部署蜜罐時(shí)需要考慮的10個(gè)因素

王英哲

將偽造的系統(tǒng)設(shè)置為誘餌，可以獲取有關(guān)潛在威脅的寶貴信息，蜜罐提供了檢測組織內(nèi)部、外部的攻擊者，或未經(jīng)授權(quán)窺探者的最佳方法。

數(shù)十年來，蜜罐一直沒有騰飛，雖然數(shù)量繼續(xù)增長，但它們似乎終于達(dá)到了臨界點(diǎn)，如果您正在考慮蜜罐部署，則必須考慮以下10個(gè)因素。

目的是什么

蜜罐通常有2個(gè)作用：預(yù)警或惡意行為分析。可以在其中建立一個(gè)或多個(gè)偽造系統(tǒng)，這些偽造系統(tǒng)只要會(huì)被稍加探測就能立即記錄下惡意信息。

預(yù)警蜜罐非常適合捕獲其他系統(tǒng)遺漏的黑客和惡意軟件。為什么？由于蜜罐系統(tǒng)是偽造的，因此任何單一的連接嘗試或探測（在過濾掉正常廣播和其他合法流量之后）都意味著惡意行為即將到來。

公司部署蜜罐的另一個(gè)主要原因是幫助分析惡意軟件（尤其是0Day）或確定黑客的意圖。

通常，預(yù)警蜜罐比惡意行為分析蜜罐更容易設(shè)置和維護(hù)。使用預(yù)警蜜罐，當(dāng)檢測到探針或連接嘗試時(shí)，僅進(jìn)行連接嘗試即可為您提供所需的信息，并且可以將探針追溯到其起源，以開始下一次防御。

可以捕獲和隔離惡意軟件或黑客工具的取證分析蜜罐，僅僅是全面分析鏈的開始。

蜜罐要做什么

蜜罐模擬通常是由認(rèn)為可以最好、最早發(fā)現(xiàn)黑客或最好地保護(hù)重要資產(chǎn)驅(qū)動(dòng)的。大多數(shù)蜜罐都模仿應(yīng)用程序服務(wù)器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器和憑據(jù)數(shù)據(jù)庫（例如域控制器）。

可以部署一個(gè)蜜罐來模擬每個(gè)可能的廣告端口和服務(wù)，也可以部署多個(gè)蜜罐，每個(gè)蜜罐都專用于模仿特定的服務(wù)器類型。有時(shí)，蜜罐用于模擬網(wǎng)絡(luò)設(shè)備，例如Cisco路由器、無線集線器或安全設(shè)備。認(rèn)為黑客或惡意軟件最有可能攻擊的就是蜜罐應(yīng)該模仿的東西。

什么交互水平

蜜罐分為低交互、中交互和高交互。

低交互性蜜罐僅模擬端口掃描程序，可能檢測到最基本級(jí)別的偵聽UDP或TCP端口，但是他們不允許完全連接或登錄。低交互性蜜罐非常適合提供惡意行為的預(yù)警。

中交互蜜罐提供了更多的仿真功能，通常使連接或登錄嘗試看起來很成功，甚至可能包含可以用來欺騙攻擊者的基本文件結(jié)構(gòu)和內(nèi)容。

高交互性蜜罐通常會(huì)提供仿真服務(wù)器的完整或接近完整的副本。他們對于取證分析非常有用，因?yàn)樗麄兛梢哉T騙黑客和惡意軟件以揭示更多誘騙手段。

應(yīng)該將蜜罐放在哪里

大多數(shù)蜜罐應(yīng)放置在他們試圖模仿的資產(chǎn)附近。如果有SQLServer蜜罐，請將其放置在實(shí)際SQLServer所在的相同數(shù)據(jù)中心或IP地址空間中。一些蜜罐發(fā)燒友喜歡將蜜罐放置在DMZ中，如果黑客或惡意軟件在該安全域中，他們可以收到預(yù)警。如果您有一家跨國公司，請將蜜罐放在世界各地，甚至有一些企業(yè)放置了模仿CEO或其他高級(jí)C級(jí)員工筆記本電腦的蜜罐，以檢測黑客是否企圖破壞這些系統(tǒng)。

真正的系統(tǒng)或仿真軟件

大多數(shù)蜜罐都是完全運(yùn)行的系統(tǒng)，其中包含真實(shí)的操作系統(tǒng)———通常是準(zhǔn)備退役的舊計(jì)算機(jī)。真正的系統(tǒng)對蜜罐非常有用，因?yàn)楣粽邿o法輕易地判斷出他們是蜜罐。

開源還是商業(yè)

有數(shù)十種蜜罐軟件程序，但是在發(fā)布后的一年內(nèi)，很少有人支持或積極更新它們，商業(yè)軟件和開源軟件都是如此。如果發(fā)現(xiàn)蜜罐產(chǎn)品的更新時(shí)間超過一年，那么您就找到了一顆寶石。

無論是新的還是舊的商業(yè)產(chǎn)品，通常都更易于安裝和使用，像Honeyd（最受歡迎的程序之一）這樣的開放源代碼產(chǎn)品通常很難安裝，但通常更具可配置性。例如，Honeyd可以仿真近100種不同的操作系統(tǒng)和設(shè)備，甚至可以仿真到Subversion級(jí)別（WindowsXPSP1與SP2），并且可以與數(shù)百個(gè)其他開源程序集成添加功能。

哪個(gè)蜜罐產(chǎn)品

如果選擇開放源代碼產(chǎn)品，Honeyd很好，但對于初級(jí)蜜罐用戶來說可能過于復(fù)雜。幾個(gè)與Honeypot相關(guān)的網(wǎng)站（例如Honeypots.net）匯總了數(shù)百個(gè)Honeypot文章，并鏈接到Honeypot軟件站點(diǎn)。

誰應(yīng)該管理蜜罐

蜜罐不是一勞永逸的解決方案。相反，需要至少一個(gè)人來擁有蜜罐的所有權(quán)。該人員必須計(jì)劃、安裝、配置、更新和監(jiān)視蜜罐。如果不至少任命一個(gè)蜜罐管理員，它將變得被忽略，毫無用處，并且在最壞的情況下，將成為黑客的跳板。

如何刷新數(shù)據(jù)

如果部署高交互性蜜罐，將需要一些數(shù)據(jù)和內(nèi)容，以使其看起來更真實(shí)，從其他地方獲得一次性數(shù)據(jù)副本是不夠的，需要保持內(nèi)容新鮮。

確定更新頻率和更新方式，方法之一是使用免費(fèi)提供的復(fù)制程序或復(fù)制命令從另一臺(tái)類似類型的服務(wù)器復(fù)制非私有數(shù)據(jù)，并每天使用計(jì)劃任務(wù)或cron作業(yè)啟動(dòng)復(fù)制。還可以在復(fù)制過程中重命名數(shù)據(jù)，使數(shù)據(jù)看起來比實(shí)際情況更為機(jī)密。

應(yīng)該使用哪些監(jiān)視和警報(bào)工具

除非啟用監(jiān)視惡意活動(dòng)的能力，并且在發(fā)生威脅事件時(shí)設(shè)置警報(bào)，否則蜜罐沒有任何價(jià)值，通常使用組織常規(guī)用于此目的的任何方法和工具。但請注意：在任何蜜罐計(jì)劃周期中，確定要監(jiān)視和提醒的內(nèi)容通常是最耗時(shí)的部分。