蜜罐技术简介
参考视频:蜜罐使用到实战
什么是蜜罐
-
蜜罐(honeypot)用于欺骗攻击者并跟踪攻击者,通过布置一些作为诱饵的主机或网络服务,诱使攻击方对他们实施攻击,从而可以对攻击行为进行捕获和分析
-
蜜罐的本质是一种主动、欺骗防御技术,如蜜网,蜜云和蜜场等。
-
从与攻击者交互的角度来看,蜜罐分为低交互、中交互和高交互三类:
-
低交互蜜罐无法与攻击者进行交互,例如一个虚假的SSH服务,攻击者输入任意密码都可以登录成功,但无法真正执行命令
-
高交互蜜罐可以与攻击者进行交互,例如一个运行在Docker里面的真实的SSH服务同时存在弱口令,便于攻击者登录后分析它的行为,此时攻击者可以正常攻击这个SSH服务
-
中交互蜜罐介于两者之间
-
-
从用途的角度来看,蜜罐分为研究型和防御型两类:
-
研究型蜜罐:主要部署在公网上,用于分析攻击者的行为,通过一段时间的观察和分析,可以大概感知近期网络安全态势的变化
-
防御型蜜罐:主要部署在内网上,用于发现攻击告警并尽可能地溯源,甚至反制。内网蜜罐被触发,说明攻击者已经进入到了内网中
-
-
蜜罐的自身安全性主要依赖于虚拟化技术,现有方案包括Docker蜜罐和虚拟机蜜罐
-
蜜标(Honeytoken)
-
一般用来描述用于吸引攻击者进行未经授权而使用的信息资源,可以是一个伪造的用户ID(比如,设置一个admin账号,如果有人试图以此登录,就证明正在被攻击),特殊的URL,邮件地址,数据库表项,Word或Excel文档等
-
一旦触发告警,就需要立刻处置
-
与蜜罐的区别在于,既可以独立使用(轻量级),也可以和蜜罐搭配使用(拓展性强),变成一个可随处布置的探针,最终数据汇集到一起
-
蜜罐的作用
- 蜜罐是安全架构中重要的一环,并不会替代任何的安全产品
- 蜜罐使得防守方转被动为主动,结合多个不同维度额蜜罐以及一些黑客工具自身的漏洞甚至可以溯源攻击者并反制攻击者PC
- 蜜罐加快了防守方发现自身被攻击的速度
- 蜜罐捕获到的告警信息纯度高、数据量小,便于防守方及时、高效的处置。
- 蜜罐不会影响正常业务,对网络架构影响不大
蜜罐未来的发展方向
- 蜜网:多个不同类型的蜜罐的组合,且自带一个私有网络,与外部网络的连接点就是蜜网的网关,可以更多维度的捕获到攻击者的信息且安全性更高
- 蜜场:蜜罐系统被集中部署于一个受控的欺骗网络环境中,而在业务网络中仅仅部署一些轻量级的重定向器,重定向迁移到蜜场环境中,由蜜罐系统与攻击源进行交互,在具有伪装性的欺骗环境中可以更加深入地分析这些安全威胁
- 蜜云:云端的蜜场