企業(yè)設(shè)置“蜜罐”的五大理由

■劉丹陽

企業(yè)設(shè)置“蜜罐”的五大理由

■劉丹陽

蜜罐技術(shù)做為安全工具已經(jīng)有了近20年的發(fā)展。1991年1月，一群荷蘭黑客試圖進(jìn)入貝爾實驗室的一個系統(tǒng)。而當(dāng)時貝爾實驗室的一個研究團(tuán)隊將這伙黑客引導(dǎo)到了他們自己管理的一個”數(shù)字沙盒“。這被認(rèn)為是第一個蜜罐技術(shù)的應(yīng)用。

隨著時間的推移，越來越多的企業(yè)意識到蜜罐技術(shù)的重要性。企業(yè)采取蜜罐技術(shù)在遭到黑客攻擊時可以提供報警。這樣的技術(shù)具有較低的誤報率，能夠同時對內(nèi)部人員和外部黑客的攻擊進(jìn)行報警，更重要的是，一旦設(shè)置好以后，蜜罐基本不需要什么維護(hù)。

“如果我們?nèi)タ聪乱淮墓艏夹g(shù)的話，攻擊者將越來越少地采用惡意軟件方式，而是會通過互聯(lián)網(wǎng)找到一些合法的賬戶來進(jìn)入。”安全咨詢公司Black H ills的滲透專家John Strand說。

“要想發(fā)現(xiàn)這樣的攻擊，企業(yè)可以采取復(fù)雜的異常檢測或者采用蜜罐技術(shù)，簡單地放一些服務(wù)器，正常用戶不需要去進(jìn)入這些服務(wù)器，而這些蜜罐可以向安全管理人員提供告警，告訴他們有些人試圖進(jìn)入他們不該進(jìn)入的服務(wù)器。”

蜜罐技術(shù)在安全研究人員中已經(jīng)被廣泛采用來研究攻擊者的攻擊方式。而這種技術(shù)對于企業(yè)的安全管理人員也非常有用，這里列出5個蜜罐技術(shù)能夠給企業(yè)帶來的好處。

（1）低誤報率，高成功率

基本上每個黑客在放出他們的惡意軟件之前，都會對常見的安全防護(hù)方式進(jìn)行測試，僅僅通過檢測是否能夠通過Symantec或者M(jìn) cAfee的防病毒木馬掃描器，黑客們就能夠騙過月80%的企業(yè)安全防護(hù)系統(tǒng)。

John Strand說：“很多傳統(tǒng)的防御手段對于防御高級黑客來說沒有太多用處。因為他們在發(fā)起攻擊之前，就能夠保證他們的攻擊手段可以攻破這些防御。”

而蜜罐則不然，黑客們很難預(yù)計到蜜罐的存在或者使用，而由于蜜罐對于正常用戶來說是不應(yīng)進(jìn)入的，因此它具有很低的誤報率。

（2）蜜罐能夠迷惑攻擊者

對于那些已經(jīng)進(jìn)入公司網(wǎng)絡(luò)的黑客，蜜罐可以減緩他們的攻擊，通過虛擬系統(tǒng)，企業(yè)可以制造出很多蜜罐來吸引攻擊者，以減少他們攻擊真正有價值的資產(chǎn)的機(jī)會。

安全顧問公司Counter Tack的CTO M ichaelDavis說道：“這樣做就是把對于真實資產(chǎn)的威脅轉(zhuǎn)移給了虛假的資產(chǎn)。同時可以發(fā)出告警。對于今天的安全威脅來說，結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控和最新的蜜罐技術(shù)和主動防御工具是關(guān)鍵。”

除了采用服務(wù)器作蜜罐之外，企業(yè)也可以把一些虛假數(shù)據(jù)放入數(shù)據(jù)庫，這些數(shù)據(jù)普通用戶不會也不能訪問到，通過在防火墻等監(jiān)控軟件上設(shè)置規(guī)則，一旦發(fā)現(xiàn)這些數(shù)據(jù)被訪問或下載，則可以提供安全告警。

（3）維護(hù)成本低

蜜罐有兩種類型，一種是研究型蜜罐，這種蜜罐是一個虛擬的具有安全漏洞的系統(tǒng)，用戶可以通過Internet訪問。通過這個系統(tǒng)，研究人員可以研究黑客攻擊的行為。

不過，研究型蜜罐的問題是需要很長時間來設(shè)置，并且需要不斷的維護(hù)。盡管可以通過研究型蜜罐學(xué)習(xí)到很多攻擊的方式，對于企業(yè)來說，研究型蜜罐并不是一個好的選擇。另一種類型是生產(chǎn)型蜜罐，這種蜜罐比較簡單，可以是一個W eb服務(wù)器，工作站，數(shù)據(jù)庫，甚至一些文件。這些蜜罐一旦設(shè)置好后，基本不需要維護(hù)，而當(dāng)有人訪問這些蜜罐時，企業(yè)就可以得到安全告警。

（4）可以幫助培訓(xùn)企業(yè)的安全管理團(tuán)隊

在這個專業(yè)安全管理人員稀缺的時代，蜜罐可以用來作為基本的培訓(xùn)工具。通過蜜罐來觀察攻擊者的行為，安全管理人員可以學(xué)習(xí)到最新的攻擊技術(shù)。

John Strand說：“很多安全管理團(tuán)隊，在實施了蜜罐技術(shù)以后，才真正理解了黑客們究竟在干些什么。他們看到了黑客實施攻擊的步驟，同時也明白了如何在黑客的中間步驟過程中阻止他們。”

（5）有很多免費(fèi)的蜜罐實施工具可供選擇

對于企業(yè)來說，有很多幫助實施蜜罐的免費(fèi)工具。在拉斯維加斯的黑帽安全展上，John Strand和他的同事們就發(fā)布了一系列主動防御的工具，做成了一個名為Active Defense Harbinger發(fā)行版的Linux ISO。

如果想在W indows上實施蜜罐，KFSensor是一個流行的W indows平臺的蜜罐系統(tǒng)。