分门别类说密罐
蜜罐的概念與價值
蜜罐,是HoneyPot的中文譯名。這是一種頗具神秘感的安全技術,既使對閱歷豐富的安全專家來說。因為盡管很多年前蜜罐技術就已經出現,但是至今對其在安全領域的意義、價值、地位都未有一個公認的結論。蜜罐同時也是一種極具吸引力的技術,雖然我已經對這一技術有了多年的接觸,但是蜜罐帶給我的激動人心的感覺相比剛剛涉獵這一領域之時并未有絲毫的衰減。盡管在蜜罐的定義上還存在一定的分歧,但是為了方便討論,我們還是統合各種意見,對蜜罐下一個相對通用的定義:蜜罐是一種供***者***從而產生價值的安全設施。與用戶通常使用的安全防御設施不同,蜜罐只有在受到***的情況下才能展現出價值,而不是在避開或擋下那些***的時候。一直以來,***者通過什么方法、使用什么工具展開***以及他們***的出發點都很少為人所知。但是蜜罐系統的出現使安全領域的專家及用戶不但可以了解到這些信息,甚至能夠從中發現規律和趨勢,從而提供具有統計學意義的結論。蜜罐技術帶給我們最大的變革在于防御的一方第一次具有了掌控局勢的能力。使用者可以利用蜜罐系統開展主動的研究活動,也可以通過蜜罐系統對***者進行控制和引導。安全防御一方有了主動還擊的手段,套用一句名言來說,盡管目前還只是很小的一步,但是對于整個安全領域來說,這是非常重要的一步。 引言
做為已經出現了很久的一項技術,蜜罐已經獲得了相當廣泛的應用。不同形式的蜜罐可以發揮不同的作用,為了更好的認識哪種蜜罐系統更適合自己的需要,在這里有必要對不同種類的蜜罐進行一些說明。 欺騙型蜜罐
欺騙性可以說本身就是蜜罐系統最核心的本質之一,一個蜜罐系統產生作用的前提就是使***者認為這是一個正常的系統。純粹的以欺騙性目的存在的蜜罐系統,則是通過偽裝成***目標,從而轉移***者的注意力,同時通過報警等各種附加機制對***的發生進行響應。例如可以搭建一個偽裝成文件服務器的蜜罐系統,在其中存放一些虛假的產品開發成果、機密性資料等等,從而達到吸引和蒙蔽***者的作用。欺騙型蜜罐往往要使***者可以較為容易的了解到蜜罐系統上的資源,同時又不能留下特別高危的入口使惡意行為生效。通常這種欺騙型蜜罐系統都是應用于商業環境,特別是那些擁有高度敏感信息的企業和組織。瞄準這類設施的***者往往是具有高端技術的***者,他們開發自己的漏洞,編寫自己的工具。基于此類***者,常規的防御措施在不少時候根本無法發現他們的行蹤。欺騙型蜜罐可以增強防御方的力量,使用戶有更多的手段應對這些高階的***。之所以提到不能在欺騙型蜜罐系統中保留高危漏洞,一方面是因為一個具有很明顯漏洞的系統非常容易引起***者的警覺(一個存儲了重要資料的計算機按照常理來說是不應該有特別明顯的漏洞),另一方面是因為互聯網環境的一個重要事實,那就是大部分的***流量來自那些初階***者們發動的“自動化***”。這些***賴以成功的基礎是互聯網上海量的計算機目標,通過自動化的工具不停的嘗試每臺機器可以使這些***者發現大量的具有特定安全漏洞的系統。這些***者的***方式與針對特定目標展開手術刀般精巧***的***者完全不同,是不折不扣的機會主義者。所以欺騙型蜜罐通常用于防御和處理高級***,對以上被戲稱為腳本小子(Script Kiddie)的***群體來說欺騙型蜜罐并不非常高效。 威懾型蜜罐
這種蜜罐系統與欺騙型蜜罐的模式相當類似,只不過欺騙型蜜罐是以誘騙為主,而威懾型蜜罐則主要是對***者產生心理上的威嚇及迷惑作用。威懾型蜜罐的主要職責就是告訴***者自己是個蜜罐系統,這樣可以形成一定的阻嚇作用,減弱***者的***意圖。當然,不排除在一些情況下引起適得其反的效果,***者可能會因為發現了蜜罐系統而被激怒或引起更高的興趣。不過既使如此,威懾型蜜罐還是有助于防御一方將主動權控制在自己手中。威懾型蜜罐的另外一個方面的作用就是對***者產生心理迷惑,***者將開始懷疑所有系統的真實性,并因為發現蜜罐系統這一事實開始改變***的方法和節奏。一旦***者在***過程中采取一些錯誤的、不必要的、違反習慣的手段,就會降低效率并提高防御成功的可能性。與欺騙型蜜罐相同,威懾型蜜罐通常無法應對“自動化***”,因為***工具并不具有人性的弱點。而且威懾型蜜罐能夠作用的***群體要更小一些,非常高階的***者往往較少受到威懾型蜜罐的影響。在實際的應用當中,將威懾型蜜罐和欺騙型蜜罐結合起來應用是相當容易和有效的。 檢測型蜜罐
就像防火墻和***檢測系統等防御手段一樣,也可以搭建側重于檢測和發現***行為的蜜罐系統。通過提高蜜罐系統的檢測能力,用戶不只可以通過蜜罐系統的活動情況判斷***行為的發生,還可以更加廣泛和細致的監測***活動。在檢測技術領域,兩個最重要的困擾就是誤報和漏報問題。過多的報警可能會使安全檢測機制無法產出可用的信息,而過少的報警又無法保證安全設施提供足夠的保護。以***檢測系統為例,如何識別更多的***一直是制約***檢測技術取得更大成就的阻礙,而如何調整規則才能有效的去除無用的告警也一直是在應用***檢測系統過程中令人困擾的問題。對于蜜罐系統來說,問題則簡單得多。引起蜜罐系統告警的行為不是***就是誤用,不然則是某些配置錯誤引起的,所以蜜罐系統基本上不會產生誤報。而密罐同樣可以解決漏報問題,因為蜜罐系統并不通過***行為特征而是通過流量產生來判斷***的發生。一個專門用于檢測***的蜜罐系統通常被部署在類似防火墻的DMZ區域這樣較多為外網訪問的區域,因為這些區域往往是首先被***者探測的區域。建立起模擬用戶系統情況的檢測型蜜罐,有助于發現整個網絡中易受***的部分,可以為修補系統缺陷和限制***行為提供時間緩沖。值得一提的是,檢測型密罐不僅僅可以用于檢測來自外網的***,如果接受到內部網絡的連接,有可能發現已經被攻破的系統。 研究型蜜罐
以上談到的蜜罐系統的幾種應用更多的集中于產生安全防御實效,而一個與安全實效同樣重要甚至說更具價值的應用就是對***行為的研究。在安全領域當中,防守方最大的弱勢之一就是對***者的情報不足。***者可以很容易的獲取各種系統的問題以及有針對性的方法和工具,而防守方所獲得的資訊總是顯得滯后和不充分。以研究為目的的蜜罐系統可以提供一個非常強大的用于了解***者和安全威脅的機制。現在很多安全組織和廠商都在利用研究型蜜罐對互聯網上的安全問題進行研究,例如通過模擬某些安全缺陷來分析蠕蟲病毒的感染行為、收集***者所使用的工具、了解流行的***手法等等。而且非常重要的是,研究型蜜罐可以讓使用者獲悉很多未知的安全隱患和***方法,這可以做為一種預警機制來提前發現將要造成破壞的***行為。研究型蜜罐除了用于研究和學習目的之外,同樣可以為阻止***行為做出貢獻,只不過這種作用要間接一些。 總結
事實上,盡管蜜罐系統可以提供給我們很多有用的信息,但是在阻止***方面都無法與防火墻等安全設備相比。所以在實際的安全應用過程中不能僅僅依賴蜜罐系統,蜜罐并不能替代其它安全系統,而是整個安全體系的一個增強和補充,一個完善的安全基礎設施是充分發揮蜜罐系統威力的前提和基礎。
蜜罐,是HoneyPot的中文譯名。這是一種頗具神秘感的安全技術,既使對閱歷豐富的安全專家來說。因為盡管很多年前蜜罐技術就已經出現,但是至今對其在安全領域的意義、價值、地位都未有一個公認的結論。蜜罐同時也是一種極具吸引力的技術,雖然我已經對這一技術有了多年的接觸,但是蜜罐帶給我的激動人心的感覺相比剛剛涉獵這一領域之時并未有絲毫的衰減。盡管在蜜罐的定義上還存在一定的分歧,但是為了方便討論,我們還是統合各種意見,對蜜罐下一個相對通用的定義:蜜罐是一種供***者***從而產生價值的安全設施。與用戶通常使用的安全防御設施不同,蜜罐只有在受到***的情況下才能展現出價值,而不是在避開或擋下那些***的時候。一直以來,***者通過什么方法、使用什么工具展開***以及他們***的出發點都很少為人所知。但是蜜罐系統的出現使安全領域的專家及用戶不但可以了解到這些信息,甚至能夠從中發現規律和趨勢,從而提供具有統計學意義的結論。蜜罐技術帶給我們最大的變革在于防御的一方第一次具有了掌控局勢的能力。使用者可以利用蜜罐系統開展主動的研究活動,也可以通過蜜罐系統對***者進行控制和引導。安全防御一方有了主動還擊的手段,套用一句名言來說,盡管目前還只是很小的一步,但是對于整個安全領域來說,這是非常重要的一步。 引言
做為已經出現了很久的一項技術,蜜罐已經獲得了相當廣泛的應用。不同形式的蜜罐可以發揮不同的作用,為了更好的認識哪種蜜罐系統更適合自己的需要,在這里有必要對不同種類的蜜罐進行一些說明。 欺騙型蜜罐
欺騙性可以說本身就是蜜罐系統最核心的本質之一,一個蜜罐系統產生作用的前提就是使***者認為這是一個正常的系統。純粹的以欺騙性目的存在的蜜罐系統,則是通過偽裝成***目標,從而轉移***者的注意力,同時通過報警等各種附加機制對***的發生進行響應。例如可以搭建一個偽裝成文件服務器的蜜罐系統,在其中存放一些虛假的產品開發成果、機密性資料等等,從而達到吸引和蒙蔽***者的作用。欺騙型蜜罐往往要使***者可以較為容易的了解到蜜罐系統上的資源,同時又不能留下特別高危的入口使惡意行為生效。通常這種欺騙型蜜罐系統都是應用于商業環境,特別是那些擁有高度敏感信息的企業和組織。瞄準這類設施的***者往往是具有高端技術的***者,他們開發自己的漏洞,編寫自己的工具。基于此類***者,常規的防御措施在不少時候根本無法發現他們的行蹤。欺騙型蜜罐可以增強防御方的力量,使用戶有更多的手段應對這些高階的***。之所以提到不能在欺騙型蜜罐系統中保留高危漏洞,一方面是因為一個具有很明顯漏洞的系統非常容易引起***者的警覺(一個存儲了重要資料的計算機按照常理來說是不應該有特別明顯的漏洞),另一方面是因為互聯網環境的一個重要事實,那就是大部分的***流量來自那些初階***者們發動的“自動化***”。這些***賴以成功的基礎是互聯網上海量的計算機目標,通過自動化的工具不停的嘗試每臺機器可以使這些***者發現大量的具有特定安全漏洞的系統。這些***者的***方式與針對特定目標展開手術刀般精巧***的***者完全不同,是不折不扣的機會主義者。所以欺騙型蜜罐通常用于防御和處理高級***,對以上被戲稱為腳本小子(Script Kiddie)的***群體來說欺騙型蜜罐并不非常高效。 威懾型蜜罐
這種蜜罐系統與欺騙型蜜罐的模式相當類似,只不過欺騙型蜜罐是以誘騙為主,而威懾型蜜罐則主要是對***者產生心理上的威嚇及迷惑作用。威懾型蜜罐的主要職責就是告訴***者自己是個蜜罐系統,這樣可以形成一定的阻嚇作用,減弱***者的***意圖。當然,不排除在一些情況下引起適得其反的效果,***者可能會因為發現了蜜罐系統而被激怒或引起更高的興趣。不過既使如此,威懾型蜜罐還是有助于防御一方將主動權控制在自己手中。威懾型蜜罐的另外一個方面的作用就是對***者產生心理迷惑,***者將開始懷疑所有系統的真實性,并因為發現蜜罐系統這一事實開始改變***的方法和節奏。一旦***者在***過程中采取一些錯誤的、不必要的、違反習慣的手段,就會降低效率并提高防御成功的可能性。與欺騙型蜜罐相同,威懾型蜜罐通常無法應對“自動化***”,因為***工具并不具有人性的弱點。而且威懾型蜜罐能夠作用的***群體要更小一些,非常高階的***者往往較少受到威懾型蜜罐的影響。在實際的應用當中,將威懾型蜜罐和欺騙型蜜罐結合起來應用是相當容易和有效的。 檢測型蜜罐
就像防火墻和***檢測系統等防御手段一樣,也可以搭建側重于檢測和發現***行為的蜜罐系統。通過提高蜜罐系統的檢測能力,用戶不只可以通過蜜罐系統的活動情況判斷***行為的發生,還可以更加廣泛和細致的監測***活動。在檢測技術領域,兩個最重要的困擾就是誤報和漏報問題。過多的報警可能會使安全檢測機制無法產出可用的信息,而過少的報警又無法保證安全設施提供足夠的保護。以***檢測系統為例,如何識別更多的***一直是制約***檢測技術取得更大成就的阻礙,而如何調整規則才能有效的去除無用的告警也一直是在應用***檢測系統過程中令人困擾的問題。對于蜜罐系統來說,問題則簡單得多。引起蜜罐系統告警的行為不是***就是誤用,不然則是某些配置錯誤引起的,所以蜜罐系統基本上不會產生誤報。而密罐同樣可以解決漏報問題,因為蜜罐系統并不通過***行為特征而是通過流量產生來判斷***的發生。一個專門用于檢測***的蜜罐系統通常被部署在類似防火墻的DMZ區域這樣較多為外網訪問的區域,因為這些區域往往是首先被***者探測的區域。建立起模擬用戶系統情況的檢測型蜜罐,有助于發現整個網絡中易受***的部分,可以為修補系統缺陷和限制***行為提供時間緩沖。值得一提的是,檢測型密罐不僅僅可以用于檢測來自外網的***,如果接受到內部網絡的連接,有可能發現已經被攻破的系統。 研究型蜜罐
以上談到的蜜罐系統的幾種應用更多的集中于產生安全防御實效,而一個與安全實效同樣重要甚至說更具價值的應用就是對***行為的研究。在安全領域當中,防守方最大的弱勢之一就是對***者的情報不足。***者可以很容易的獲取各種系統的問題以及有針對性的方法和工具,而防守方所獲得的資訊總是顯得滯后和不充分。以研究為目的的蜜罐系統可以提供一個非常強大的用于了解***者和安全威脅的機制。現在很多安全組織和廠商都在利用研究型蜜罐對互聯網上的安全問題進行研究,例如通過模擬某些安全缺陷來分析蠕蟲病毒的感染行為、收集***者所使用的工具、了解流行的***手法等等。而且非常重要的是,研究型蜜罐可以讓使用者獲悉很多未知的安全隱患和***方法,這可以做為一種預警機制來提前發現將要造成破壞的***行為。研究型蜜罐除了用于研究和學習目的之外,同樣可以為阻止***行為做出貢獻,只不過這種作用要間接一些。 總結
事實上,盡管蜜罐系統可以提供給我們很多有用的信息,但是在阻止***方面都無法與防火墻等安全設備相比。所以在實際的安全應用過程中不能僅僅依賴蜜罐系統,蜜罐并不能替代其它安全系統,而是整個安全體系的一個增強和補充,一個完善的安全基礎設施是充分發揮蜜罐系統威力的前提和基礎。
總結
- 上一篇: 微星 RTX 4070 Ti 白龙显卡上
- 下一篇: 《绝地求生》介绍“变异者模式-生存 2.