【51CTO.com快譯】雖然以偽造系統(tǒng)作為誘餌能夠幫助大家排除潛在威脅，然而此類蜜罐方案的具體實施仍會帶來一系列亟待解決的難題。

[[173470]]

蜜罐是一種檢測攻擊者或者識別企業(yè)內(nèi)外潛在威脅因素的理想的方式。

經(jīng)歷了數(shù)十年的緩慢發(fā)展，如今蜜罐終于迎來了飛躍期。而如果大家也已經(jīng)在考慮部署自己的首套蜜罐，那么以下十項重要決策必須加以認真考量。

1. 目的是什么？

蜜罐的主要用途有二：預警與取證分析。我個人更支持將蜜罐用于預警，因為假系統(tǒng)的存在能夠通過各類試探性行為發(fā)現(xiàn)惡意活動。

當然，也有一部分企業(yè)選擇部署蜜罐以分析惡意軟件（特別是與零日漏洞相關的惡意工具）或者協(xié)助判斷黑客意圖。

總體而言，預警型蜜罐的部署與維護較取證分析型蜜罐更為輕松便捷。預警蜜罐的作用在于吸引惡意人士接入，借此獲取相關信息并據(jù)此設計未來防御體系。

取證分析型蜜罐則用于捕捉并隔離惡意軟件或者黑客工具，其通常需要被包含在一套綜合性的分析鏈之內(nèi)。根據(jù)我的實踐經(jīng)驗，利用蜜罐進行分析往往需要耗費大量時間。

2. 蜜罐需要執(zhí)行哪些任務?

蜜罐的基本作用是模擬核心資產(chǎn)，并借此檢測針對這部分資產(chǎn)的黑客活動。大多數(shù)蜜罐負責模擬應用服務器、數(shù)據(jù)庫服務器、Web服務器以及憑證服務器等。

大家可以部署單一蜜罐，并利用其模擬環(huán)境中每種潛在的廣告端口與服務; 也可以部署多套蜜罐，其各自模擬一種服務類型。有時候蜜罐亦會被用于模擬網(wǎng)絡設備，例如思科路由器、無線集線器或者安全設備?？傊灰怯锌赡苁艿焦舻囊蛩?，皆可利用蜜罐加以模擬。

3. 采用怎樣的交互級別?

蜜罐被分為低、中及高交互級別。低交互型蜜罐僅用于模擬基礎層面的UDP或者TCP端口，這些端口可被掃描發(fā)現(xiàn)，但不允許完全連接或者登錄。低交互蜜罐適用于針對惡意活動提供早期警報。

中級交互蜜罐的模擬范圍更廣，通常能夠顯示成功接入或者登錄。其中甚至包含部分基礎文件結構及內(nèi)容，用于迷惑攻擊者。高交互級蜜罐則幾乎能夠完整模擬整套服務器，其通常用于引誘黑客及惡意軟件入侵以收集更多信息，以供后續(xù)取證分析。

4. 蜜罐應該部署在哪里?

在我個人看來，大部分蜜罐亦部署在需要模擬的資產(chǎn)周邊。如果大家希望使用一套SQL Server蜜罐，則可將其部署在與實際SQL Server相同的數(shù)據(jù)中心或者IP地址空間內(nèi)。也有部分用戶傾向于在DMZ中部署蜜罐以獲取早期惡意活動警告。某些用戶甚至會利用蜜罐模擬CEO或者其他高管人員的筆記本，用以檢測黑客是否嘗試入侵這些系統(tǒng)。

5. 這是一套真實系統(tǒng)抑或模擬軟件?

我所部署的大多數(shù)蜜罐包含真正的操作系統(tǒng)，這是為了更好地迷惑攻擊者。

當然，我也經(jīng)常使用各類蜜罐模擬軟件; 我個人比較偏愛KFSensor，此類優(yōu)秀的蜜罐軟件易于安裝且內(nèi)置有簽名檢測與監(jiān)控功能?？傊?，這類方案適合要求低風險、快速安裝及豐富功能的受眾。

6. 開源還是商用?

蜜罐軟件多種多樣，但其中大部分會很快失去初始開發(fā)者的支持——這種情況在商用及開源軟件中皆有出現(xiàn)。如果大家能夠找到一套更新時間超過一年的蜜罐產(chǎn)品，請務必將其收藏起來。

商用產(chǎn)品往往易于安裝及使用。而Honeyd等開源產(chǎn)品則往往難于安裝，但卻通常更具可配置性。以Honeyd為例，其能夠模擬近100種不同操作系統(tǒng)及設備，且能夠與其它數(shù)百種開源程序相集成以實現(xiàn)功能添加。

7. 選擇哪款蜜罐產(chǎn)品?

我個人選擇易于使用、功能豐富且具備良好支持的商用產(chǎn)品，例如KFSensor。如果大家希望使用開源方案，那么Honeyd是個理想選擇——但對于新手而言其使用可能較為復雜。

8.蜜罐應由誰管理?

蜜罐同樣需要后續(xù)管理及維護，因此大家至少需要委派一名員工專門負責。這位員工需要規(guī)劃、安裝、配置、更新及監(jiān)控蜜罐。再次強調(diào)，與其它軟件一樣，不加維護會導致其徹底失效甚至淪為黑客的跳板。

9. 如何更新數(shù)據(jù)?

如果決定部署一套高交互級蜜罐，那么大家需要為其提供數(shù)據(jù)與內(nèi)容以提升真實性。一次性數(shù)據(jù)副本顯然是不夠的，您需要保證內(nèi)容新鮮有效。

我個人最喜歡的實現(xiàn)方法是從另一類似服務器處復制非專有數(shù)據(jù)，并利用計劃任務或者cron任務定期執(zhí)行復制。有時候我還會在復制過程中對數(shù)據(jù)進行重命名，從而使其看起來包含更多秘密。

10. 應當使用哪些監(jiān)控與警報工具?

如果不對惡意活動加以監(jiān)控并在出現(xiàn)威脅時發(fā)布警報，那么蜜罐本身將不具備任何價值。一般來講，企業(yè)中的常規(guī)方法與工具在蜜罐中亦同樣適用。不過請注意，監(jiān)控與警報內(nèi)容往往是蜜罐規(guī)劃周期當中最為耗時的部分。

原文鏈接：http://www.infoworld.com/article/3128818/security/10-decisions-youll-face-when-deploying-a-honeypot.html

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】