简介
基于欺骗伪装技术通过在攻击者入侵的关键路径上部署诱饵陷阱诱导攻击者进入与真实网络隔离的蜜网。主动识别攻击痕迹完整记录攻击者行为可以进行追踪溯源
蜜罐分为几下几类:
1.低交互式:低交互式模拟常规的服务,服务存在漏洞,但是模拟的这些漏洞无法被利用,开发和维护这种类型的蜜罐比较容易。
2.高交互式:高交互式使用的是真实的服务,有助于发现服务存在的新漏洞,同时能够记录所有的攻击,但是,部署困难、维护成本高,一旦服务上存在的漏洞被利用,容易引发新的安全问题。
3.粘性蜜罐(Tarpits):这种类型的蜜罐,使用新的IP来生成新的虚拟机,模拟存在服务的漏洞,来做诱饵。因此攻击者会花费长时间来攻击,就有足够的时间来处理攻击,同时锁定攻击者。
还有其他类型的蜜罐,比如专门捕获恶意软件的,数据库漏洞利用程序和垃圾邮件等等。当部署两个或者两个以上蜜罐时可以称之为蜜网。
核心功能
威胁感知:主动发现可疑威胁
业务仿真:仿真数据库、web、邮件、基础服务不同类型的真实环境
多重诱捕:自动化部署沙盒伪装代理、漏洞、诱饵形成动态蜜网实现对攻击者进行全链路欺骗,全方位捕获攻击源、路径、手法
取证溯源:获取设备指纹社交信息攻击位置等数据勾勒攻击者画像,提供完整攻击信息为溯源、抓捕攻击者提供有效依据
联动防护:通过API接口与IPS、防火墙等安全设备联动阻断、缩短攻击者攻击时间建立起一套有效保护业务系统安全性的纵深防御系统(
纵深防御概念:
纵深防御指设置多层重叠的安全防护体系而构成多重防线,使得某一防线失效也能被其他防线弥补或纠正。即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错发生。
网络安全领域的纵深防御的工作原理就是每层提供不同类型的保护,以便为提供阻止攻击的最佳手段。这些层也可以防止不同的问题,全方位覆盖不同的问题。
参考的网络安全纵深防御体系
在OSI模型中如何实现纵深防御?
通过监视进入蜜罐系统的流量,您可以评估:
网络犯罪分子来自何处
威胁级别
他们的作案手法
他们感兴趣的数据或应用程序
您的安全措施在阻止网络攻击方面的效果如何
另一个蜜罐定义着眼于蜜罐是高交互还是低交互。低交互式蜜罐使用的资源较少,收集有关威胁的级别和类型以及威胁来源的基本信息。它们的设置简单快捷,通常只需模拟一些基本的TCP和IP协议以及网络服务。但是蜜罐中没有任何内容可以让攻击者长时间交互,您不会获得有关他们的习惯或复杂威胁的深入信息。
另一方面,高交互性蜜罐旨在使黑客在蜜罐内花费尽可能多的时间,从而提供有关他们的意图和目标以及他们正在利用的漏洞和所用作案手法的大量信息。可以将其视为添加了“胶水”的蜜罐 - 可以让攻击者花费更长时间交互的数据库、系统和进程。这使得研究人员能够跟踪攻击者在系统中的哪些位置查找敏感信息,他们使用哪些工具来提权,或者利用哪些漏洞来破坏系统。然而,高交互蜜罐需要大量资源。设置和监视它们更加困难且耗时。它们也会产生风险;如果未使用“蜜墙”进行保护,那么一个坚决而狡猾的黑客可以使用高交互蜜罐攻击其他互联网主机,或者从受感染的计算机发送垃圾邮件。