的蜜罐放在DMZ中,这样他们就可以在黑客或恶意软件在该安全域中松动时得到早期警告。如果你有一家跨国公司,就把蜜罐放在全世界。一些企业甚至放置了模仿CEO或其他高级C级员工笔记本电脑的蜜罐,以检测黑客是否试图破坏这些系统。5.真实系统还是仿真软件?大多数蜜罐都是完全运行的系统,其中包含一个真正的操作系统——通常是准备报废的旧计算机。真实系统非常适合蜜罐,因为攻击者无法轻易辨别它们是蜜罐。6.开源还是商业?有几十种蜜罐软件程序,但很少有人在发布后的一年内支持或主动更新它们。对于商业软件和开源软件都是如此。如果您发现一个蜜罐产品已经更新了一年左右,那么您就找到了一颗宝石。新旧商业产品通常都更易于安装和使用。像Honeyd(最流行的程序之一)这样的开源产品通常难以安装,但通常更易于配置。例如,Honeyd可以模拟近100种不同的操作系统和设备,甚至可以达到Subversion级别(WindowsXP、SP1与SP2等),并且可以与数百种其他开源程序集成以添加功能。7.哪个蜜罐产品?如果您选择开源产品,Honeyd是不错的选择,但对于初次使用蜜罐的用户来说可能过于复杂。几个与蜜罐相关的站点,例如Honeypots.net,聚合了数百篇蜜罐文章并链接到蜜罐软件站点。8.谁应该管理蜜罐?蜜罐不是一种放之四海而皆准的解决方案。相反,您至少需要一个人来获得蜜罐的所有权。此人必须计划、安装、配置、更新和监控蜜罐。如果您不指定至少一名蜜罐管理员,它将变得被忽视、无用,最坏的情况下,它会成为黑客的跳板。9.你将如何刷新数据?如果你部署一个高交互的蜜罐,它会需要一些数据和内容来让它看起来更真实。从别处获得一份一次性数据副本是不够的,您需要保持内容新鲜。确定更新频率和方式。我最喜欢的方法之一是使用免费提供的复制程序或复制命令从另一台类似类型的服务器复制非私有数据-并使用计划任务或cron作业每天启动复制。有时我在复制过程中重命名数据,使它看起来比实际更机密。10.您应该使用哪些监控和警报工具?除非您能够监控恶意活动并在威胁事件发生时设置警报,否则蜜罐没有任何价值。通常,您将需要使用您的组织通常为此目的使用的任何方法和工具。但请注意:弄清楚要监视和警告的内容通常是任何蜜罐计划周期中最耗时的部分。
