蜜罐(英语:honeypot)是一个电脑术语,专指用来侦测或抵御未经授权操作或者是骇客攻击的陷阱,因原理类似诱捕昆虫的蜜罐因而得名。
蜜罐通常伪装成看似有利用价值的网路、资料、电脑系统,并故意设置了bug,用来吸引骇客攻击。由于蜜罐事实上并未对网路提供任何有价值的服务,所以任何对蜜罐的尝试都是可疑的。蜜罐中还可能装有监控软件,用以监视骇客入侵后的举动。
蜜罐在拖延骇客攻击真正目标上也有一定作用。不过骇客可能发现一个电脑系统是蜜罐,进而提前退出。
而更常见的用法是用来吸引网络的计算机病毒入侵,从而获得病毒样本用于研究或破解的计算机,杀毒软件公司会利用这些计算机来监视或获得计算机网络中的病毒样本。
蜜罐的定义
蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。经常会有敌方间谍中了美人计,然后被迫交待他/她所知道的一切。
在计算机安全方面,网络蜜罐的工作原理与此类似,是为黑客设下的诱饵。这是一种具有牺牲性质的计算机系统,旨在吸引网络攻击,就像诱饵一样。它模仿黑客的目标,利用黑客的入侵企图来获取网络犯罪分子的信息以及他们的行动方式,或者将他们从其他目标上引开。
蜜罐的工作原理
蜜罐看起来是一个真实的计算机系统,其中包含应用程序和数据,欺骗网络犯罪分子以为这是一个合理目标。例如,蜜罐可以模仿公司的客户计费系统,这是想要找到信用卡号码的犯罪分子经常攻击的目标。一旦黑客进入,就可以对他们进行追踪,并对他们的行为进行评估,以获取如何使真实网络更安全的线索。
蜜罐通过刻意构建安全漏洞来吸引攻击者。例如,蜜罐可能具有响应端口扫描或弱密码的端口。脆弱的端口可能保持开放,以诱使攻击者进入蜜罐环境而不是更安全的实时网络。
蜜罐并未像防火墙或反病毒软件一样设置为解决特定问题。相反,它是一种信息工具,可以帮助您了解企业的现有威胁,并发现新出现的威胁。利用从蜜罐获得的情报,可以制定安全工作的优先级和重点。
不同类型的蜜罐及其工作原理
不同类型的蜜罐可以用来识别不同类型的威胁。各种蜜罐定义均基于所解决的威胁类型。它们都在全面有效的网络安全策略中占有一席之地。
电子邮件陷阱或垃圾邮件陷阱将伪造的电子邮件地址放置在隐藏位置,只有自动地址收集器才能找到它。由于该地址除了是垃圾邮件陷阱外,没有任何其他用途,因此可以 100% 确定发送到该地址的任何邮件都是垃圾邮件。所有与发送到垃圾邮件陷阱的邮件内容相同的邮件都可以被自动阻止,并且发件人的源 IP 可以添加到黑名单中。
可以设置一个诱饵数据库来监控软件漏洞,并发现利用不安全的系统架构或使用 SQL 注入、SQL 服务漏洞或滥用权限的攻击。
恶意软件蜜罐模仿软件应用程序和 API 来引诱恶意软件攻击。然后可以通过分析恶意软件的特征,来开发反恶意软件或封堵 API 中的漏洞。
爬虫蜜罐旨在通过创建只有网络爬虫才能访问的网页和链接来诱捕网络爬虫。检测网络爬虫可以帮助您了解如何阻止恶意机器人以及广告网络爬虫程序。
通过监视进入蜜罐系统的流量,您可以评估:网络犯罪分子来自何处;威胁级别;他们的作案手法;他们感兴趣的数据或应用程序;您的安全措施在阻止网络攻击方面的效果如何。
另一个蜜罐定义着眼于蜜罐是高交互还是低交互。低交互式蜜罐使用的资源较少,收集有关威胁的级别和类型以及威胁来源的基本信息。它们的设置简单快捷,通常只需模拟一些基本的 TCP 和 IP 协议以及网络服务。但是蜜罐中没有任何内容可以让攻击者长时间交互,您不会获得有关他们的习惯或复杂威胁的深入信息。
另一方面,高交互性蜜罐旨在使黑客在蜜罐内花费尽可能多的时间,从而提供有关他们的意图和目标以及他们正在利用的漏洞和所用作案手法的大量信息。可以将其视为添加了“胶水”的蜜罐 – 可以让攻击者花费更长时间交互的数据库、系统和进程。这使得研究人员能够跟踪攻击者在系统中的哪些位置查找敏感信息,他们使用哪些工具来提权,或者利用哪些漏洞来破坏系统。
然而,高交互蜜罐需要大量资源。设置和监视它们更加困难且耗时。它们也会产生风险;如果未使用“蜜墙”进行保护,那么一个坚决而狡猾的黑客可以使用高交互蜜罐攻击其他互联网主机,或者从受感染的计算机发送垃圾邮件。
两种类型的蜜罐都在蜜罐网络安全中占有一席之地。将两种类型结合使用,可以通过添加有关高交互蜜罐的意图、通信和漏洞利用的信息来优化有关低交互蜜罐的威胁类型的基本信息。
通过使用网络蜜罐创建威胁情报框架,企业可以确保将其网络安全支出定位在正确的位置,并可以查看安全弱点所在。
使用蜜罐的好处
蜜罐是暴露主要系统中的漏洞的好方法。例如,蜜罐可以显示出对物联网设备的攻击所带来的高度威胁。它还可以提出改进安全性的方法。
与尝试在实际系统中发现入侵相比,使用蜜罐具有多个优势。例如,根据定义,蜜罐不应获得任何合法流量,因此所记录的任何活动都可能是探测或入侵尝试。
这样可以更容易地发现模式,例如相似的 IP 地址(或全部来自一个国家的 IP 地址)被用来进行网络扫描。相比之下,当您在核心网络上查看大量合法流量时,很容易在噪声中错过此类攻击迹象。使用蜜罐的一大优势在于,这些恶意地址可能是您看到的全部地址,从而使攻击更容易识别。
由于蜜罐处理的流量非常有限,它们也非常节省资源。它们对硬件的要求不高;可以用您不再使用的旧计算机来设置蜜罐。至于软件,可以从在线存储库中获得许多现成的蜜罐,这进一步减少了设置和运行蜜罐所需的内部工作量。
蜜罐的误报率很低。 这与传统的入侵检测系统 (IDS) 形成鲜明对比,后者可能产生大量误报。此外,这有助于确定工作的优先级,并使蜜罐的资源需求保持在较低水平。(事实上,通过使用蜜罐收集的数据并将其与其他系统日志和防火墙日志相关联,可以为 IDS 配置更相关的警报,以减少误报。这样,蜜罐可以帮助优化和改进其他网络安全系统。)
蜜罐可以提供有关威胁如何进化的可靠情报。它们提供有关攻击媒介、漏洞利用和恶意软件的信息,对于电子邮件陷阱,则提供有关垃圾邮件发送者和网络钓鱼攻击的信息。黑客会不断完善他们的入侵技术;网络蜜罐有助于确定新出现的威胁和入侵。充分利用蜜罐也有助于消除盲点。
蜜罐也是技术安全人员的绝佳培训工具。蜜罐是受控制的安全环境,用于展示攻击者的工作方式和检查不同类型的威胁。使用蜜罐,安全人员将不会因使用网络的实际流量而分心 – 他们将能够 100% 专注于威胁。
蜜罐还可以捕获内部威胁。大多数组织都花时间保护周边,并确保外部人员和入侵者无法进入。但是,如果仅保护周边,任何已成功越过防火墙的黑客都能尽其所能造成破坏。
防火墙也无助于抵御内部威胁,例如,一名员工想要在离职前窃取文件。蜜罐可以提供同样有用的内部威胁信息,并将此类区域中的漏洞展示为允许内部人员利用系统的权限。
最后,通过设置蜜罐,您实际上是在无私帮助其他计算机用户。黑客在蜜罐上浪费精力的时间越多,他们用来入侵实时系统并对您或其他人造成实际损害的时间就越少。
蜜罐的危险
虽然蜜罐网络安全技术将有助于绘制威胁环境图,但蜜罐不会看到所有正在发生的事情,而只能看到针对蜜罐的活动。不能因为某种威胁没有针对蜜罐,就认为它不存在;重要的是要及时了解 IT 安全新闻,而不仅仅是依靠蜜罐来通知您这些威胁。
一个好的、配置合理的蜜罐会欺骗攻击者,让他们相信他们已获得真实系统的访问权限。它将具有与真实系统相同的登录警告消息、相同的数据字段甚至相同的外观和徽标。但是,如果攻击者成功将其识别为蜜罐,他们就会继续攻击您的其他系统,同时不与蜜罐接触。
一旦蜜罐被“采指纹”,攻击者便可以进行欺骗性攻击以转移注意力,而以您的生产系统为目标真正进行攻击。他们还可以将错误的信息提供给蜜罐。
更糟糕的是,聪明的攻击者可能会使用蜜罐作为进入系统的一种方式。这就是蜜罐永远不能取代防火墙和其他入侵检测系统等足够安全的控制措施的原因。由于蜜罐可以用作进一步入侵的踏板,因此请确保所有蜜罐都得到良好保护。“蜜墙”可以提供基本的蜜罐安全性,并阻止针对蜜罐的攻击进入您的实时系统。
蜜罐提供的信息应该有助于确定网络安全工作的优先级,但是它不能取代适当的网络安全措施。无论您拥有多少蜜罐,都可以考虑使用 Kaspersky Endpoint Security Cloud 这样的软件包来保护您的企业资产。 (卡巴斯基使用自己的蜜罐来检测互联网威胁,因此您不必使用蜜罐。)
总体而言,使用蜜罐的好处远大于风险。黑客通常被认为是遥远、无形的威胁,但是使用蜜罐,您可以实时准确地看到他们在做什么,并使用这些信息阻止他们得逞。