亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        部署蜜罐時需要考慮的10個因素

        2020-04-01 20:19:39王英哲
        計算機(jī)與網(wǎng)絡(luò) 2020年21期
        關(guān)鍵詞:嘗試分析系統(tǒng)

        王英哲

        將偽造的系統(tǒng)設(shè)置為誘餌,可以獲取有關(guān)潛在威脅的寶貴信息,蜜罐提供了檢測組織內(nèi)部、外部的攻擊者,或未經(jīng)授權(quán)窺探者的最佳方法。

        數(shù)十年來,蜜罐一直沒有騰飛,雖然數(shù)量繼續(xù)增長,但它們似乎終于達(dá)到了臨界點,如果您正在考慮蜜罐部署,則必須考慮以下10個因素。

        目的是什么

        蜜罐通常有2個作用:預(yù)警或惡意行為分析??梢栽谄渲薪⒁粋€或多個偽造系統(tǒng),這些偽造系統(tǒng)只要會被稍加探測就能立即記錄下惡意信息。

        預(yù)警蜜罐非常適合捕獲其他系統(tǒng)遺漏的黑客和惡意軟件。為什么?由于蜜罐系統(tǒng)是偽造的,因此任何單一的連接嘗試或探測(在過濾掉正常廣播和其他合法流量之后)都意味著惡意行為即將到來。

        公司部署蜜罐的另一個主要原因是幫助分析惡意軟件(尤其是0Day)或確定黑客的意圖。

        通常,預(yù)警蜜罐比惡意行為分析蜜罐更容易設(shè)置和維護(hù)。使用預(yù)警蜜罐,當(dāng)檢測到探針或連接嘗試時,僅進(jìn)行連接嘗試即可為您提供所需的信息,并且可以將探針追溯到其起源,以開始下一次防御。

        可以捕獲和隔離惡意軟件或黑客工具的取證分析蜜罐,僅僅是全面分析鏈的開始。

        蜜罐要做什么

        蜜罐模擬通常是由認(rèn)為可以最好、最早發(fā)現(xiàn)黑客或最好地保護(hù)重要資產(chǎn)驅(qū)動的。大多數(shù)蜜罐都模仿應(yīng)用程序服務(wù)器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器和憑據(jù)數(shù)據(jù)庫(例如域控制器)。

        可以部署一個蜜罐來模擬每個可能的廣告端口和服務(wù),也可以部署多個蜜罐,每個蜜罐都專用于模仿特定的服務(wù)器類型。有時,蜜罐用于模擬網(wǎng)絡(luò)設(shè)備,例如Cisco路由器、無線集線器或安全設(shè)備。認(rèn)為黑客或惡意軟件最有可能攻擊的就是蜜罐應(yīng)該模仿的東西。

        什么交互水平

        蜜罐分為低交互、中交互和高交互。

        低交互性蜜罐僅模擬端口掃描程序,可能檢測到最基本級別的偵聽UDP或TCP端口,但是他們不允許完全連接或登錄。低交互性蜜罐非常適合提供惡意行為的預(yù)警。

        中交互蜜罐提供了更多的仿真功能,通常使連接或登錄嘗試看起來很成功,甚至可能包含可以用來欺騙攻擊者的基本文件結(jié)構(gòu)和內(nèi)容。

        高交互性蜜罐通常會提供仿真服務(wù)器的完整或接近完整的副本。他們對于取證分析非常有用,因為他們可以誘騙黑客和惡意軟件以揭示更多誘騙手段。

        應(yīng)該將蜜罐放在哪里

        大多數(shù)蜜罐應(yīng)放置在他們試圖模仿的資產(chǎn)附近。如果有SQLServer蜜罐,請將其放置在實際SQLServer所在的相同數(shù)據(jù)中心或IP地址空間中。一些蜜罐發(fā)燒友喜歡將蜜罐放置在DMZ中,如果黑客或惡意軟件在該安全域中,他們可以收到預(yù)警。如果您有一家跨國公司,請將蜜罐放在世界各地,甚至有一些企業(yè)放置了模仿CEO或其他高級C級員工筆記本電腦的蜜罐,以檢測黑客是否企圖破壞這些系統(tǒng)。

        真正的系統(tǒng)或仿真軟件

        大多數(shù)蜜罐都是完全運(yùn)行的系統(tǒng),其中包含真實的操作系統(tǒng)———通常是準(zhǔn)備退役的舊計算機(jī)。真正的系統(tǒng)對蜜罐非常有用,因為攻擊者無法輕易地判斷出他們是蜜罐。

        開源還是商業(yè)

        有數(shù)十種蜜罐軟件程序,但是在發(fā)布后的一年內(nèi),很少有人支持或積極更新它們,商業(yè)軟件和開源軟件都是如此。如果發(fā)現(xiàn)蜜罐產(chǎn)品的更新時間超過一年,那么您就找到了一顆寶石。

        無論是新的還是舊的商業(yè)產(chǎn)品,通常都更易于安裝和使用,像Honeyd(最受歡迎的程序之一)這樣的開放源代碼產(chǎn)品通常很難安裝,但通常更具可配置性。例如,Honeyd可以仿真近100種不同的操作系統(tǒng)和設(shè)備,甚至可以仿真到Subversion級別(WindowsXPSP1與SP2),并且可以與數(shù)百個其他開源程序集成添加功能。

        哪個蜜罐產(chǎn)品

        如果選擇開放源代碼產(chǎn)品,Honeyd很好,但對于初級蜜罐用戶來說可能過于復(fù)雜。幾個與Honeypot相關(guān)的網(wǎng)站(例如Honeypots.net)匯總了數(shù)百個Honeypot文章,并鏈接到Honeypot軟件站點。

        誰應(yīng)該管理蜜罐

        蜜罐不是一勞永逸的解決方案。相反,需要至少一個人來擁有蜜罐的所有權(quán)。該人員必須計劃、安裝、配置、更新和監(jiān)視蜜罐。如果不至少任命一個蜜罐管理員,它將變得被忽略,毫無用處,并且在最壞的情況下,將成為黑客的跳板。

        如何刷新數(shù)據(jù)

        如果部署高交互性蜜罐,將需要一些數(shù)據(jù)和內(nèi)容,以使其看起來更真實,從其他地方獲得一次性數(shù)據(jù)副本是不夠的,需要保持內(nèi)容新鮮。

        確定更新頻率和更新方式,方法之一是使用免費提供的復(fù)制程序或復(fù)制命令從另一臺類似類型的服務(wù)器復(fù)制非私有數(shù)據(jù),并每天使用計劃任務(wù)或cron作業(yè)啟動復(fù)制。還可以在復(fù)制過程中重命名數(shù)據(jù),使數(shù)據(jù)看起來比實際情況更為機(jī)密。

        應(yīng)該使用哪些監(jiān)視和警報工具

        除非啟用監(jiān)視惡意活動的能力,并且在發(fā)生威脅事件時設(shè)置警報,否則蜜罐沒有任何價值,通常使用組織常規(guī)用于此目的的任何方法和工具。但請注意:在任何蜜罐計劃周期中,確定要監(jiān)視和提醒的內(nèi)容通常是最耗時的部分。

        猜你喜歡
        嘗試分析系統(tǒng)
        Smartflower POP 一體式光伏系統(tǒng)
        WJ-700無人機(jī)系統(tǒng)
        隱蔽失效適航要求符合性驗證分析
        ZC系列無人機(jī)遙感系統(tǒng)
        北京測繪(2020年12期)2020-12-29 01:33:58
        再試試看
        一次驚險的嘗試
        電力系統(tǒng)不平衡分析
        電子制作(2018年18期)2018-11-14 01:48:24
        嘗試
        小主人報(2018年11期)2018-06-26 08:52:18
        一次讓我受益的嘗試
        北極光(2018年12期)2018-03-07 01:01:58
        連通與提升系統(tǒng)的最后一塊拼圖 Audiolab 傲立 M-DAC mini
        亚洲精品456在线播放狼人| 波多野结衣aⅴ在线| 一区二区精品| 欧美极品美女| 久久国产精品免费一区六九堂| 人妻av在线一区二区三区| 美女露出粉嫩小奶头在视频18禁 | 国产亚洲人成a在线v网站| 欧美成人免费看片一区| 91青青草手机在线视频| 国产精品无码一区二区三区在| 午夜精品久久久久成人| 性一交一乱一伦一视频一二三区| 亚洲国产精品嫩草影院久久av| 在教室伦流澡到高潮hgl动漫| 国产免费人成视频在线观看| 国产亚洲欧美在线| 少妇久久高潮不断免费视频| 国产激情视频免费在线观看 | 国产一区二区黑丝美胸| 医院人妻闷声隔着帘子被中出| 蜜桃臀无码内射一区二区三区| 婷婷激情五月综合在线观看| 久久精品亚洲熟女av麻豆| 亚洲国产日韩精品一区二区三区| 手机看片福利日韩| 午夜在线观看一区二区三区四区 | 亚洲精品无码不卡在线播he| 亚洲精品综合一区二区三| 久久精品国产日本波多麻结衣| 久久久精品人妻一区二| 少妇人妻中文久久综合| 人妻夜夜爽天天爽一区 | 中文字幕在线看精品乱码 | 国产精品久色婷婷不卡| 成人国产精品一区二区视频| 日本欧美在线播放| 蜜桃视频永久免费在线观看 | 秋霞午夜无码鲁丝片午夜精品 | 日韩五十路| 丝袜美腿在线观看视频|