【51CTO.com快译】虽然以伪造系统作为诱饵能够帮助大家排除潜在威胁,然而此类蜜罐方案的具体实施仍会带来一系列亟待解决的难题。
蜜罐是一种检测攻击者或者识别企业内外潜在威胁因素的理想的方式。
经历了数十年的缓慢发展,如今蜜罐终于迎来了飞跃期。而如果大家也已经在考虑部署自己的首套蜜罐,那么以下十项重要决策必须加以认真考量。
1. 目的是什么?
蜜罐的主要用途有二:预警与取证分析。我个人更支持将蜜罐用于预警,因为假系统的存在能够通过各类试探性行为发现恶意活动。
当然,也有一部分企业选择部署蜜罐以分析恶意软件(特别是与零日漏洞相关的恶意工具)或者协助判断黑客意图。
总体而言,预警型蜜罐的部署与维护较取证分析型蜜罐更为轻松便捷。预警蜜罐的作用在于吸引恶意人士接入,借此获取相关信息并据此设计未来防御体系。
取证分析型蜜罐则用于捕捉并隔离恶意软件或者黑客工具,其通常需要被包含在一套综合性的分析链之内。根据我的实践经验,利用蜜罐进行分析往往需要耗费大量时间。
2. 蜜罐需要执行哪些任务?
蜜罐的基本作用是模拟核心资产,并借此检测针对这部分资产的黑客活动。大多数蜜罐负责模拟应用服务器、数据库服务器、Web服务器以及凭证服务器等。
大家可以部署单一蜜罐,并利用其模拟环境中每种潜在的广告端口与服务; 也可以部署多套蜜罐,其各自模拟一种服务类型。有时候蜜罐亦会被用于模拟网络设备,例如思科路由器、无线集线器或者安全设备。总之,只要是有可能受到攻击的因素,皆可利用蜜罐加以模拟。
3. 采用怎样的交互级别?
蜜罐被分为低、中及高交互级别。低交互型蜜罐仅用于模拟基础层面的UDP或者TCP端口,这些端口可被扫描发现,但不允许完全连接或者登录。低交互蜜罐适用于针对恶意活动提供早期警报。
中级交互蜜罐的模拟范围更广,通常能够显示成功接入或者登录。其中甚至包含部分基础文件结构及内容,用于迷惑攻击者。高交互级蜜罐则几乎能够完整模拟整套服务器,其通常用于引诱黑客及恶意软件入侵以收集更多信息,以供后续取证分析。
4. 蜜罐应该部署在哪里?
在我个人看来,大部分蜜罐亦部署在需要模拟的资产周边。如果大家希望使用一套SQL Server蜜罐,则可将其部署在与实际SQL Server相同的数据中心或者IP地址空间内。也有部分用户倾向于在DMZ中部署蜜罐以获取早期恶意活动警告。某些用户甚至会利用蜜罐模拟CEO或者其他高管人员的笔记本,用以检测黑客是否尝试入侵这些系统。
5. 这是一套真实系统抑或模拟软件?
我所部署的大多数蜜罐包含真正的操作系统,这是为了更好地迷惑攻击者。
当然,我也经常使用各类蜜罐模拟软件; 我个人比较偏爱KFSensor,此类优秀的蜜罐软件易于安装且内置有签名检测与监控功能。总之,这类方案适合要求低风险、快速安装及丰富功能的受众。
6. 开源还是商用?
蜜罐软件多种多样,但其中大部分会很快失去初始开发者的支持——这种情况在商用及开源软件中皆有出现。如果大家能够找到一套更新时间超过一年的蜜罐产品,请务必将其收藏起来。
商用产品往往易于安装及使用。而Honeyd等开源产品则往往难于安装,但却通常更具可配置性。以Honeyd为例,其能够模拟近100种不同操作系统及设备,且能够与其它数百种开源程序相集成以实现功能添加。
7. 选择哪款蜜罐产品?
我个人选择易于使用、功能丰富且具备良好支持的商用产品,例如KFSensor。如果大家希望使用开源方案,那么Honeyd是个理想选择——但对于新手而言其使用可能较为复杂。
8.蜜罐应由谁管理?
蜜罐同样需要后续管理及维护,因此大家至少需要委派一名员工专门负责。这位员工需要规划、安装、配置、更新及监控蜜罐。再次强调,与其它软件一样,不加维护会导致其彻底失效甚至沦为黑客的跳板。
9. 如何更新数据?
如果决定部署一套高交互级蜜罐,那么大家需要为其提供数据与内容以提升真实性。一次性数据副本显然是不够的,您需要保证内容新鲜有效。
我个人最喜欢的实现方法是从另一类似服务器处复制非专有数据,并利用计划任务或者cron任务定期执行复制。有时候我还会在复制过程中对数据进行重命名,从而使其看起来包含更多秘密。
10. 应当使用哪些监控与警报工具?
如果不对恶意活动加以监控并在出现威胁时发布警报,那么蜜罐本身将不具备任何价值。一般来讲,企业中的常规方法与工具在蜜罐中亦同样适用。不过请注意,监控与警报内容往往是蜜罐规划周期当中最为耗时的部分。
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
