蜜罐技術(shù)做為安全工具已經(jīng)有了近20年的發(fā)展。1991年1月， 一群荷蘭黑客試圖進入貝爾實驗室的一個系統(tǒng)。 而當時貝爾實驗室的一個研究團隊將這伙黑客引導(dǎo)到了他們自己管理的一個”數(shù)字沙盒“。 這被認為是第一個蜜罐技術(shù)的應(yīng)用。

[[115964]]

隨著時間的推移， 越來越多的企業(yè)意識到蜜罐技術(shù)的重要性。 企業(yè)采取蜜罐技術(shù)在遭到黑客攻擊時可以提供報警。 這樣的技術(shù)具有較低的誤報率， 能夠同時對內(nèi)部人員和外部黑客的攻擊進行報警， 更重要的是， 一旦設(shè)置好以后， 蜜罐基本不需要什么維護。

“如果我們?nèi)タ聪乱淮墓艏夹g(shù)的話， 攻擊者將越來越少地采用惡意軟件方式， 而是會通過互聯(lián)網(wǎng)找到一些合法的賬戶來進入。” 安全咨詢公司Black Hills的滲透專家John Strand說。

“要想發(fā)現(xiàn)這樣的攻擊， 企業(yè)可以采取復(fù)雜的異常檢測或者采用蜜罐技術(shù)， 簡單地放一些服務(wù)器， 正常用戶不需要去進入這些服務(wù)器， 而這些蜜罐可以向安全管理人員提供告警， 告訴他們有些人試圖進入他們不該進入的服務(wù)器。”

蜜罐技術(shù)在安全研究人員中已經(jīng)被廣泛采用來研究攻擊者的攻擊方式。 而這種技術(shù)對于企業(yè)的安全管理人員也非常有用， 這里列出5個蜜罐技術(shù)能夠給企業(yè)帶來的好處。

1) 低誤報率， 高成功率

基本上每個黑客在放出他們的惡意軟件之前， 都會對常見的安全防護方式進行測試， 僅僅通過檢測是否能夠通過Symantec或者McAfee的防病毒木馬掃描器， 黑客們就能夠騙過月80%的企業(yè)安全防護系統(tǒng)。

John Strand說：“很多傳統(tǒng)的防御手段對于防御高級黑客來說沒有太多用處。 因為他們在發(fā)起攻擊之前，就能夠保證他們的攻擊手段可以攻破這些防御。“

而蜜罐則不然， 黑客們很難預(yù)計到蜜罐的存在或者使用， 而由于蜜罐對于正常用戶來說是不應(yīng)進入的， 因此它具有很低的誤報率。

2) 蜜罐能夠迷惑攻擊者

對于那些已經(jīng)進入公司網(wǎng)絡(luò)的黑客， 蜜罐可以減緩他們的攻擊， 通過虛擬系統(tǒng)， 企業(yè)可以制造出很多蜜罐來吸引攻擊者， 以減少他們攻擊真正有價值的資產(chǎn)的機會。

安全顧問公司Counter Tack的CTO Michael Davis說道：“這樣做就是把對于真實資產(chǎn)的威脅轉(zhuǎn)移給了虛假的資產(chǎn)。 同時可以發(fā)出告警。對于今天的安全威脅來說， 結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控和最新的蜜罐技術(shù)和主動防御工具是關(guān)鍵。“

除了采用服務(wù)器作蜜罐之外， 企業(yè)也可以把一些虛假數(shù)據(jù)放入數(shù)據(jù)庫，這些數(shù)據(jù)普通用戶不會也不能訪問到， 通過在防火墻等監(jiān)控軟件上設(shè)置規(guī)則， 一旦發(fā)現(xiàn)這些數(shù)據(jù)被訪問或下載， 則可以提供安全告警。

3) 維護成本低

蜜罐有兩種類型， 一種是研究型蜜罐， 這種蜜罐是一個虛擬的具有安全漏洞的系統(tǒng)， 用戶可以通過Internet訪問。 通過這個系統(tǒng)， 研究人員可以研究黑客攻擊的行為。

不過， 研究型蜜罐的問題是需要很長時間來設(shè)置， 并且需要不斷的維護。 盡管可以通過研究型蜜罐學(xué)習(xí)到很多攻擊的方式， 對于企業(yè)來說， 研究型蜜罐并不是一個好的選擇。

另一種類型是生產(chǎn)型蜜罐， 這種蜜罐比較簡單， 可以是一個Web服務(wù)器， 工作站， 數(shù)據(jù)庫， 甚至一些文件。 這些蜜罐一旦設(shè)置好后， 基本不需要維護， 而當有人訪問這些蜜罐時， 企業(yè)就可以得到安全告警。

4) 可以幫助培訓(xùn)企業(yè)的安全管理團隊

在這個專業(yè)安全管理人員稀缺的時代， 蜜罐可以用來作為基本的培訓(xùn)工具。 通過蜜罐來觀察攻擊者的行為， 安全管理人員可以學(xué)習(xí)到最新的攻擊技術(shù)。

John Strand說：“很多安全管理團隊， 在實施了蜜罐技術(shù)以后， 才真正理解了黑客們究竟在干些什么。 他們看到了黑客實施攻擊的步驟， 同時也明白了如何在黑客的中間步驟過程中阻止他們。”

5) 有很多免費的蜜罐實施工具可供選擇

對于企業(yè)來說， 有很多幫助實施蜜罐的免費工具。 在拉斯維加斯的黑帽安全展上， John Strand和他的同事們就發(fā)布了一系列主動防御的工具， 做成了一個名為Active Defense Harbinger發(fā)行版的Linux ISO。

如果想在Windows上實施蜜罐， KFSensor是一個流行的Windows平臺的蜜罐系統(tǒng)。

原文地址：http://www.aqniu.com/industry-case-study/3437.html