蜜罐技術(shù)本質(zhì)上是一種對攻擊方進行欺騙的技術(shù)，通過布置一些作為誘餌的主機、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術(shù)和管理手段來增強實際系統(tǒng)的安全防護能力。

[[245281]]

1. 概述

2015年，Gartner在報告《Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities》中對網(wǎng)絡(luò)欺騙技術(shù)的描述為：欺騙技術(shù)被定義為使用騙局或者假動作來阻撓或者推翻攻擊者的認(rèn)知過程，擾亂攻擊者的自動化工具，延遲或阻斷攻擊者的活動，通過使用虛假的響應(yīng)、有意的混淆、以及假動作、誤導(dǎo)等偽造信息達(dá)到“欺騙”的目的。同時Gartner還描繪了基于欺騙的安全防御技術(shù)的市場前景，預(yù)測到2018年，將會有10%的單位使用欺騙工具或策略來對抗網(wǎng)絡(luò)攻擊。

蜜罐技術(shù)本質(zhì)上是一種對攻擊方進行欺騙的技術(shù)，通過布置一些作為誘餌的主機、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術(shù)和管理手段來增強實際系統(tǒng)的安全防護能力。

事實上，蜜罐并非新技術(shù)，而且已經(jīng)存在多年，作為一個比較“傳統(tǒng)”的安全技術(shù)，其本身的價值在過去因為得不到相應(yīng)的實際應(yīng)用而不被大多數(shù)企業(yè)用戶所重視，更多情況下，蜜罐是被安全研究人員用來捕捉攻擊而小范圍的使用和研究。

時至今日，大多數(shù)的金融單位在被動的邊界安全防御體系上已經(jīng)趨于完善，但是近些年隨著一系列安全事件的發(fā)生，金融單位的安全管理者越來越重視和審視自身安全體系的完備性，尤其是在如何應(yīng)對APT攻擊、內(nèi)部威脅成為迫切的需求。

蜜罐技術(shù)本質(zhì)上是一種對攻擊方進行欺騙的技術(shù)，通過合理的部署一些蜜罐服務(wù)或者陷阱文件，誘使攻擊者對其實施攻擊，從而可以對攻擊過程進行捕捉和分析，推測攻擊意圖和動機，繼而對自身的安全防御系統(tǒng)進行增強，所以說是一種主動積極的安全防御手段。

2. 蜜罐技術(shù)的介紹

按照蜜罐的實現(xiàn)方式，可以將蜜罐分成被動式的蜜罐和主動欺騙性的蜜罐。

被動式的蜜罐更多的是通過模擬一些服務(wù)，比如是一個有漏洞的Web服務(wù)、SSH服務(wù)、RDP服務(wù)、ES等服務(wù)的蜜罐，甚至還有些被動式的蜜罐則是通過陷阱文件、數(shù)據(jù)庫實現(xiàn)。這類被動式蜜罐系統(tǒng)的特點是需要攻擊者能夠發(fā)現(xiàn)這些服務(wù)，并對這些服務(wù)實施攻擊。所以從這個角度來說，合理的布置被動式的蜜罐系統(tǒng)就成為了關(guān)鍵。

主動欺騙性的蜜罐系統(tǒng)則是通過模擬正常通信流量，并在通信流量中加入攻擊者感興趣的內(nèi)容，比如用戶名密碼，從而誘使攻擊者對陷阱服務(wù)系統(tǒng)進行訪問，進而發(fā)現(xiàn)攻擊者的蹤跡。主動欺騙性的蜜罐系統(tǒng)主要用來應(yīng)對那些通過內(nèi)網(wǎng)監(jiān)聽獲取敏感信息的攻擊者。

根據(jù)蜜罐和攻擊者之間進行的交互，通常將蜜罐分成高交互蜜罐和低交互蜜罐。

高交互蜜罐通常模擬一個真實的或者仿真度高的系統(tǒng)環(huán)境，其優(yōu)勢是提供了真實的環(huán)境，迷惑性高，因而能夠?qū)⒐粽叩母嗟幕顒雍托袨橛涗浵聛?。缺陷也是顯而易見的，這類系統(tǒng)容易成為攻擊者的跳板，通常部署的點也不會太多，因此能夠發(fā)揮的價值也就相對有限。

低交互蜜罐則是模擬服務(wù)、陷阱文件等方式，獲取攻擊者有限的攻擊行為(通常是針對模擬的服務(wù))。通常來說，我們習(xí)慣于把低交互蜜罐成為微蜜罐，在這個方向做的蜜罐廠商基本都把微蜜罐做成了分布式，可直接部署到業(yè)務(wù)服務(wù)器或者辦公終端上。雖然可以把微蜜罐看成是對高交互蜜罐的精簡，但是通過合理的蜜罐隱藏技術(shù)，加上部署范圍廣等特點，微蜜罐應(yīng)用價值也是非常高。

3. 部署建議方式

如前文所述，微蜜罐可直接應(yīng)用于業(yè)務(wù)服務(wù)器和辦公網(wǎng)終端機器上。因金融行業(yè)自身特點，通常會選擇從容易成為跳板機辦公網(wǎng)入手，一方面是直接避免了對業(yè)務(wù)服務(wù)器的干擾，另一方面應(yīng)用微蜜罐也是綜合考慮了低交互服務(wù)模擬的安全性和分布式部署的能力，用“人海戰(zhàn)術(shù)”打一場非對稱的網(wǎng)絡(luò)對抗戰(zhàn)爭。

另外如果金融企業(yè)安全管理人員考慮在業(yè)務(wù)服務(wù)器上部署微蜜罐，有選擇的的合理部署蜜罐系統(tǒng)，在最小限度的避免干擾業(yè)務(wù)的同時，最大化的發(fā)揮微蜜罐的價值。金融單位可以根據(jù)自身的特點，通常是建議在容易受到黑客攻擊的業(yè)務(wù)服務(wù)器周圍和存有核心業(yè)務(wù)數(shù)據(jù)的服務(wù)器周圍設(shè)置蜜罐。

4. 微蜜罐應(yīng)用價值

首先蜜罐本身的應(yīng)用價值，蜜罐不同于WAF、IPS這類的安全產(chǎn)品，蜜罐通常能夠產(chǎn)生高價值的告警信息，甚至個人建議蜜罐在內(nèi)網(wǎng)應(yīng)用的情況下，值得企業(yè)安全管理人員深度的跟蹤每條告警信息，并完成安全閉環(huán)管理。

設(shè)置單獨的網(wǎng)絡(luò)區(qū)域，將微蜜罐模擬的服務(wù)暴露到互聯(lián)網(wǎng)上，作為企業(yè)威脅情報收集來源之一，并將這些情報反饋到防御設(shè)備上進行積極主動的攔截攻擊者，從而有效彌補被動安全防御體系的一些不足。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文