部署蜜罐時需要考慮的10個因素

王英哲

將偽造的系統設置為誘餌，可以獲取有關潛在威脅的寶貴信息，蜜罐提供了檢測組織內部、外部的攻擊者，或未經授權窺探者的最佳方法。

數十年來，蜜罐一直沒有騰飛，雖然數量繼續增長，但它們似乎終于達到了臨界點，如果您正在考慮蜜罐部署，則必須考慮以下10個因素。

目的是什么

蜜罐通常有2個作用：預警或惡意行為分析。可以在其中建立一個或多個偽造系統，這些偽造系統只要會被稍加探測就能立即記錄下惡意信息。

預警蜜罐非常適合捕獲其他系統遺漏的黑客和惡意軟件。為什么？由于蜜罐系統是偽造的，因此任何單一的連接嘗試或探測（在過濾掉正常廣播和其他合法流量之后）都意味著惡意行為即將到來。

公司部署蜜罐的另一個主要原因是幫助分析惡意軟件（尤其是0Day）或確定黑客的意圖。

通常，預警蜜罐比惡意行為分析蜜罐更容易設置和維護。使用預警蜜罐，當檢測到探針或連接嘗試時，僅進行連接嘗試即可為您提供所需的信息，并且可以將探針追溯到其起源，以開始下一次防御。

可以捕獲和隔離惡意軟件或黑客工具的取證分析蜜罐，僅僅是全面分析鏈的開始。

蜜罐要做什么

蜜罐模擬通常是由認為可以最好、最早發現黑客或最好地保護重要資產驅動的。大多數蜜罐都模仿應用程序服務器、數據庫服務器、Web服務器和憑據數據庫（例如域控制器）。

可以部署一個蜜罐來模擬每個可能的廣告端口和服務，也可以部署多個蜜罐，每個蜜罐都專用于模仿特定的服務器類型。有時，蜜罐用于模擬網絡設備，例如Cisco路由器、無線集線器或安全設備。認為黑客或惡意軟件最有可能攻擊的就是蜜罐應該模仿的東西。

什么交互水平

蜜罐分為低交互、中交互和高交互。

低交互性蜜罐僅模擬端口掃描程序，可能檢測到最基本級別的偵聽UDP或TCP端口，但是他們不允許完全連接或登錄。低交互性蜜罐非常適合提供惡意行為的預警。

中交互蜜罐提供了更多的仿真功能，通常使連接或登錄嘗試看起來很成功，甚至可能包含可以用來欺騙攻擊者的基本文件結構和內容。

高交互性蜜罐通常會提供仿真服務器的完整或接近完整的副本。他們對于取證分析非常有用，因為他們可以誘騙黑客和惡意軟件以揭示更多誘騙手段。

應該將蜜罐放在哪里

大多數蜜罐應放置在他們試圖模仿的資產附近。如果有SQLServer蜜罐，請將其放置在實際SQLServer所在的相同數據中心或IP地址空間中。一些蜜罐發燒友喜歡將蜜罐放置在DMZ中，如果黑客或惡意軟件在該安全域中，他們可以收到預警。如果您有一家跨國公司，請將蜜罐放在世界各地，甚至有一些企業放置了模仿CEO或其他高級C級員工筆記本電腦的蜜罐，以檢測黑客是否企圖破壞這些系統。

真正的系統或仿真軟件

大多數蜜罐都是完全運行的系統，其中包含真實的操作系統———通常是準備退役的舊計算機。真正的系統對蜜罐非常有用，因為攻擊者無法輕易地判斷出他們是蜜罐。

開源還是商業

有數十種蜜罐軟件程序，但是在發布后的一年內，很少有人支持或積極更新它們，商業軟件和開源軟件都是如此。如果發現蜜罐產品的更新時間超過一年，那么您就找到了一顆寶石。

無論是新的還是舊的商業產品，通常都更易于安裝和使用，像Honeyd（最受歡迎的程序之一）這樣的開放源代碼產品通常很難安裝，但通常更具可配置性。例如，Honeyd可以仿真近100種不同的操作系統和設備，甚至可以仿真到Subversion級別（WindowsXPSP1與SP2），并且可以與數百個其他開源程序集成添加功能。

哪個蜜罐產品

如果選擇開放源代碼產品，Honeyd很好，但對于初級蜜罐用戶來說可能過于復雜。幾個與Honeypot相關的網站（例如Honeypots.net）匯總了數百個Honeypot文章，并鏈接到Honeypot軟件站點。

誰應該管理蜜罐

蜜罐不是一勞永逸的解決方案。相反，需要至少一個人來擁有蜜罐的所有權。該人員必須計劃、安裝、配置、更新和監視蜜罐。如果不至少任命一個蜜罐管理員，它將變得被忽略，毫無用處，并且在最壞的情況下，將成為黑客的跳板。

如何刷新數據

如果部署高交互性蜜罐，將需要一些數據和內容，以使其看起來更真實，從其他地方獲得一次性數據副本是不夠的，需要保持內容新鮮。

確定更新頻率和更新方式，方法之一是使用免費提供的復制程序或復制命令從另一臺類似類型的服務器復制非私有數據，并每天使用計劃任務或cron作業啟動復制。還可以在復制過程中重命名數據，使數據看起來比實際情況更為機密。

應該使用哪些監視和警報工具

除非啟用監視惡意活動的能力，并且在發生威脅事件時設置警報，否則蜜罐沒有任何價值，通常使用組織常規用于此目的的任何方法和工具。但請注意：在任何蜜罐計劃周期中，確定要監視和提醒的內容通常是最耗時的部分。