蜜罐在行動中捕獲黑客的陷阱

高楓

蜜罐是IT專業人員鎖定了惡意黑客，希望他們會在提供有用的情報的方式與之交互陷阱。這是IT中最古老的安全措施之一，但要注意：即使在孤立的系統上，將黑客吸引到您的網絡上也是一種危險的游戲。蜜罐是一種計算機或計算機系統，旨在模仿可能的網絡攻擊目標。通常情況下，蜜罐會被故意配置已知的漏洞，以便為攻擊者制定更具誘惑力或明顯的目標。蜜罐不會包含生產數據或參與您網絡上的合法流量，就是您可以通過攻擊來判斷其中發生任何事情的方式。

蜜罐類型

蜜罐的分類有2種不同的方案：一種基于它們的構建方式，另一種基于它們的用途。

純蜜罐是這樣一種方式，在攻擊者引誘下配置一個物理服務器。特殊監控軟件會密切關注蜜罐與網絡其它部分之間的連接。由于這些都是成熟的機器，它們為攻擊者提供了更加逼真的目標，但攻擊者可能會在蜜罐的創建者身上轉換表格并使用蜜罐作為攻擊的臨時服務器。他們配置和管理也是勞動密集型的。

高交互蜜罐使用的虛擬機，與保持潛在的損害系統隔離。多個虛擬蜜罐可以在單個物理設備上運行，這樣可以更容易地擴展到多個蜜罐和沙箱受損系統，然后關閉并重新啟動它們，恢復到原始狀態。但是，每個VM仍然是一個成熟的服務器，具有所有附帶的配置成本。

一個低交互蜜罐是一個VM只運行一組有限的服務代表最常見的攻擊向量或攻擊媒介隊伍建設的蜜罐是最感興趣的，這種類型的蜜罐是更容易建立和維護，消耗資源較少，但更有可能對攻擊者“假”。

將蜜罐分開的另一種方法是建立它們的人背后的意圖：有研究蜜罐和生產蜜罐。二者之間的區別進入了蜜罐在實踐中實際使用的雜草，因此我們將在下一步討論。

蜜罐和蜜網之間的區別

蜜網是蜜罐概念的合理延伸。蜜罐是一臺獨立的機器（或虛擬機），而蜜網則是一系列聯網的蜜罐。當然，攻擊者不僅希望在受害者的基礎設施上找到一臺機器，而且還會找到許多不同專用類型的服務器。例如，通過觀察攻擊者在網絡中從文件服務器移動到網絡服務器，將更好地了解他們正在做什么以及他們如何做，而且他們認為真的進入了你的網絡。蜜網的一個關鍵特性是它們作為真實網絡連接和交互，因為模擬或抽象層將是一個提示。

蜜罐和蜜網是所謂的欺騙技術的基礎。欺騙產品通常包括蜜罐和蜜網，但也可能在生產服務器上放置“誘餌”文件。這個類別“或多或少是指現代的，動態的蜜罐和蜜網”。最大的區別在于欺騙技術包括自動化功能，允許工具實時響應攻擊，吸引攻擊者欺騙資產而不是真正的對手。

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使黑客對它們實施攻擊，從而可以對攻擊行為進行監控和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓企業清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強現有系統的安全防護能力。

我們的有影攻擊誘捕系統（以下簡稱有影）是一款基于欺騙技術設計研發的內網威脅感知系統。可全面提升內網發現、記錄和朔源攻擊行為的能力。欺騙技術作為一種新型的網絡威脅防御技術，除了對常見勒索軟件、魚叉式網絡釣魚、偵察和憑據盜竊具有有效偵測能力外，也是目前能夠發現、分析和防御如“0 day”等APT高級攻擊最有效的技術產品之一。

有影能夠實現全流量、高精度的網絡威脅實時捕獲和檢測，定位威脅源頭并監控各種攻擊行為；通過對元數據、脆弱性數據、資產信息、安全事件、運行狀態、審計日志和威脅情報等警報的全面記錄與分析，提升了對定向攻擊、高級威脅的發現和溯源能力，從而達成對潛在威脅、未知威脅的持續檢測效果。

有影系統的行為檢測機制，可準確、高效地識別各種已知攻擊。同時配合HIDS等技術可有效感知系統的進程、線程、網絡、系統日志、注冊表、服務以及崩潰等系統事件的發生，可及時發現攻擊者并進行隔離，徹底解決了以往基于模式匹配技術的網絡安全產品片面依賴攻擊特征簽名數量來檢測攻擊的弊端，極大提高了檢測效率，擴大了檢測范圍。

據統計，對于網絡入侵，企業的平均響應時間長達99天，對于政府、金融等被黑客重點照顧的行業來說，欺騙技術還可以極大縮短事故修復時間，將信息泄露降到最低。

網絡欺騙平臺目前被政府、執法機構和世界500強企業使用，證明了欺騙在IT安全方面的技術和專業知識的有效。