蜜罐是主動(dòng)出擊的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者工具箱中的另一件工具，他們借此深入了解黑客行為，并幫助減輕企業(yè)的風(fēng)險(xiǎn)。

在網(wǎng)絡(luò)安全領(lǐng)域，我們花費(fèi)大量時(shí)間專(zhuān)注于預(yù)防控制——修補(bǔ)漏洞、實(shí)施安全配置，并執(zhí)行其他“最佳實(shí)踐”來(lái)降低企業(yè)面臨的風(fēng)險(xiǎn)。這些做法非常重要且必要，但有必要強(qiáng)調(diào)的是，近距離親自觀(guān)察現(xiàn)實(shí)世界中的惡意活動(dòng)和對(duì)手行為同樣重要。

實(shí)現(xiàn)這一目標(biāo)的最佳方式之一就是使用蜜罐。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將蜜罐定義為：“一種系統(tǒng)或系統(tǒng)資源，旨在吸引潛在的黑客和入侵者，就像蜂蜜吸引熊一樣。”有趣的是，許多高級(jí)持續(xù)性威脅企業(yè)(APT)的名稱(chēng)中都包含“熊”這個(gè)詞，這真是一種巧合，卻又十分貼切。

蜜罐通常指的是整個(gè)系統(tǒng)或環(huán)境。而蜜標(biāo)(Honeytokens)則通常是特定的文件、數(shù)據(jù)和其他對(duì)象，它們以類(lèi)似的方式被用作誘餌，引誘惡意行為者，并獲取有關(guān)他們的寶貴信息。不過(guò)，在本文中，為避免細(xì)微差別，我們將廣義地使用“蜜罐”一詞。

為何使用蜜罐?

預(yù)防控制至關(guān)重要，這與行業(yè)趨勢(shì)以及信息共享和分析中心(ISAC)等企業(yè)提供的更廣泛情報(bào)相一致，但使用蜜罐(及其相關(guān)的蜜標(biāo))還有許多其他有價(jià)值的原因，其中最重要的是，從你自己的企業(yè)、運(yùn)營(yíng)環(huán)境和系統(tǒng)中獲取的直接威脅情報(bào)，是其他方式難以比擬的。

網(wǎng)絡(luò)安全防御者可以通過(guò)利用蜜罐及其變體，直接了解針對(duì)其企業(yè)的惡意行為者所使用的各種工具、技術(shù)和程序(TTP)。

蜜罐通常在更廣泛的企業(yè)架構(gòu)內(nèi)的受限和控制環(huán)境中部署。這使得防御者能夠捕獲特定的法醫(yī)證據(jù)以供分析和進(jìn)一步研究，并提供關(guān)鍵的早期風(fēng)險(xiǎn)指標(biāo)。這些指標(biāo)可能包括試探網(wǎng)絡(luò)資源、訪(fǎng)問(wèn)敏感數(shù)據(jù)或利用系統(tǒng)漏洞的嘗試。

鑒于美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)最近的報(bào)告指出，最常見(jiàn)的被利用漏洞越來(lái)越多地是零日漏洞，即這些漏洞在被利用時(shí)還未公開(kāi)為人所知，因此這一點(diǎn)尤其有用。因此，企業(yè)需要除了已知的利用嘗試和活動(dòng)漏洞之外的額外指標(biāo)和洞見(jiàn)。

防御者可以利用從蜜罐中獲得的洞見(jiàn)，采取額外的安全措施或修改現(xiàn)有的安全控制和工具，以應(yīng)對(duì)他們實(shí)際觀(guān)察到的惡意活動(dòng)。

蜜罐可以引誘攻擊者遠(yuǎn)離關(guān)鍵系統(tǒng)

除了為防御者提供關(guān)鍵的威脅情報(bào)外，蜜罐還常常作為一種有效的欺騙技術(shù)，確保攻擊者將注意力集中在誘餌上，而不是企業(yè)的有價(jià)值和關(guān)鍵的數(shù)據(jù)及系統(tǒng)。一旦識(shí)別出惡意活動(dòng)，防御者可以利用蜜罐的發(fā)現(xiàn)結(jié)果，在系統(tǒng)和環(huán)境的其他區(qū)域?qū)ふ胰肭种笜?biāo)(IoC)，從而可能捕捉到更多的惡意活動(dòng)，并最大限度地縮短攻擊者的駐留時(shí)間。

除了威脅情報(bào)和攻擊檢測(cè)價(jià)值外，蜜標(biāo)通常還具有誤報(bào)率極低的優(yōu)點(diǎn)，因?yàn)樗鼈兪歉叨榷ㄖ频恼T餌資源，部署時(shí)的意圖就是不被訪(fǎng)問(wèn)。這與更廣泛的安全工具形成鮮明對(duì)比，后者常常因?yàn)榈捅Ｕ娑染瘓?bào)和發(fā)現(xiàn)結(jié)果而產(chǎn)生大量誤報(bào)，給安全團(tuán)隊(duì)和開(kāi)發(fā)人員帶來(lái)負(fù)擔(dān)。

如何利用蜜罐

企業(yè)需要仔細(xì)考慮蜜罐的部署位置。通常，蜜罐會(huì)被部署在攻擊者可能更容易訪(fǎng)問(wèn)的環(huán)境和系統(tǒng)中，如公開(kāi)暴露的端點(diǎn)和可通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)的系統(tǒng)，以及內(nèi)部網(wǎng)絡(luò)環(huán)境和系統(tǒng)。

當(dāng)然，前者可能會(huì)獲得更多的交互，并提供更廣泛的通用洞見(jiàn)，而后者在提示防御者注意已越過(guò)周邊安全工具和控制的惡意活動(dòng)方面更有價(jià)值，這些活動(dòng)更有可能影響敏感的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)。

在內(nèi)部，企業(yè)通常會(huì)尋找對(duì)攻擊者可能有吸引力的位置來(lái)放置蜜標(biāo)，至少?gòu)谋砻嫔峡词沁@樣，以試圖引誘他們與誘餌互動(dòng)。同時(shí)，必須以不會(huì)導(dǎo)致合法用戶(hù)頻繁交互的方式使用它們，以避免誤報(bào)警報(bào)。

蜜罐的部署位置將影響警報(bào)的數(shù)量和關(guān)鍵性。一個(gè)公開(kāi)暴露的端點(diǎn)或蜜罐必然會(huì)吸引大量流量，而內(nèi)部部署的蜜罐則產(chǎn)生的警報(bào)數(shù)量較少。

當(dāng)被觸發(fā)時(shí)，由于內(nèi)部蜜罐靠近內(nèi)部敏感數(shù)據(jù)、關(guān)鍵系統(tǒng)，并且如果攻擊者不僅能夠影響誘餌，還能影響有效系統(tǒng)和資源，則可能影響業(yè)務(wù)運(yùn)營(yíng)，因此它們可能會(huì)引發(fā)更關(guān)鍵和緊急的響應(yīng)。

另一個(gè)重要的考慮因素是根據(jù)特定環(huán)境和目標(biāo)選擇使用的蜜標(biāo)類(lèi)型。例如，如果你關(guān)注的是對(duì)憑據(jù)(如用戶(hù)名和密碼或API密鑰)的未經(jīng)授權(quán)訪(fǎng)問(wèn)，那么你將需要不同于那些更關(guān)注數(shù)據(jù)(如文件和數(shù)據(jù)庫(kù))的人所需的資源。

無(wú)論是商業(yè)還是開(kāi)源選項(xiàng)，都有各種選擇，以及可以根據(jù)你的個(gè)別需求和安全目標(biāo)進(jìn)行定制的特定類(lèi)型的蜜標(biāo)。

尋找蜜罐資源

整個(gè)GitHub倉(cāng)庫(kù)都維護(hù)著蜜罐資源，從數(shù)據(jù)庫(kù)、應(yīng)用程序和服務(wù)到各種用于部署和監(jiān)控惡意活動(dòng)的工具。在商業(yè)方面，一些企業(yè)正在提供創(chuàng)新的解決方案，如Horizon3.ai的NodeZero Tripwires，旨在通過(guò)自動(dòng)化部署流程和與領(lǐng)先的威脅檢測(cè)工具和工作流的集成，簡(jiǎn)化誘餌的部署，從而實(shí)現(xiàn)更快速的響應(yīng)。

其他企業(yè)，如專(zhuān)注于軟件供應(yīng)鏈和機(jī)密管理的GitGuardian，允許用戶(hù)在源代碼管理(SCM)和持續(xù)集成/持續(xù)部署(CI/CD)環(huán)境中部署蜜標(biāo)，然后，他們監(jiān)控公開(kāi)的GitHub倉(cāng)庫(kù)，尋找蜜標(biāo)泄漏，如API密鑰、憑據(jù)和其他機(jī)密，這些都可以作為誘餌進(jìn)行部署。

蜜標(biāo)和蜜罐可以代表離散的文件、數(shù)據(jù)庫(kù)、憑據(jù)，甚至整個(gè)系統(tǒng)和數(shù)字環(huán)境，這取決于它們的復(fù)雜性以及企業(yè)的能力和想象力。

雖然商業(yè)選項(xiàng)允許原生集成和監(jiān)控，但使用某些產(chǎn)品或工具以及開(kāi)源解決方案可能需要進(jìn)一步的集成和配置，以?xún)?yōu)化你監(jiān)控與蜜標(biāo)交互的能力，以及在識(shí)別出潛在惡意活動(dòng)時(shí)做出響應(yīng)的能力。

蜜罐與其他安全措施一樣，并非萬(wàn)靈藥，但當(dāng)它們與全面的企業(yè)安全控制和工具智能結(jié)合使用時(shí)，可以使企業(yè)主動(dòng)識(shí)別其環(huán)境中的惡意活動(dòng)，獲取有價(jià)值的威脅情報(bào)，根據(jù)觀(guān)察到的現(xiàn)實(shí)世界活動(dòng)優(yōu)化其防御，并測(cè)試其企業(yè)在檢測(cè)和響應(yīng)惡意活動(dòng)方面的能力。