■劉丹陽

企業(yè)設置“蜜罐”的五大理由

■劉丹陽

蜜罐技術做為安全工具已經有了近20年的發(fā)展。1991年1月，一群荷蘭黑客試圖進入貝爾實驗室的一個系統(tǒng)。而當時貝爾實驗室的一個研究團隊將這伙黑客引導到了他們自己管理的一個”數(shù)字沙盒“。這被認為是第一個蜜罐技術的應用。

隨著時間的推移，越來越多的企業(yè)意識到蜜罐技術的重要性。企業(yè)采取蜜罐技術在遭到黑客攻擊時可以提供報警。這樣的技術具有較低的誤報率，能夠同時對內部人員和外部黑客的攻擊進行報警，更重要的是，一旦設置好以后，蜜罐基本不需要什么維護。

“如果我們去看下一代的攻擊技術的話，攻擊者將越來越少地采用惡意軟件方式，而是會通過互聯(lián)網找到一些合法的賬戶來進入?！卑踩稍児綛lack H ills的滲透專家John Strand說。

“要想發(fā)現(xiàn)這樣的攻擊，企業(yè)可以采取復雜的異常檢測或者采用蜜罐技術，簡單地放一些服務器，正常用戶不需要去進入這些服務器，而這些蜜罐可以向安全管理人員提供告警，告訴他們有些人試圖進入他們不該進入的服務器。”

蜜罐技術在安全研究人員中已經被廣泛采用來研究攻擊者的攻擊方式。而這種技術對于企業(yè)的安全管理人員也非常有用，這里列出5個蜜罐技術能夠給企業(yè)帶來的好處。

（1）低誤報率，高成功率

基本上每個黑客在放出他們的惡意軟件之前，都會對常見的安全防護方式進行測試，僅僅通過檢測是否能夠通過Symantec或者M cAfee的防病毒木馬掃描器，黑客們就能夠騙過月80%的企業(yè)安全防護系統(tǒng)。

John Strand說：“很多傳統(tǒng)的防御手段對于防御高級黑客來說沒有太多用處。因為他們在發(fā)起攻擊之前，就能夠保證他們的攻擊手段可以攻破這些防御?！?/p>

而蜜罐則不然，黑客們很難預計到蜜罐的存在或者使用，而由于蜜罐對于正常用戶來說是不應進入的，因此它具有很低的誤報率。

（2）蜜罐能夠迷惑攻擊者

對于那些已經進入公司網絡的黑客，蜜罐可以減緩他們的攻擊，通過虛擬系統(tǒng)，企業(yè)可以制造出很多蜜罐來吸引攻擊者，以減少他們攻擊真正有價值的資產的機會。

安全顧問公司Counter Tack的CTO M ichaelDavis說道：“這樣做就是把對于真實資產的威脅轉移給了虛假的資產。同時可以發(fā)出告警。對于今天的安全威脅來說，結合傳統(tǒng)的網絡安全監(jiān)控和最新的蜜罐技術和主動防御工具是關鍵?！?/p>

除了采用服務器作蜜罐之外，企業(yè)也可以把一些虛假數(shù)據(jù)放入數(shù)據(jù)庫，這些數(shù)據(jù)普通用戶不會也不能訪問到，通過在防火墻等監(jiān)控軟件上設置規(guī)則，一旦發(fā)現(xiàn)這些數(shù)據(jù)被訪問或下載，則可以提供安全告警。

（3）維護成本低

蜜罐有兩種類型，一種是研究型蜜罐，這種蜜罐是一個虛擬的具有安全漏洞的系統(tǒng)，用戶可以通過Internet訪問。通過這個系統(tǒng)，研究人員可以研究黑客攻擊的行為。

不過，研究型蜜罐的問題是需要很長時間來設置，并且需要不斷的維護。盡管可以通過研究型蜜罐學習到很多攻擊的方式，對于企業(yè)來說，研究型蜜罐并不是一個好的選擇。另一種類型是生產型蜜罐，這種蜜罐比較簡單，可以是一個W eb服務器，工作站，數(shù)據(jù)庫，甚至一些文件。這些蜜罐一旦設置好后，基本不需要維護，而當有人訪問這些蜜罐時，企業(yè)就可以得到安全告警。

（4）可以幫助培訓企業(yè)的安全管理團隊

在這個專業(yè)安全管理人員稀缺的時代，蜜罐可以用來作為基本的培訓工具。通過蜜罐來觀察攻擊者的行為，安全管理人員可以學習到最新的攻擊技術。

John Strand說：“很多安全管理團隊，在實施了蜜罐技術以后，才真正理解了黑客們究竟在干些什么。他們看到了黑客實施攻擊的步驟，同時也明白了如何在黑客的中間步驟過程中阻止他們?！?/p>

（5）有很多免費的蜜罐實施工具可供選擇

對于企業(yè)來說，有很多幫助實施蜜罐的免費工具。在拉斯維加斯的黑帽安全展上，John Strand和他的同事們就發(fā)布了一系列主動防御的工具，做成了一個名為Active Defense Harbinger發(fā)行版的Linux ISO。

如果想在W indows上實施蜜罐，KFSensor是一個流行的W indows平臺的蜜罐系統(tǒng)。