安全设备篇——蜜罐

蜜罐是个稍微复杂一些的话题。

如今随着攻防演练的不断深化，蜜网的组建也成为一种企业主动防守必不可少的手段之一。蜜罐是目前来看较为有效的主动防御手段利用设备，利用蜜罐组建蜜网形成安全设备联动网络，提高防御能力、告警能力、监测能力，说白了就是上了一道红线，变相扩大了安全设备监测的范围。

蜜罐的定义

蜜罐是一种主动防御技术，通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击，从而可以对攻击行为进行捕获和分析。

原理

用最简单的语言讲述蜜罐是怎么工作的就是，故意暴露漏洞，给攻击者攻击。没有了。其实我们自己也可以搭建一个蜜罐，开个虚拟机或者容器，隔离开关键业务（可以是一个网段，但绝对不能联通在一起），然后往上面布置各种有漏洞的服务就行了，然后定期去看看日志，看看登录账号有没有被爆破、相应的服务日志或者中间件日志有没有可疑记录，这其实就是一个蜜罐模型了。

参考了一些网上的帖子，有一种说法倾向于根据交互性划分蜜罐种类，这里简单提一提低交互和高交互吧。

低交互

静态蜜罐，仅能模拟漏洞存在或者做出很低的交互，主要用来捕获攻击者输入的信息、payload等，能捕获到的信息较少，且极其容易被识别。

低交互之下其实还有个中交互，但本质上区别没有很大，个人理解为过渡，这里省略，感兴趣的师傅推荐别感兴趣。

 

高交互

高交互的蜜罐基本是企业布置用的了，公司化产品，更像up上述说到的自己搭建蜜罐的那么一个概念，将所有服务、环境布置好后提前进行网络初始化。高交互的蜜罐其实应该理解成一个网络结构了，分为前端蜜罐环境、界面、甚至操作系统的端口等，后端进行监控，后端约等于一个安全分析后台，彻底剖析的话可以画成一个拓扑来看。

蜜罐应用

蜜罐的概念很简单，但是应用到各方面十分复杂，最新的一些技术有wifi蜜罐、xxx业务蜜罐。蜜罐是可自定义程度极高的一类产品，也是构建蜜网的核心装备，就up目前的工作经历来看，绝大部分企业其实对蜜罐的重视程度还局限于网络安全设备集群的组成部分而已，其功能性和其他安全设备无二。

也确实，形成这种局面的主要原因是因为蜜罐的开发和应用是存在一些矛盾的，即使蜜罐高度可自定义服务及漏洞类型等，但定下后很难更改，且就监测来说，态势感知、waf等绝对是优先于蜜罐的，同时也不是所有安全设备支持联动，可以实现单平台多监控，说白了，我想看完所有告警我要一台台登录。Up大胆预言，未来的安全设备发展趋势一定是朝着集中式监控发展，多设备协同的意义一定是化复杂为简单，提升效率是首位的。

蜜罐的缺点

既然是从安服人员角度学习设备（毕竟up基本一直在做安服仔）那就需要了解设备的弊端。蜜罐虽然是模拟漏洞，但蜜罐本身不可能保证得了自己完全无漏洞可被利用，就比如去年hvv爆出的某安蜜罐逃逸，虽然不知道实锤了没，up没有关注后续（某安因为up没有证书没给面试，好气好气），说明蜜罐并不是绝对安全的产品，没有绝对的安全，只有相对的，这应该是安全圈的共识，不从成本和经济角度出发去考虑的话蜜罐是很优秀的安全产品了。

原文始发于微信公众号（一己之见安全团队）：安全设备篇——蜜罐