蜜罐是在您的网络中与生产系统一起部署的诱饵系统或服务器. 当被部署为攻击者的诱人目标时, 蜜罐可以为蓝队增加安全监控机会,并误导对手偏离他们的真正目标. 根据您的组织的需要,蜜罐具有各种各样的复杂性,并且在早期标记攻击时可以成为重要的防线. 本页将更详细地介绍什么是蜜罐, 如何使用它们, 以及实施它们的好处.
蜜罐有许多应用程序和用例, 因为他们的工作是将恶意流量从重要系统转移出去, 在关键系统受到攻击之前获得当前攻击的早期预警, 并收集有关攻击者及其方法的信息. 如果蜜罐实际上不包含机密数据并且受到良好监控, 您可以深入了解攻击者工具, 战术, 和程序(TTPs),并在不危及网络其他部分的情况下收集法医和法律证据.
要使蜜罐起作用,该系统应该看起来是合法的. 它应该运行生产系统预期运行的流程, 并包含看似重要的虚拟文件. 蜜罐可以是任何设置了适当嗅探和日志记录功能的系统. 在公司防火墙后面放置一个蜜罐也是一个好主意——它不仅提供了重要的日志记录和警报功能, 但是,您可以阻止传出的流量,这样受损的蜜罐就不能用于转向其他内部资产.
就目标而言,蜜罐有两种类型:研究蜜罐和生产蜜罐. 研究蜜罐收集有关攻击的信息,专门用于研究野外的恶意行为. 看着你的环境和更广阔的世界,他们收集信息 攻击者的趋势, 恶意软件菌株, 漏洞 这些都是对手的攻击目标. 这可以告知您的预防性防御、补丁优先级和未来投资.
生产“粘蜜罐”, 另一方面, 是否专注于识别内部网络上的活动危害并欺骗攻击者. 信息收集仍然是一个优先事项, 由于蜜罐为您提供了额外的监控机会,并填补了周围常见的检测空白 识别网络扫描 和 横向运动. 生产蜜罐与其他生产服务器放在一起,并运行通常在您的环境中运行的服务. 研究蜜罐往往比生产蜜罐更复杂,存储更多类型的数据.
在生产和研究蜜罐内, 根据组织需要的复杂程度,也有不同的层次:
目前使用的几种蜜罐技术包括:
蜜罐为选择实现它们的组织提供了大量的安全好处, 包括以下内容:
他们打破了攻击者的杀戮链,减缓了攻击者的速度
当攻击者在您的环境中移动时, 他们进行侦察, 扫描你的网络, 寻找配置错误和易受攻击的设备. 在这个阶段, 他们很可能会把你的蜜罐绊倒, 提醒您调查并遏制攻击者访问. 这允许您在攻击者有机会成功地从您的环境中窃取数据之前做出响应. 恶意行为者还可以花费大量时间试图在蜜罐上工作,而不是追踪拥有真实数据的区域. 将他们的攻击转移到一个无用的系统会浪费时间,并为您提供正在进行的攻击的早期警告.
它们很简单,维护成本低
现代蜜罐不仅易于下载和安装, 但是可以针对危险的错误配置和攻击者行为提供准确的警报. 在某些情况下, 您的团队甚至可能会忘记曾经部署过蜜罐,直到有人开始窥探您的内部网络. 不像 入侵检测系统,蜜罐不需要已知的恶意攻击签名和新的威胁英特尔就可以使用.
它们可以帮助您测试事件响应流程
蜜罐是一种帮助您提高安全性成熟度的低成本方法, 因为他们测试你的团队是否知道如果蜜罐显示意外活动该怎么做. 你的团队能调查警报并采取适当的对策吗?
蜜罐不应该是你的全部威胁检测策略, 但它们是另一层安全措施,可以帮助及早发现攻击. 它们是安全从业者研究真实世界恶意行为和捕获内部网络危害的少数可用方法之一. 想了解更多关于其他类型的科技,可以提高你的蓝队防御? 查看我们的网页 欺骗技术.