將偽造的系統設置為誘餌，您可以獲取有關潛在威脅的寶貴信息。蜜罐提供了我所知的檢測組織內部或外部的攻擊者或未經授權的窺探者的最佳方法。

數十年來，蜜罐一直沒有騰飛，雖然數量繼續增長，但它們似乎終于達到了臨界點。

如果您正在考慮蜜罐部署，則必須做出10個決定。

1. 目的是什么?

蜜罐通常用于兩個主要原因：預警或惡意行為分析。我是早期預警蜜罐的忠實擁護者，您可以在其中建立一個或多個偽造系統，這些偽造系統甚至會被稍加探測就立即記錄下惡意信息。

預警蜜罐非常適合捕獲其他系統遺漏的黑客和惡意軟件。為什么?由于蜜罐系統是偽造的，因此任何單一的連接嘗試或探測(在過濾掉正常廣播和其他合法流量之后)都意味著惡意行為即將到來。

公司部署蜜罐的另一個主要原因是幫助分析惡意軟件(尤其是0Day)或幫助確定黑客的意圖。

通常，預警蜜罐比惡意行為分析蜜罐更容易設置和維護。使用預警蜜罐，當您檢測到探針或連接嘗試時，僅進行連接嘗試即可為您提供所需的信息，并且您可以將探針追溯到其起源，以開始下一次防御。

可以捕獲和隔離惡意軟件或黑客工具的取證分析蜜罐，僅僅是非常全面的分析鏈的開始。我告訴我的客戶計劃為使用蜜罐進行的每個分析分配幾天到幾周的時間。

2. 蜜罐要做什么?

您的蜜罐模擬通常是由您認為可以最好地最早發現黑客或最好地保護您的重要資產驅動的。大多數蜜罐都模仿應用程序服務器、數據庫服務器、Web服務器和憑據數據庫(例如域控制器)。

您可以部署一個蜜罐來模擬您環境中的每個可能的廣告端口和服務，也可以部署多個蜜罐，每個蜜罐都專用于模仿特定的服務器類型。有時，蜜罐用于模擬網絡設備，例如Cisco路由器，無線集線器或安全設備。您認為黑客或惡意軟件最有可能攻擊的是您的蜜罐應該模仿的東西。

3. 什么交互水平?

蜜罐分為低交互、中交互和高交互。

• 低交互性蜜罐僅模擬端口掃描程序可能檢測到的最基本級別的偵聽UDP或TCP端口。但是他們不允許完全連接或登錄。低交互性蜜罐非常適合提供惡意行為的預警。
• 中交互的蜜罐提供了更多的仿真功能，通常使連接或登錄嘗試看起來很成功。它們甚至可能包含可以用來欺騙攻擊者的基本文件結構和內容。
• 高交互性蜜罐通常會提供其仿真服務器的完整或接近完整的副本。它們對于取證分析非常有用，因為它們經常誘騙黑客和惡意軟件以揭示更多誘騙手段。

4. 您應該將蜜罐放在哪里?

我認為，大多數蜜罐應放置在它們試圖模仿的資產附近。如果您有SQLServer蜜罐，請將其放置在實際SQLServer所在的相同數據中心或IP地址空間中。一些蜜罐發燒友喜歡將其蜜罐放置在DMZ中，因此，如果黑客或惡意軟件在該安全域中松散，他們可以收到預警。如果您有一家跨國公司，請將蜜罐放在世界各地。甚至有一些企業放置了模仿CEO或其他高級C級員工的筆記本電腦的蜜罐，以檢測黑客是否試圖破壞這些系統。

5. 真正的系統或仿真軟件?

大多數蜜罐都是完全運行的系統，其中包含真實的操作系統-通常是準備退役的舊計算機。真正的系統對蜜罐非常有用，因為攻擊者無法輕易地判斷出它們是蜜罐。

6. 開源還是商業?

有數十種蜜罐軟件程序，但是在發布后的一年內，很少有人支持或積極更新它們。商業軟件和開源軟件都是如此。如果您發現蜜罐產品的更新時間超過一年左右，那么您就找到了一顆寶石。

無論是新的還是舊的商業產品，通常都更易于安裝和使用。像Honeyd(最受歡迎的程序之一)這樣的開放源代碼產品通常很難安裝，但通常更具可配置性。例如，Honeyd可以仿真近100種不同的操作系統和設備，甚至可以仿真到Subversion級別(WindowsXPSP1與SP2等)，并且可以與數百個其他開源程序集成以添加功能。

7. 哪個蜜罐產品?

如果您選擇開放源代碼產品，Honeyd很好，但對于初次蜜罐用戶來說可能過于復雜。幾個與Honeypot相關的網站(例如Honeypots.net)匯總了數百個honeypot文章，并鏈接到honeypot軟件站點。

8. 誰應該管理蜜罐?

蜜罐不是一勞永逸的解決方案。相反，您需要至少一個人來擁有蜜罐的所有權。該人員必須計劃，安裝，配置，更新和監視蜜罐。如果您不任命至少一個蜜罐管理員，它將變得被忽略，毫無用處，并且在最壞的情況下，這將成為黑客的跳板。

9. 您將如何刷新數據?

如果部署高交互性蜜罐，它將需要一些數據和內容，以使其看起來更真實。從其他地方獲得一次性數據副本是不夠的，您需要保持內容新鮮。

確定更新頻率和更新方式。我最喜歡的方法之一是使用免費提供的復制程序或復制命令從另一臺類似類型的服務器復制非私有數據-并每天使用計劃任務或cron作業啟動復制。有時，我會在復制過程中重命名數據，以使數據看起來比實際情況更為機密。

10. 您應該使用哪些監視和警報工具?

除非您啟用監視惡意活動的能力，并且在發生威脅事件時設置警報，否則蜜罐沒有任何價值。通常，您將需要使用組織常規用于此目的的任何方法和工具。但請注意：在任何蜜罐計劃周期中，確定要監視和提醒的內容通常是最耗時的部分。