安全決策難題:部署蜜罐時需要做出的十項重要判斷
譯文【51CTO.com快譯】雖然以偽造系統作為誘餌能夠幫助大家排除潛在威脅,然而此類蜜罐方案的具體實施仍會帶來一系列亟待解決的難題。
蜜罐是一種檢測攻擊者或者識別企業內外潛在威脅因素的理想的方式。
經歷了數十年的緩慢發展,如今蜜罐終于迎來了飛躍期。而如果大家也已經在考慮部署自己的首套蜜罐,那么以下十項重要決策必須加以認真考量。
1. 目的是什么?
蜜罐的主要用途有二:預警與取證分析。我個人更支持將蜜罐用于預警,因為假系統的存在能夠通過各類試探性行為發現惡意活動。
當然,也有一部分企業選擇部署蜜罐以分析惡意軟件(特別是與零日漏洞相關的惡意工具)或者協助判斷黑客意圖。
總體而言,預警型蜜罐的部署與維護較取證分析型蜜罐更為輕松便捷。預警蜜罐的作用在于吸引惡意人士接入,借此獲取相關信息并據此設計未來防御體系。
取證分析型蜜罐則用于捕捉并隔離惡意軟件或者黑客工具,其通常需要被包含在一套綜合性的分析鏈之內。根據我的實踐經驗,利用蜜罐進行分析往往需要耗費大量時間。
2. 蜜罐需要執行哪些任務?
蜜罐的基本作用是模擬核心資產,并借此檢測針對這部分資產的黑客活動。大多數蜜罐負責模擬應用服務器、數據庫服務器、Web服務器以及憑證服務器等。
大家可以部署單一蜜罐,并利用其模擬環境中每種潛在的廣告端口與服務; 也可以部署多套蜜罐,其各自模擬一種服務類型。有時候蜜罐亦會被用于模擬網絡設備,例如思科路由器、無線集線器或者安全設備。總之,只要是有可能受到攻擊的因素,皆可利用蜜罐加以模擬。
3. 采用怎樣的交互級別?
蜜罐被分為低、中及高交互級別。低交互型蜜罐僅用于模擬基礎層面的UDP或者TCP端口,這些端口可被掃描發現,但不允許完全連接或者登錄。低交互蜜罐適用于針對惡意活動提供早期警報。
中級交互蜜罐的模擬范圍更廣,通常能夠顯示成功接入或者登錄。其中甚至包含部分基礎文件結構及內容,用于迷惑攻擊者。高交互級蜜罐則幾乎能夠完整模擬整套服務器,其通常用于引誘黑客及惡意軟件入侵以收集更多信息,以供后續取證分析。
4. 蜜罐應該部署在哪里?
在我個人看來,大部分蜜罐亦部署在需要模擬的資產周邊。如果大家希望使用一套SQL Server蜜罐,則可將其部署在與實際SQL Server相同的數據中心或者IP地址空間內。也有部分用戶傾向于在DMZ中部署蜜罐以獲取早期惡意活動警告。某些用戶甚至會利用蜜罐模擬CEO或者其他高管人員的筆記本,用以檢測黑客是否嘗試入侵這些系統。
5. 這是一套真實系統抑或模擬軟件?
我所部署的大多數蜜罐包含真正的操作系統,這是為了更好地迷惑攻擊者。
當然,我也經常使用各類蜜罐模擬軟件; 我個人比較偏愛KFSensor,此類優秀的蜜罐軟件易于安裝且內置有簽名檢測與監控功能。總之,這類方案適合要求低風險、快速安裝及豐富功能的受眾。
6. 開源還是商用?
蜜罐軟件多種多樣,但其中大部分會很快失去初始開發者的支持——這種情況在商用及開源軟件中皆有出現。如果大家能夠找到一套更新時間超過一年的蜜罐產品,請務必將其收藏起來。
商用產品往往易于安裝及使用。而Honeyd等開源產品則往往難于安裝,但卻通常更具可配置性。以Honeyd為例,其能夠模擬近100種不同操作系統及設備,且能夠與其它數百種開源程序相集成以實現功能添加。
7. 選擇哪款蜜罐產品?
我個人選擇易于使用、功能豐富且具備良好支持的商用產品,例如KFSensor。如果大家希望使用開源方案,那么Honeyd是個理想選擇——但對于新手而言其使用可能較為復雜。
8.蜜罐應由誰管理?
蜜罐同樣需要后續管理及維護,因此大家至少需要委派一名員工專門負責。這位員工需要規劃、安裝、配置、更新及監控蜜罐。再次強調,與其它軟件一樣,不加維護會導致其徹底失效甚至淪為黑客的跳板。
9. 如何更新數據?
如果決定部署一套高交互級蜜罐,那么大家需要為其提供數據與內容以提升真實性。一次性數據副本顯然是不夠的,您需要保證內容新鮮有效。
我個人最喜歡的實現方法是從另一類似服務器處復制非專有數據,并利用計劃任務或者cron任務定期執行復制。有時候我還會在復制過程中對數據進行重命名,從而使其看起來包含更多秘密。
10. 應當使用哪些監控與警報工具?
如果不對惡意活動加以監控并在出現威脅時發布警報,那么蜜罐本身將不具備任何價值。一般來講,企業中的常規方法與工具在蜜罐中亦同樣適用。不過請注意,監控與警報內容往往是蜜罐規劃周期當中最為耗時的部分。
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
