首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁 >> 移動(dòng)互聯(lián)網(wǎng)舊 >> 正文

網(wǎng)絡(luò)安全里的蜜罐、蜜餌、蜜標(biāo)、蜜網(wǎng)、蜜場……都是啥?

2021年8月5日 10:34  CCTIME飛象網(wǎng)  

身為安全從業(yè)者,不管是搞滲透還是做演練防守方,我們或多或少都接觸過蜜罐。不過,和蜜罐一起出現(xiàn)的總是有一堆詞,蜜餌、蜜標(biāo)、蜜網(wǎng)、蜜場……這些詞都是啥意思?今天就用一篇文章,把這幾個(gè)概念全都解釋清楚。

(一)什么是蜜罐?

蜜罐這個(gè)詞,最早是被獵人使用的,對(duì),就是進(jìn)山打獵的人。獵人把罐子裝上蜂蜜,然后放個(gè)陷阱,專門用來捕捉喜歡甜食的熊。后來在網(wǎng)絡(luò)安全領(lǐng)域里,人們就把欺騙攻擊者的誘餌稱為“蜜罐”。

蜜罐需要基于一個(gè)節(jié)點(diǎn)進(jìn)行布置,它看起來可能是一個(gè)樹莓派、一個(gè)攝像頭,或者一個(gè)打印機(jī),它可以部署在任意的網(wǎng)絡(luò)位置,通常用于收集到達(dá)特定網(wǎng)絡(luò)節(jié)點(diǎn)的攻擊情報(bào),并緩解相同網(wǎng)段的其他生產(chǎn)設(shè)備與資源受到的攻擊。

蜜罐的工作原理簡單易懂。一個(gè)成功的蜜罐往往會(huì)偽裝成很有誘惑力的系統(tǒng),攻擊者進(jìn)入以后,可能會(huì)獲取他們想要的重要數(shù)據(jù)。但是從攻擊者進(jìn)入的一瞬間開始,他們的所作所為都將被蜜罐完整記錄下來,成為防守方手中的重要信息。而且,蜜罐里的業(yè)務(wù)并不是真實(shí)的,攻擊者將在蜜罐中白忙活一場,什么都得不到。

(二)什么是蜜餌?

蜜餌一般是一個(gè)文件,工作原理和蜜罐類似,也是誘使攻擊者打開或下載。當(dāng)黑客看到“XX下半年工作計(jì)劃.docx”、“XX環(huán)境運(yùn)維手冊(cè).pdf”、“員工薪酬名單-20210630.xslx”這種文件時(shí),往往難以忍住下載的欲望,這樣就落入了防守方的陷阱。當(dāng)防守方發(fā)現(xiàn)這里的文件有被打開過的痕跡或攻擊者跟隨蜜餌文件內(nèi)容進(jìn)行某種操作時(shí),就可以追溯來源,發(fā)現(xiàn)被攻陷的設(shè)備。

(三)什么是蜜標(biāo)?

我們可以把蜜餌進(jìn)一步改造,在 Word 文檔、PDF 文檔中植入一個(gè)隱蔽的鏈接,當(dāng)攻擊者打開這個(gè)文件時(shí),鏈接可以被自動(dòng)觸發(fā),防御者就可以借機(jī)獲取攻擊者的真實(shí)網(wǎng)絡(luò)地址、瀏覽器指紋等信息,從而直接溯源定位攻擊者真實(shí)身份。這種帶有URL地址的蜜餌就是蜜標(biāo)。

(四)什么是蜜網(wǎng)(Honeynet)?

我們?cè)谑褂妹酃薜臅r(shí)候,往往會(huì)在一個(gè)網(wǎng)絡(luò)里放很多罐,以增加攻擊者踩中蜜罐幾率。簡單的說:“蜜網(wǎng)就是一大片蜜罐,連成了網(wǎng)”,但是這張“網(wǎng)”需要和業(yè)務(wù)強(qiáng)相關(guān)。攻擊者在試圖攻破我們的系統(tǒng)時(shí),為了拿到自己想要的東西(業(yè)務(wù)數(shù)據(jù)、文件等),往往會(huì)重點(diǎn)攻擊和業(yè)務(wù)相關(guān)的節(jié)點(diǎn)。因此,我們可以參照真實(shí)的業(yè)務(wù)環(huán)境,在攻擊者的必經(jīng)之路上放罐,給攻擊者提供橫向移動(dòng)的空間和更豐富的入侵接口。這樣,當(dāng)攻擊者踩過一連串蜜罐的時(shí)候,我們就能輕松地看到攻擊者的手法和習(xí)性。

這種高度復(fù)雜的誘餌環(huán)境,就是蜜網(wǎng)。

不同的業(yè)務(wù)場景有不同的網(wǎng)絡(luò)拓?fù),不同的工作流程有不同的狀態(tài)更新和控制需求。因此,想要構(gòu)建一張有效的蜜網(wǎng),對(duì)安全人員來說也算不小的挑戰(zhàn)。

(五)什么是蜜場(Honeyfarm)?

蜜網(wǎng)雖好,使用起來仍然有一些麻煩,不僅需要大量的管理和維護(hù)工作,而且還要防止蜜罐被攻破、攻擊者從蜜罐里跑出來繼續(xù)做壞事。那我們應(yīng)該怎么不用很累很麻煩就可以玩轉(zhuǎn)蜜罐呢?

答案是把惡意訪問集中到一起,統(tǒng)一管理。于是,采用了重定向技術(shù)的蜜場就應(yīng)運(yùn)而生。

蜜場同樣是分布式蜜罐的一種形式。但在蜜場中,攻擊者踩中的是虛擬的蜜罐,經(jīng)過重定向以后,由真實(shí)的蜜罐進(jìn)行響應(yīng),再把響應(yīng)行為傳到虛擬蜜罐。

這樣做的好處顯而易見。首先,部署新蜜罐更容易,安裝一個(gè)重定向器即可;其次,維護(hù)分析工作更容易,對(duì)蜜罐的風(fēng)險(xiǎn)控制也能加強(qiáng),還能利用蜜罐生產(chǎn)出高精準(zhǔn)度的威脅情報(bào),供給防火墻、態(tài)勢(shì)感知等設(shè)備和系統(tǒng);最后,從整個(gè)蜜場中獲取的信息可以一定程度上反映當(dāng)前網(wǎng)絡(luò)的總體安全態(tài)勢(shì),可以輔助改善安全策略。

(六)我也想搞一套“蜜場+蜜標(biāo)”,我該怎么入手?

在這里就要推薦一下國產(chǎn)HFish免費(fèi)蜜罐(https://hFish.io),HFish是由一位國人開發(fā)者編寫的蜜罐框架,上手簡單,文檔友好。上線16個(gè)月,HFish即在Github上獲得2.6k個(gè)star,在國內(nèi)Gitee上成為安全類目TOP5的GVP項(xiàng)目。目前還在不斷推出新版本,而且授權(quán)所有企業(yè)和個(gè)人用戶永久免費(fèi)使用。

編 輯:T01
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬倚聞澐至酥蓄l段6G頻譜資源
精彩專題
專題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國5G商用四周年
2023年中國國際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像