蜜罐技术做为安全工具已经有了近20年的发展。1991年1月, 一群荷兰***试图进入贝尔实验室的一个系统。 而当时贝尔实验室的一个研究团队将这伙***引导到了他们自己管理的一个”数字沙盒“。 这被认为是第一个蜜罐技术的应用。
随着时间的推移, 越来越多的企业意识到蜜罐技术的重要性。 企业采取蜜罐技术在遭到******时可以提供报警。 这样的技术具有较低的误报率, 能够同时对内部人员和外部***的***进行报警, 更重要的是, 一旦设置好以后, 蜜罐基本不需要什么维护。
“如果我们去看下一代的***技术的话, ***者将越来越少地采用恶意软件方式, 而是会通过互联网找到一些合法的账户来进入。” 安全咨询公司Black Hills的***专家John Strand说。
“要想发现这样的***, 企业可以采取复杂的异常检测或者采用蜜罐技术, 简单地放一些服务器, 正常用户不需要去进入这些服务器, 而这些蜜罐可以向安全管理人员提供告警, 告诉他们有些人试图进入他们不该进入的服务器。”
蜜罐技术在安全研究人员中已经被广泛采用来研究***者的***方式。 而这种技术对于企业的安全管理人员也非常有用, 这里列出5个蜜罐技术能够给企业带来的好处。
1) 低误报率, 高成功率
基本上每个***在放出他们的恶意软件之前, 都会对常见的安全防护方式进行测试, 仅仅通过检测是否能够通过Symantec或者McAfee的防病毒***扫描器, ***们就能够骗过月80%的企业安全防护系统。
John Strand说:“很多传统的防御手段对于防御高级***来说没有太多用处。 因为他们在发起***之前,就能够保证他们的***手段可以攻破这些防御。“
而蜜罐则不然, ***们很难预计到蜜罐的存在或者使用, 而由于蜜罐对于正常用户来说是不应进入的, 因此它具有很低的误报率。
2) 蜜罐能够迷惑***者
对于那些已经进入公司网络的***, 蜜罐可以减缓他们的***, 通过虚拟系统, 企业可以制造出很多蜜罐来吸引***者, 以减少他们***真正有价值的资产的机会。
安全顾问公司Counter Tack的CTO Michael Davis说道:“这样做就是把对于真实资产的威胁转移给了虚假的资产。 同时可以发出告警。对于今天的安全威胁来说, 结合传统的网络安全监控和最新的蜜罐技术和主动防御工具是关键。“
除了采用服务器作蜜罐之外, 企业也可以把一些虚假数据放入数据库,这些数据普通用户不会也不能访问到, 通过在防火墙等监控软件上设置规则, 一旦发现这些数据被访问或下载, 则可以提供安全告警。
3) 维护成本低
蜜罐有两种类型, 一种是研究型蜜罐, 这种蜜罐是一个虚拟的具有安全漏洞的系统, 用户可以通过Internet访问。 通过这个系统, 研究人员可以研究******的行为。
不过, 研究型蜜罐的问题是需要很长时间来设置, 并且需要不断的维护。 尽管可以通过研究型蜜罐学习到很多***的方式, 对于企业来说, 研究型蜜罐并不是一个好的选择。
另一种类型是生产型蜜罐, 这种蜜罐比较简单, 可以是一个Web服务器, 工作站, 数据库, 甚至一些文件。 这些蜜罐一旦设置好后, 基本不需要维护, 而当有人访问这些蜜罐时, 企业就可以得到安全告警。
4) 可以帮助培训企业的安全管理团队
在这个专业安全管理人员稀缺的时代, 蜜罐可以用来作为基本的培训工具。 通过蜜罐来观察***者的行为, 安全管理人员可以学习到最新的***技术。
John Strand说:“很多安全管理团队, 在实施了蜜罐技术以后, 才真正理解了***们究竟在干些什么。 他们看到了***实施***的步骤, 同时也明白了如何在***的中间步骤过程中阻止他们。”
5) 有很多免费的蜜罐实施工具可供选择
对于企业来说, 有很多帮助实施蜜罐的免费工具。 在拉斯×××的黑帽安全展上, John Strand和他的同事们就发布了一系列主动防御的工具, 做成了一个名为Active Defense Harbinger发行版的Linux ISO。
如果想在Windows上实施蜜罐, KFSensor是一个流行的Windows平台的蜜罐系统。
京公网安备 11010802041100号