當前位置:首頁 >  IDC >  安全 >  正文

網(wǎng)絡(luò)安全里的蜜罐、蜜餌、蜜標、蜜網(wǎng)、蜜場……都是啥?

 2021-08-05 17:58  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

身為安全從業(yè)者,不管是搞滲透還是做演練防守方,我們或多或少都接觸過蜜罐。不過,和蜜罐一起出現(xiàn)的總是有一堆詞,蜜餌、蜜標、蜜網(wǎng)、蜜場……這些詞都是啥意思?今天就用一篇文章,把這幾個概念全都解釋清楚。

(一)什么是蜜罐?

蜜罐這個詞,最早是被獵人使用的,對,就是進山打獵的人。獵人把罐子裝上蜂蜜,然后放個陷阱,專門用來捕捉喜歡甜食的熊。后來在網(wǎng)絡(luò)安全領(lǐng)域里,人們就把欺騙攻擊者的誘餌稱為“蜜罐”。

蜜罐需要基于一個節(jié)點進行布置,它看起來可能是一個樹莓派、一個攝像頭,或者一個打印機,它可以部署在任意的網(wǎng)絡(luò)位置,通常用于收集到達特定網(wǎng)絡(luò)節(jié)點的攻擊情報,并緩解相同網(wǎng)段的其他生產(chǎn)設(shè)備與資源受到的攻擊。

蜜罐的工作原理簡單易懂。一個成功的蜜罐往往會偽裝成很有誘惑力的系統(tǒng),攻擊者進入以后,可能會獲取他們想要的重要數(shù)據(jù)。但是從攻擊者進入的一瞬間開始,他們的所作所為都將被蜜罐完整記錄下來,成為防守方手中的重要信息。而且,蜜罐里的業(yè)務并不是真實的,攻擊者將在蜜罐中白忙活一場,什么都得不到。

(二)什么是蜜餌?

蜜餌一般是一個文件,工作原理和蜜罐類似,也是誘使攻擊者打開或下載。當黑客看到“XX下半年工作計劃.docx”、“XX環(huán)境運維手冊.pdf”、“員工薪酬名單-20210630.xslx”這種文件時,往往難以忍住下載的欲望,這樣就落入了防守方的陷阱。當防守方發(fā)現(xiàn)這里的文件有被打開過的痕跡或攻擊者跟隨蜜餌文件內(nèi)容進行某種操作時,就可以追溯來源,發(fā)現(xiàn)被攻陷的設(shè)備。

(三)什么是蜜標?

我們可以把蜜餌進一步改造,在 Word 文檔、PDF 文檔中植入一個隱蔽的鏈接,當攻擊者打開這個文件時,鏈接可以被自動觸發(fā),防御者就可以借機獲取攻擊者的真實網(wǎng)絡(luò)地址、瀏覽器指紋等信息,從而直接溯源定位攻擊者真實身份。這種帶有URL地址的蜜餌就是蜜標。

(四)什么是蜜網(wǎng)(Honeynet)?

我們在使用蜜罐的時候,往往會在一個網(wǎng)絡(luò)里放很多罐,以增加攻擊者踩中蜜罐幾率。簡單的說:“蜜網(wǎng)就是一大片蜜罐,連成了網(wǎng)”,但是這張“網(wǎng)”需要和業(yè)務強相關(guān)。攻擊者在試圖攻破我們的系統(tǒng)時,為了拿到自己想要的東西(業(yè)務數(shù)據(jù)、文件等),往往會重點攻擊和業(yè)務相關(guān)的節(jié)點。因此,我們可以參照真實的業(yè)務環(huán)境,在攻擊者的必經(jīng)之路上放罐,給攻擊者提供橫向移動的空間和更豐富的入侵接口。這樣,當攻擊者踩過一連串蜜罐的時候,我們就能輕松地看到攻擊者的手法和習性。

這種高度復雜的誘餌環(huán)境,就是蜜網(wǎng)。

不同的業(yè)務場景有不同的網(wǎng)絡(luò)拓撲,不同的工作流程有不同的狀態(tài)更新和控制需求。因此,想要構(gòu)建一張有效的蜜網(wǎng),對安全人員來說也算不小的挑戰(zhàn)。

(五)什么是蜜場(Honeyfarm)?

蜜網(wǎng)雖好,使用起來仍然有一些麻煩,不僅需要大量的管理和維護工作,而且還要防止蜜罐被攻破、攻擊者從蜜罐里跑出來繼續(xù)做壞事。那我們應該怎么不用很累很麻煩就可以玩轉(zhuǎn)蜜罐呢?

答案是把惡意訪問集中到一起,統(tǒng)一管理。于是,采用了重定向技術(shù)的蜜場就應運而生。

蜜場同樣是分布式蜜罐的一種形式。但在蜜場中,攻擊者踩中的是虛擬的蜜罐,經(jīng)過重定向以后,由真實的蜜罐進行響應,再把響應行為傳到虛擬蜜罐。

這樣做的好處顯而易見。首先,部署新蜜罐更容易,安裝一個重定向器即可;其次,維護分析工作更容易,對蜜罐的風險控制也能加強,還能利用蜜罐生產(chǎn)出高精準度的威脅情報,供給防火墻、態(tài)勢感知等設(shè)備和系統(tǒng);最后,從整個蜜場中獲取的信息可以一定程度上反映當前網(wǎng)絡(luò)的總體安全態(tài)勢,可以輔助改善安全策略。

(六)我也想搞一套“蜜場+蜜標”,我該怎么入手?

在這里就要推薦一下國產(chǎn)HFish免費蜜罐(https://hFish.io),HFish是由一位國人開發(fā)者編寫的蜜罐框架,上手簡單,文檔友好。上線16個月,HFish即在Github上獲得2.6k個star,在國內(nèi)Gitee上成為安全類目TOP5的GVP項目。目前還在不斷推出新版本,而且授權(quán)所有企業(yè)和個人用戶永久免費使用。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標簽
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時,移動木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達克股票代碼

  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學協(xié)同育人優(yōu)秀案例”二等獎

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學協(xié)同育人優(yōu)秀案例”評選活動正式公布獲獎名單,華順信安與湘潭大學計算機學院·網(wǎng)絡(luò)空間安全學院聯(lián)合申報的參選案例獲評優(yōu)秀案例二等獎。本次活動由教育部高等學校網(wǎng)絡(luò)空間安全專業(yè)教學指導委員會產(chǎn)學合作育人工作組主辦,四川大學與華中科技大學共同承辦。本次評選,華順信安與湘潭大學

  • Check Point:攻擊者通過合法email服務竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時,在2023年一份針對我國電子郵件安全的第三方報告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險的是,今年又出現(xiàn)了許多新的勒索軟件即服務(RaaS)團伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運營商REvil的回歸

  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國網(wǎng)安產(chǎn)業(yè)成長之星

    6月21日,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機構(gòu)“數(shù)說安全”提供研究支持的“2023年中國網(wǎng)安產(chǎn)業(yè)競爭力50強、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強勁的核心競爭力再次榮登“2023年中國網(wǎng)安產(chǎn)業(yè)成長之星”榜單。據(jù)悉,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

熱門排行

信息推薦