将伪造的系统设置为诱饵,您可以获取有关潜在威胁的有价值信息。蜂蜜罐为我所知道的检测组织内外攻击者或未经授权的窥探者提供了最好的方法。
蜜罐已经几十年没有起飞了,尽管数量继续增长,但它们似乎终于达到了临界点。
假如你在考虑蜂蜜罐的部署,你必须做出10个决定。
1. 目的是什么?
蜜罐通常用于两个主要原因:预警或恶意行为分析。我是早期预警蜜罐的忠实拥护者,您可以在其中建立一个或多个伪造系统,这些伪造系统甚至会被稍加探测就立即记录下恶意信息。
预警蜜罐非常适合捕获其他系统遗漏的黑客和恶意软件。为什么?由于蜜罐系统是伪造的,任何单一的连接尝试或检测(过滤掉正常广播和其他合法流量后)都意味着恶意行为即将到来。
公司部署蜜罐的另一个主要原因是帮助分析恶意软件(尤其是0Day)或者帮助确定黑客的意图。
通常,预警罐比恶意行为分析罐更容易设置和维护。使用预警罐,当您检测到探头或连接尝试时,只有连接尝试才能为您提供所需的信息,您可以追溯到探头的起源,以开始下一个防御。
能够捕获和隔离恶意软件或黑客工具的取证分析蜜罐,只是一个非常全面的分析链的开始。我告诉我的客户计划分配几天到几周的时间使用蜜罐。
2. 蜜罐要做什么?
你的蜜罐模拟通常是由你认为最早发现黑客或保护你的重要资产驱动的。大多数蜜罐模仿应用程序服务器、数据库服务器Web服务器和凭证数据库(如域控制器)。
您可以部署一个蜂蜜罐来模拟您环境中每个可能的广告端口和服务,也可以部署多个蜂蜜罐,每个蜂蜜罐都用于模仿特定的服务器类型。有时,蜂蜜罐用于模拟网络设备,例如Cisco路由器、无线集线器或安全设备。你认为黑客或恶意软件最有可能攻击你的蜜罐应该模仿的东西。
3. 什么交互水平?
蜜罐分为低交互、中交互和高交互。
- 只有模拟端口扫描程序端口扫描程序可能检测到的最基本级别的侦听UDP或TCP端口。但它们不允许完全连接或登录。低交互性蜜罐非常适合提供恶意预警。
- 互动蜂蜜罐提供了更多的模拟功能,通常使连接或登录尝试看起来非常成功。它们甚至可能包含可以用来欺骗攻击者的基本文件结构和内容。
- 高交互式蜂蜜罐通常提供其模拟服务器的完整或接近完整的副本。它们对证据收集和分析非常有用,因为它们经常欺骗黑客和恶意软件来揭示更多的欺骗手段。
在我看来,大多数蜜罐都应该放在他们试图模仿的资产附近。假如你有SQLServer请把蜜罐放在实际上SQLServer同一数据中心或所在地IP地址空间。一些蜜罐爱好者喜欢把它们放在蜜罐里。DMZ因此,如果黑客或恶意软件在安全区域松动,他们可以收到警告。如果你有一家跨国公司,请把蜂蜜罐放在世界各地。一些企业甚至放置了模仿CEO或其他高级C一级员工笔记本电脑的蜜罐,检测黑客是否试图破坏这些系统。
5. 真正的系统或仿真软件?
大多数蜜罐都是完全运行的系统,包括真实的操作系统-通常是准备退休的旧电脑。真正的系统对蜜罐非常有用,因为攻击者无法轻易判断它们是蜜罐。
6. 开源还是商业
蜂蜜罐软件程序有几十种,但很少有人支持或积极更新它们。商业软件和开源软件都是如此。如果你发现蜂蜜罐产品更新了大约一年,那么你就会找到一颗宝石。
新旧商业产品通常更容易安装和使用。Honeyd(最受欢迎的程序之一)这种开源代码产品通常很难安装,但通常更可配置。Honeyd它可以模拟近100种不同的操作系统和设备,甚至可以模拟到Subversion级别(WindowsXPSP1与SP2等),并且可以与数百个其他开源程序集成添加功能。
7. 哪种蜂蜜罐产品?
若选择开源代码产品,Honeyd很好,但对于第一个蜜罐用户来说可能太复杂了。Honeypot相关网站(例如Honeypots.net)数百个总结honeypot文章,并链接到honeypot软件站点。
8. 谁应该管理蜜罐?
蜂蜜罐不是一劳永逸的解决方案。相反,你需要至少一个人拥有蜂蜜罐的所有权。人员必须计划、安装、配置、更新和监控蜂蜜罐。如果你不任命至少一个蜂蜜罐管理员,它将被忽视,毫无用处,在最坏的情况下,它将成为黑客的跳板。
9. 你将如何刷新数据?
如果部署高交互性蜂蜜罐,它将需要一些数据和内容来使它看起来更真实。从其他地方获得一次性数据副本是不够的,你需要保持新鲜。
确定更新频率和方法。我最喜欢的方法之一是使用免费的复制程序或复制命令从另一个类似的服务器复制非私有数据-每天使用计划任务或计划任务cron开始复制作业。有时,我会在复制过程中重新命名数据,使数据看起来比实际情况更机密。
10. 你应该使用哪些监控和报警工具?
除非罐没有价值,除非你有能力监控恶意活动,并在威胁事件发生时设置警报。通常,您需要使用任何组织常规的方法和工具来实现这一目标。但请注意,在任何蜂蜜罐计划周期中,监控和提醒的内容通常是最耗时的部分。