企業(yè)設(shè)置“蜜罐”的五大理由
蜜罐技術(shù)做為安全工具已經(jīng)有了近20年的發(fā)展。1991年1月, 一群荷蘭黑客試圖進(jìn)入貝爾實(shí)驗(yàn)室的一個(gè)系統(tǒng)。 而當(dāng)時(shí)貝爾實(shí)驗(yàn)室的一個(gè)研究團(tuán)隊(duì)將這伙黑客引導(dǎo)到了他們自己管理的一個(gè)”數(shù)字沙盒“。 這被認(rèn)為是第一個(gè)蜜罐技術(shù)的應(yīng)用。
隨著時(shí)間的推移, 越來(lái)越多的企業(yè)意識(shí)到蜜罐技術(shù)的重要性。 企業(yè)采取蜜罐技術(shù)在遭到黑客攻擊時(shí)可以提供報(bào)警。 這樣的技術(shù)具有較低的誤報(bào)率, 能夠同時(shí)對(duì)內(nèi)部人員和外部黑客的攻擊進(jìn)行報(bào)警, 更重要的是, 一旦設(shè)置好以后, 蜜罐基本不需要什么維護(hù)。
“如果我們?nèi)タ聪乱淮墓艏夹g(shù)的話, 攻擊者將越來(lái)越少地采用惡意軟件方式, 而是會(huì)通過(guò)互聯(lián)網(wǎng)找到一些合法的賬戶來(lái)進(jìn)入。” 安全咨詢公司Black Hills的滲透專家John Strand說(shuō)。
“要想發(fā)現(xiàn)這樣的攻擊, 企業(yè)可以采取復(fù)雜的異常檢測(cè)或者采用蜜罐技術(shù), 簡(jiǎn)單地放一些服務(wù)器, 正常用戶不需要去進(jìn)入這些服務(wù)器, 而這些蜜罐可以向安全管理人員提供告警, 告訴他們有些人試圖進(jìn)入他們不該進(jìn)入的服務(wù)器。”
蜜罐技術(shù)在安全研究人員中已經(jīng)被廣泛采用來(lái)研究攻擊者的攻擊方式。 而這種技術(shù)對(duì)于企業(yè)的安全管理人員也非常有用, 這里列出5個(gè)蜜罐技術(shù)能夠給企業(yè)帶來(lái)的好處。
1) 低誤報(bào)率, 高成功率
基本上每個(gè)黑客在放出他們的惡意軟件之前, 都會(huì)對(duì)常見(jiàn)的安全防護(hù)方式進(jìn)行測(cè)試, 僅僅通過(guò)檢測(cè)是否能夠通過(guò)Symantec或者M(jìn)cAfee的防病毒木馬掃描器, 黑客們就能夠騙過(guò)月80%的企業(yè)安全防護(hù)系統(tǒng)。
John Strand說(shuō):“很多傳統(tǒng)的防御手段對(duì)于防御高級(jí)黑客來(lái)說(shuō)沒(méi)有太多用處。 因?yàn)樗麄冊(cè)诎l(fā)起攻擊之前,就能夠保證他們的攻擊手段可以攻破這些防御。“
而蜜罐則不然, 黑客們很難預(yù)計(jì)到蜜罐的存在或者使用, 而由于蜜罐對(duì)于正常用戶來(lái)說(shuō)是不應(yīng)進(jìn)入的, 因此它具有很低的誤報(bào)率。
2) 蜜罐能夠迷惑攻擊者
對(duì)于那些已經(jīng)進(jìn)入公司網(wǎng)絡(luò)的黑客, 蜜罐可以減緩他們的攻擊, 通過(guò)虛擬系統(tǒng), 企業(yè)可以制造出很多蜜罐來(lái)吸引攻擊者, 以減少他們攻擊真正有價(jià)值的資產(chǎn)的機(jī)會(huì)。
安全顧問(wèn)公司Counter Tack的CTO Michael Davis說(shuō)道:“這樣做就是把對(duì)于真實(shí)資產(chǎn)的威脅轉(zhuǎn)移給了虛假的資產(chǎn)。 同時(shí)可以發(fā)出告警。對(duì)于今天的安全威脅來(lái)說(shuō), 結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控和最新的蜜罐技術(shù)和主動(dòng)防御工具是關(guān)鍵。“
除了采用服務(wù)器作蜜罐之外, 企業(yè)也可以把一些虛假數(shù)據(jù)放入數(shù)據(jù)庫(kù),這些數(shù)據(jù)普通用戶不會(huì)也不能訪問(wèn)到, 通過(guò)在防火墻等監(jiān)控軟件上設(shè)置規(guī)則, 一旦發(fā)現(xiàn)這些數(shù)據(jù)被訪問(wèn)或下載, 則可以提供安全告警。
3) 維護(hù)成本低
蜜罐有兩種類型, 一種是研究型蜜罐, 這種蜜罐是一個(gè)虛擬的具有安全漏洞的系統(tǒng), 用戶可以通過(guò)Internet訪問(wèn)。 通過(guò)這個(gè)系統(tǒng), 研究人員可以研究黑客攻擊的行為。
不過(guò), 研究型蜜罐的問(wèn)題是需要很長(zhǎng)時(shí)間來(lái)設(shè)置, 并且需要不斷的維護(hù)。 盡管可以通過(guò)研究型蜜罐學(xué)習(xí)到很多攻擊的方式, 對(duì)于企業(yè)來(lái)說(shuō), 研究型蜜罐并不是一個(gè)好的選擇。
另一種類型是生產(chǎn)型蜜罐, 這種蜜罐比較簡(jiǎn)單, 可以是一個(gè)Web服務(wù)器, 工作站, 數(shù)據(jù)庫(kù), 甚至一些文件。 這些蜜罐一旦設(shè)置好后, 基本不需要維護(hù), 而當(dāng)有人訪問(wèn)這些蜜罐時(shí), 企業(yè)就可以得到安全告警。
4) 可以幫助培訓(xùn)企業(yè)的安全管理團(tuán)隊(duì)
在這個(gè)專業(yè)安全管理人員稀缺的時(shí)代, 蜜罐可以用來(lái)作為基本的培訓(xùn)工具。 通過(guò)蜜罐來(lái)觀察攻擊者的行為, 安全管理人員可以學(xué)習(xí)到最新的攻擊技術(shù)。
John Strand說(shuō):“很多安全管理團(tuán)隊(duì), 在實(shí)施了蜜罐技術(shù)以后, 才真正理解了黑客們究竟在干些什么。 他們看到了黑客實(shí)施攻擊的步驟, 同時(shí)也明白了如何在黑客的中間步驟過(guò)程中阻止他們。”
5) 有很多免費(fèi)的蜜罐實(shí)施工具可供選擇
對(duì)于企業(yè)來(lái)說(shuō), 有很多幫助實(shí)施蜜罐的免費(fèi)工具。 在拉斯維加斯的黑帽安全展上, John Strand和他的同事們就發(fā)布了一系列主動(dòng)防御的工具, 做成了一個(gè)名為Active Defense Harbinger發(fā)行版的Linux ISO。
如果想在Windows上實(shí)施蜜罐, KFSensor是一個(gè)流行的Windows平臺(tái)的蜜罐系統(tǒng)。
