蜜罐是一种诱饵系统,用于检测和警告攻击者的恶意活动。智能蜜罐解决方案可以将黑客从您的真实数据中心转移出去,还可以让您更详细地了解他们的行为,而不会对数据中心或云性能造成任何干扰。
蜜罐的部署方式和诱饵的复杂程度各不相同。对不同类型的蜜罐进行分类的一种方法是通过它们的参与程度或交互程度。企业可以选择低交互蜜罐,中型交互蜜罐或高交互蜜罐。让我们看看关键差异,以及每个的利弊。
选择低交互蜜罐
低交互蜜罐只会让攻击者非常有限地访问操作系统。“低交互”意味着,对手无法在任何深度上与您的诱饵系统进行交互,因为它是一个更加静态的环境。低交互蜜罐通常会模仿少量的互联网协议和网络服务,足以欺骗攻击者,而不是更多。通常,大多数企业都会模拟TCP和IP等协议,这使得攻击者可以认为他们正在连接到真实系统而不是蜜罐环境。
低交互蜜罐易于部署,不允许访问真正的root shell,也不使用大量资源进行维护。但是,低交互蜜罐可能不够有效,因为它只是机器的基本模拟。它可能不会欺骗攻击者参与攻击,而且它肯定不足以捕获复杂的威胁,如零日攻击。
高互动蜜罐是一种更有效的选择吗?
高交互蜜罐是欺骗技术中规模的另一端。攻击者不是简单地模拟某些协议或服务,而是提供真实的攻击系统,使得他们猜测他们被转移或观察的可能性大大降低。由于系统仅作为诱饵出现,因此发现的任何流量都是恶意存在的,因此可以轻松发现威胁并跟踪和跟踪攻击者的行为。通过使用高交互蜜罐,研究人员可以了解攻击者用于升级权限的工具,或者他们为尝试发现敏感数据而进行的横向移动。
利用当今最先进的动态欺骗方法,高交互蜜罐可以适应每个事件,使攻击者更不可能意识到他们正在使用诱饵。如果您的供应商团队或内部团队有一个幕后工作的研究部门,以发现新的和新兴的网络威胁,这可以是一个很好的工具,让他们学习有关最新战术和趋势的相关信息。
当然,高交互蜜罐的大缺点是在开始时构建诱饵系统所需的时间和精力,然后长期保持对其的监控,以降低贵公司的风险。对于许多人来说,中等交互蜜罐策略是最佳平衡,与创建完整的物理或虚拟化系统以转移攻击者相比,提供的风险更小,但具有更多功能。这些仍然不适用于零日攻击等复杂威胁,但可能针对寻找特定漏洞的攻击者。例如,中型交互蜜罐可能会模拟Microsoft IIS Web服务器,并具有足够复杂的功能来吸引研究人员需要更多信息的特定攻击。
使用高交互蜜罐时降低风险
使用高交互蜜罐是使用欺骗技术欺骗攻击者并从企图破坏中获取最多信息的最佳方式。复杂的蜜罐可以模拟多个主机或网络拓扑,包括HTTP和FTP服务器以及虚拟IP地址。该技术可以通过使用独特的被动指纹标记它们来识别返回的黑客。您还可以使用您的蜜罐解决方案来区分内部和外部欺骗,使您免受东西方以及南北移动的网络威胁。
当您选择使用蜜罐技术作为深入解决方案的一个分支的安全解决方案时,降低使用高交互蜜罐的风险是最容易的。微分段技术是一种从蜜罐诱饵中分割您的实时环境的强大方法,可确保攻击者无法横向移动敏感数据。利用您从孤立的攻击者那里收集的信息,您可以强制执行并加强策略创建,从而使您的整体安全性降低一倍。
了解低、中、高交互蜜罐解决方案之间的差异可以帮助您为您的公司做出明智的选择。虽然低交互蜜罐可能易于部署且风险较低,但真正的好处来自使用强大的,多方面的方法来破坏检测和使用最新的高交互蜜罐技术的事件响应。为了最终的安全性,利用微分段的解决方案确保了蜜罐的隔离环境。这让您放心,在获得蜜罐解决方案的回报时,您不会让自己面临不必要的风险。
相关阅读: