《网络安全知识体系》
安全运营和事件管理(二十四)
蜜罐和蜜网
6.2 蜜罐和蜜网
蜜罐是一种相对古老的技术,正如Stoll的书[79]中所例证的那样。它们被HoneynetProject和Spitzner的书[77]所普及。社区通常将蜜罐定义为信息系统资源,其价值在于未经授权或非法使用该资源。更具体地说,蜜罐是一台机器(蜜网是一组机器),它作为诱饵提供给攻击者。因此,蜜罐使用信息系统或网络中的“免费”资源为外部世界提供逼真的服务。在正常使用中,合法用户不应访问这些计算机,因此任何交互都被视为与恶意使用有关。通过监控攻击者对蜜罐的使用情况,研究人员希望获得有关攻击过程和新的恶意代码的相关信息,并利用此信息用于攻击检测和缓解。
最初,蜜罐是非常简单的工具,在连接到具有给定IP地址的给定端口时发出警报。但是,随着攻击者和恶意软件的发展,他们能够检测到与他们所在的平台应提供的服务不同的交互。连接。因此,蜜罐和蜜网技术在大规模、复杂的基础设施中以相当复杂的方式发展起来。它们已经产生了攻击者分析,从观察到统计分析,再到现在被确定为妥协指标(IoC)的东西,有组织的证据证明攻击者正试图破坏信息。系统或网络。
蜜罐背后的主要假设是,攻击者会积极寻找受害者,而普通用户只会使用通过配置,路由和正式宣传的资源。命名。在互联网扫描蠕虫(如Slammer)的主要时期,这可能是正确的。但是,攻击者还有其他方法可以静默地收集有关其目标的信息,例如,通过搜索引擎。因此,扫描是由合法的或至少是已知的参与者完成的,但它没有提供有关攻击者的信息。此外,互联网上还存在大量的背景噪音活动。因此,蜜罐s的主要前提是,由于所有活动都是恶意的,因此没有误报。
蜜罐收集的信息完全由攻击者提供,他们也在开发技术来了解它们是否在受控环境中运行。环境与否。如果它们检测到受控环境(如虚拟机),它们将停止交互。虽然云计算已经普及了虚拟化的使用,但还有其他迹象表明控制和监控。今天蜜罐的最佳使用可能是在敏感数据中,以虚假电子邮件地址和数据库中的虚假行或列的形式出现。
原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(二十四):知识-智能和分析之蜜罐和蜜网
评论