在不久前結束的RSAC 2023大會上，谷歌云Mandiant首席執行官Kevin Mandia回顧了當前網絡安全發展態勢和挑戰，他在主題演講中表示：盡管企業組織每年留給網絡安全的預算投入一直在增加，但數據泄露的威脅卻越來越泛濫，在此背景下，企業組織需要轉變防護思路，化被動為主動。企業組織除了部署傳統的防范措施和安全工具外，還應該采取一些創新的措施來加強防御，去識別那些傳統安全產品無力阻止的入侵或惡意活動。

為此，Mandia給企業提出了7個改變的建議，而“建立先進的蜜罐防護體系”正是其中之一。蜜罐是一種誘餌系統，用來引誘攻擊者，將他們對實際目標的攻擊誘騙轉移到特定的分析區域。一旦攻擊者與蜜罐進行交互，系統就可以收集攻擊和攻擊者采用的戰術、技術和程序（TTP）方面的信息。

雖然蜜罐系統是一種提前跟蹤攻擊者、預防數據泄露的主動安全解決方案，但由于其系統設置和維護比較困難，目前尚未得到廣泛采用。為了引誘攻擊者，蜜罐需要做得很逼真，并與實際生產網絡隔離部署，這使得希望構建主動式入侵檢測能力的安全團隊很難對其進行設置和應用擴展。

在企業實際的數字化環境中，會大量應用許多第三方組件（比如SaaS工具、API和代碼庫）工具，而這些組件通常來自不同的開發商和供應商。這些組件很難被添加到欺騙式軟件構建堆棧的每一層，這就會破壞了蜜罐的模擬效果和應用目的，因為在當前盛行DevOps開發模式下，源代碼管理系統和持續集成管道同樣是黑客們重點關注的目標和誘餌，而這卻是傳統蜜罐系統難以模仿的。

為了確保蜜罐系統應用的安全性和完整性，組織需要采用新的方法，比如新一代的蜜標（honeytoken）技術。蜜標之于蜜罐就如同魚餌和漁網的關系。相比于整體的蜜罐系統應用，蜜標技術所需的資源大大降低，但在入侵檢測和攻擊分析方面卻同樣非常有效。

我們可以把新一代蜜標技術理解成是蜜罐系統的一個子集，旨在看起來如同正規的憑據或密文。當攻擊者觸發蜜標時，會立即發起警報。這使得安全分析師可以根據一些所收集的攻擊指標迅速采取行動，比如IP地址（區分內部源頭和外部源頭）、時間戳、用戶代理、起源以及記錄在蜜標和相鄰系統上執行的所有操作的日志。

對蜜標而言，需要虛擬生成大量的憑據和賬號作為誘餌。當系統被入侵時，黑客通常會尋找容易下手的目標來橫向移動、提升權限或竊取數據。在這種情況下，云API密鑰之類的可編程憑據將是理想的掃描目標，因為它們具有可識別的模式，還常常含有對攻擊者有用的信息。因此，它們是攻擊者在入侵期間搜索和利用的主要目標。這些可編程憑據也是安全分析師非常容易傳播的誘餌：可以將它們大量放置在云資產、內部服務器、第三方SaaS工具以及工作站的文件系統中。

Mandia認為，目前企業組織在數據泄露事件發生后的實際發現時間平均需要327天。而通過在多個位置布置蜜標，安全團隊可以在幾分鐘時間內快速檢測到威脅，并對正在發生入侵進行響應。簡單性是蜜標技術應用的最大優點，企業不需要開發整套的誘騙系統，就可以輕松創建、部署和管理企業級蜜標，實現對大量的軟件應用系統進行主動式保護。

隨著傳統網絡邊界的不斷模糊，傳統入侵檢測技術在新一代威脅防護中的作用已經大大減弱。但實際上，提高以蜜標為代表的新一代入侵檢測技術應用普及性至關重要，如何使用自動化技術在大規模環境下部署這項技術也很重要。

參考鏈接：

https://thehackernews.com/2023/05/why-honeytokens-are-future-of-intrusion.html