蜜罐是主动出击的网络安全领导者工具箱中的另一件工具,他们借此深入了解黑客行为,并帮助减轻企业的风险。
在网络安全领域,我们花费大量时间专注于预防控制——修补漏洞、实施安全配置,并执行其他“最佳实践”来降低企业面临的风险。这些做法非常重要且必要,但有必要强调的是,近距离亲自观察现实世界中的恶意活动和对手行为同样重要。
实现这一目标的最佳方式之一就是使用蜜罐。美国国家标准与技术研究院(NIST)将蜜罐定义为:“一种系统或系统资源,旨在吸引潜在的黑客和入侵者,就像蜂蜜吸引熊一样。”有趣的是,许多高级持续性威胁企业(APT)的名称中都包含“熊”这个词,这真是一种巧合,却又十分贴切。
蜜罐通常指的是整个系统或环境。而蜜标(Honeytokens)则通常是特定的文件、数据和其他对象,它们以类似的方式被用作诱饵,引诱恶意行为者,并获取有关他们的宝贵信息。不过,在本文中,为避免细微差别,我们将广义地使用“蜜罐”一词。
为何使用蜜罐?
预防控制至关重要,这与行业趋势以及信息共享和分析中心(ISAC)等企业提供的更广泛情报相一致,但使用蜜罐(及其相关的蜜标)还有许多其他有价值的原因,其中最重要的是,从你自己的企业、运营环境和系统中获取的直接威胁情报,是其他方式难以比拟的。
网络安全防御者可以通过利用蜜罐及其变体,直接了解针对其企业的恶意行为者所使用的各种工具、技术和程序(TTP)。
蜜罐通常在更广泛的企业架构内的受限和控制环境中部署。这使得防御者能够捕获特定的法医证据以供分析和进一步研究,并提供关键的早期风险指标。这些指标可能包括试探网络资源、访问敏感数据或利用系统漏洞的尝试。
鉴于美国网络安全和基础设施安全局(CISA)最近的报告指出,最常见的被利用漏洞越来越多地是零日漏洞,即这些漏洞在被利用时还未公开为人所知,因此这一点尤其有用。因此,企业需要除了已知的利用尝试和活动漏洞之外的额外指标和洞见。
防御者可以利用从蜜罐中获得的洞见,采取额外的安全措施或修改现有的安全控制和工具,以应对他们实际观察到的恶意活动。
蜜罐可以引诱攻击者远离关键系统
除了为防御者提供关键的威胁情报外,蜜罐还常常作为一种有效的欺骗技术,确保攻击者将注意力集中在诱饵上,而不是企业的有价值和关键的数据及系统。一旦识别出恶意活动,防御者可以利用蜜罐的发现结果,在系统和环境的其他区域寻找入侵指标(IoC),从而可能捕捉到更多的恶意活动,并最大限度地缩短攻击者的驻留时间。
除了威胁情报和攻击检测价值外,蜜标通常还具有误报率极低的优点,因为它们是高度定制的诱饵资源,部署时的意图就是不被访问。这与更广泛的安全工具形成鲜明对比,后者常常因为低保真度警报和发现结果而产生大量误报,给安全团队和开发人员带来负担。
如何利用蜜罐
企业需要仔细考虑蜜罐的部署位置。通常,蜜罐会被部署在攻击者可能更容易访问的环境和系统中,如公开暴露的端点和可通过互联网访问的系统,以及内部网络环境和系统。
当然,前者可能会获得更多的交互,并提供更广泛的通用洞见,而后者在提示防御者注意已越过周边安全工具和控制的恶意活动方面更有价值,这些活动更有可能影响敏感的业务系统和数据。
在内部,企业通常会寻找对攻击者可能有吸引力的位置来放置蜜标,至少从表面上看是这样,以试图引诱他们与诱饵互动。同时,必须以不会导致合法用户频繁交互的方式使用它们,以避免误报警报。
蜜罐的部署位置将影响警报的数量和关键性。一个公开暴露的端点或蜜罐必然会吸引大量流量,而内部部署的蜜罐则产生的警报数量较少。
当被触发时,由于内部蜜罐靠近内部敏感数据、关键系统,并且如果攻击者不仅能够影响诱饵,还能影响有效系统和资源,则可能影响业务运营,因此它们可能会引发更关键和紧急的响应。
另一个重要的考虑因素是根据特定环境和目标选择使用的蜜标类型。例如,如果你关注的是对凭据(如用户名和密码或API密钥)的未经授权访问,那么你将需要不同于那些更关注数据(如文件和数据库)的人所需的资源。
无论是商业还是开源选项,都有各种选择,以及可以根据你的个别需求和安全目标进行定制的特定类型的蜜标。
寻找蜜罐资源
整个GitHub仓库都维护着蜜罐资源,从数据库、应用程序和服务到各种用于部署和监控恶意活动的工具。在商业方面,一些企业正在提供创新的解决方案,如Horizon3.ai的NodeZero Tripwires,旨在通过自动化部署流程和与领先的威胁检测工具和工作流的集成,简化诱饵的部署,从而实现更快速的响应。
其他企业,如专注于软件供应链和机密管理的GitGuardian,允许用户在源代码管理(SCM)和持续集成/持续部署(CI/CD)环境中部署蜜标,然后,他们监控公开的GitHub仓库,寻找蜜标泄漏,如API密钥、凭据和其他机密,这些都可以作为诱饵进行部署。
蜜标和蜜罐可以代表离散的文件、数据库、凭据,甚至整个系统和数字环境,这取决于它们的复杂性以及企业的能力和想象力。
虽然商业选项允许原生集成和监控,但使用某些产品或工具以及开源解决方案可能需要进一步的集成和配置,以优化你监控与蜜标交互的能力,以及在识别出潜在恶意活动时做出响应的能力。
蜜罐与其他安全措施一样,并非万灵药,但当它们与全面的企业安全控制和工具智能结合使用时,可以使企业主动识别其环境中的恶意活动,获取有价值的威胁情报,根据观察到的现实世界活动优化其防御,并测试其企业在检测和响应恶意活动方面的能力。
