问:在企业环境中使用蜜罐技术会有哪些风险?
答:蜜罐技术能提供针对企业环境攻击行为的大量细节信息,我也推荐你们使用这项技术。但是,请一定要小心!企业在采用这项技术之前,有很多重要的问题需要认真考虑和详细计划。
蜜罐信息的最佳来源之一是由Lance Spitzner领导的Honey Project项目。www.honeynet.org网站上面大量的研究文献。
根据定义,一个“蜜罐”就是一台作为攻击者陷阱但是没有实际产品用途的电脑。人们把它设计得看起来未受保护,而且很吸引人,其目的就是引诱恶意黑客,或者隔离他们,或者简单的了解他们的攻击方法。除了成熟的终端系统之外还有一些演变出来的技术。蜜罐账户——没有产品用途——能够检测密码并推测攻击;honey token,可以包括cookie、文件以及其他的数据元素等,也能够用来跟踪恶意黑客。
无论你是不是在使用蜜罐技术,你一定要小心它可能会被破解和误用。如果一个坏家伙接管了蜜罐机器并开始用它攻击其他的系统,或者更糟,去攻击别的企业,那么你会面临很严重的问题。不仅你的职业前程会毁掉,而且你还得对误用所带来的损失负责。
因此,一定要限制蜜罐跟其他网络系统交互的能力。可以用防火墙屏蔽掉蜜罐,或者使用基于网络的IPS工具限制其连接。你可以使用基于主机的IDS 和 IPS产品仔细监控您的蜜罐。当监视和防护系统识别出攻击者时,在黑客对环境的其他方面造成破坏之前,请你做出快速响应。
最后,还需要跟你的律师咨询在企业进行蜜罐技术监视和部署期间可能出现的法律问题,这一点也很重要。