蜜罐的定義
蜜罐的一個定義來自間諜世界,瑪塔·哈里型間諜會使用浪漫關係作為竊取秘密的方式,該方式被稱為設下「甜蜜陷阱」或「蜜罐」。通常,敵對間諜會受到甜蜜陷阱影響,然後被迫交出自己知道的所有內容。
在電腦安全詞彙中,網路蜜罐的運作方法與此類似,會針對駭客設下誘餌陷阱。這是一種具有犧牲性質的電腦系統,為的是吸引網路攻擊,就向誘餌一樣。其可模仿駭客的目標,然後利用駭客入侵來嘗試取得網路罪犯的資訊並瞭解對方運作的方式,或分散他們攻擊其他目標的注意力。
蜜罐的運作方式
蜜罐看起來就像是真的電腦系統,具有應用程式和資料,會欺騙網路罪犯,讓其認為這是一個正確目標。例如,蜜罐可能會模仿公司的客戶支付系統,這是想找到信用卡號碼的犯罪分子經常攻擊的目標。只要駭客侵入系統,便會追蹤他們並評估其行為,以取得如何讓真正的網路更加安全的線索。
蜜罐會建立在刻意留下的安全漏洞上,被設計成十分吸引攻擊者的樣子。例如,蜜罐可能會有回應連接埠掃描的連接埠或極弱的密碼。脆弱的連接埠可能會大開門戶,誘使攻擊者侵入蜜罐環境,而非侵入更安全的運作中網路。
設立蜜罐之目的並非如防火牆或病毒防護一樣處理特定問題。相反地,蜜罐是資訊工具,有助您瞭解企業目前面臨的現有威脅,並發現新出現的威脅。利用從蜜罐取得的情報,便能明確安全工作的優先順序和重點任務。
不同類型的蜜罐及其運作方式
不同類型的蜜罐可用於識別不同類型威脅。各種蜜罐的定義皆依據蜜罐處理的威脅類型。在徹底且有效的網路安全策略中,所有蜜罐都佔有一席之地。
電子郵件陷阱或垃圾郵件陷阱會在僅有自動地址收集工具能找到的隱藏地點中,放置一個假電子郵件地址。由於除了垃圾郵件陷阱之外,該地址並未用於任何其他目的,因此可以完全確定寄來的所有信件都是垃圾信件。這樣可自動封鎖所有包含與傳送至垃圾信件陷阱之信件有相同內容的訊息,寄件者的來源 IP 也會被新增至拒絕名單中。
可設立誘餌資料庫來監控軟體漏洞,發現利用不安全系統架構或使用 SQL 注射、SQL 服務利用或特權濫用的攻擊。
惡意軟體蜜罐會模仿軟體應用程式和 API 來邀請惡意軟體攻擊。接著便可分析惡意軟體特徵,以開發惡意軟體防護軟體或關閉 API 中的漏洞。
蜘蛛蜜罐的目的是讓網路爬蟲(即「蜘蛛」)落入陷阱,方法是建立只有爬蟲可存取的網頁和連結。偵測爬蟲有助您瞭解如何封鎖惡意殭屍程式以及廣告網路爬蟲。
透過監控進入蜜罐系統的流量,您可以評估以下內容:
- 網路罪犯的來源處
- 威脅等級
- 他們使用哪些威脅手法
- 他們對哪些資料或應用程式有興趣
- 您的安全措施在阻止網路攻擊層面的效果如何
另一個蜜罐定義是以蜜罐為高互動性或低互動性為基礎。低互動性蜜罐會使用較少的資源,並收集有關威脅等級和類型的基本資訊以及威脅來源。此類蜜罐可容易且快速地設立,通常只要一些基礎模擬 TCP 和 IP 協議以及網路服務即可。然而,此類蜜罐中並無任何能與攻擊者長期互動的內容,因此您無法取得有關駭客習慣或複雜威脅的深入資訊。
另一方面,高互動性蜜罐的目的為盡可能讓駭客花費很多時間在蜜罐中,提供有關其意圖和目標的大量資訊,以及其正在利用的漏洞和威脅手法。這個可以被當作加了「膠水」的蜜罐,這些膠水包括能讓駭客更長期互動的資料庫、系統和程序。這讓研究人員能追蹤駭客在系統中查找敏感性資訊的位置、駭客使用什麼工具來升級權限,或者其利用什麼漏洞來破壞系統。
然而,高互動性蜜罐資源匱乏。設立和監控這類蜜罐更為困難且費時。此類蜜罐也可能造成風險:若未利用「蜜牆」保障安全,堅定且狡猾的駭客便可能利用高互動式蜜罐來攻擊其他網路主機或從受損的機器中傳送垃圾郵件。
兩種類型的蜜罐在蜜罐網路安全中都有一定地位。若將二者結合使用,您可以改善來自低互動性蜜罐的風險類型基本資訊,方法是新增來自高互動性蜜罐的意圖、通訊和漏洞利用等資訊。
透過使用網路蜜罐來建立威脅情報架構,企業可確保網路安全支出用於適當之處,也能知道安全漏洞在何處。
使用蜜罐的優點
蜜罐是暴露主要系統漏洞的好方法。例如,蜜罐會顯示對 IoT 裝置之攻擊帶來的高層級風險,其也會建議改善安全的方法。
與試圖發現真實系統中的入侵行為相比,使用蜜罐有多項優點。例如,根據定義,蜜罐不會有任何正當流量,因此記錄到的任何活動都可能是探測或入侵嘗試行為。
這樣便更容易發現不同模式,例如被用來進行網路掃描的相似 IP 位址(或全部來自同一個國家/地區的 IP 位址)。相對地,當您著重於核心網路上的高層級正當流量時,這種明顯的攻擊跡象便很容易消失在複雜環境中。使用蜜罐安全的一大優點是這些惡意位址可能是您看到的唯一位址,讓攻擊能更輕鬆地被識別。
由於蜜罐僅處理很有限的流量,因此僅需少量資源。其不會有大量硬體需求,也可以使用您不再使用的舊電腦來設立蜜罐。在軟體方面,線上儲存庫中已有許多寫好的蜜罐,可進一步減少組織內設立和執行蜜罐的工作量。
蜜罐的誤報機率十分低。這與傳統的入侵偵測系統 (IDS) 形成鮮明對比,傳統 IDS 可能會產生高度的錯誤警示情況。再次強調,蜜罐有助於確定工作優先次序,且僅有低度資源需求。(事實上,透過使用蜜罐收集的資料,並將其與其他系統和防火牆記錄相關聯,IDS 便可設定更相關的警示並產生更少的誤報情況。如此一來,蜜罐便有助於調整和改善其他網路安全系統。)
蜜罐能提供有關威脅演變方式的可信情報。其會提供有關攻擊媒介、漏洞利用和惡意軟體的資訊;而若是電子郵件陷阱,則會提供垃圾信件寄件者和網路釣魚攻擊的資訊。駭客會持續調整入侵技術,因此網路蜜罐有助於發現新興威脅和入侵。善用蜜罐也有助於排除盲點。
蜜罐也是技術安全員工的良好訓練工具。蜜罐是一個受控且安全的環境,會顯示攻擊者如何運作並檢查不同類型的威脅。若使用蜜罐,安全員工將不會受到使用網路的真實流量打擾,可以完全著重在威脅情況上。
蜜罐也能捕捉內部威脅。多數組織會花時間防護外圍,確保外來者和入侵者無法進入。但若您僅防護外圍,任何能成功越過防火牆的駭客便獲得絕對自主權,大肆進行破壞。
防火牆也無助於對抗內部威脅,例如想在離職前竊取檔案的員工。蜜罐讓您能在內部威脅方面獲得同樣有用的資訊,並顯示內部人員可以利用的系統權限等領域的漏洞。
最後,您設立蜜罐之作法是無私的行為,能為其他電腦使用者提供協助。駭客在蜜罐上浪費的時間精力越多,他們能駭入實際運作系統的時間和造成的實質傷害就越少,無論是對您或他人都是如此。
蜜罐的危險之處
儘管蜜罐網路安全技術有助於繪製威脅環境,但蜜罐無法看到所有正在發生的事,僅能看到針對蜜罐的活動。不能因為特定威脅並未針對蜜罐,您就假設其不存在,必須持續瞭解 IT 安全最新消息,不能僅依賴蜜罐通知您風險。
一個良好且正確設定的蜜罐會欺騙攻擊者,讓他們相信自己已存取真實系統。其會有與真實系統相同的登入警示訊息、相同資料欄位,甚至也有相同的外觀、感受和標誌。然而,若攻擊者發現其為蜜罐,就會接著繼續攻擊您的其他系統,同時也不會再碰蜜罐。
若蜜罐被「押上指紋」,攻擊者便能打造誘騙攻擊,分散您對他們針對生產系統發起的真實攻擊的注意力。他們也能提供不良資訊給蜜罐。
更糟糕的是,聰明的攻擊者可能會利用蜜罐作為進入您系統的方法。這正是為什麼永遠不應以蜜罐取代強有力的安全控制措施,例如防火牆和其他入侵偵測系統。由於蜜罐可能被作為日後入侵的發射台,請確保所有蜜罐都受到充足保護。「蜜牆」可提供基本的蜜罐安全,阻止針對蜜罐的攻擊進入實際運作系統。
蜜罐應能提供相關資訊,協助優先處理網路安全工作,但不應取代適當的網路安全措施。無論您有多少蜜罐,都可考慮使用 Kaspersky Endpoint Security Cloud 等套件來保護企業資產。(Kaspersky 會使用自己的蜜罐來偵測網路風險,因此無須您這麼做。)
整體而言,使用蜜罐的優點大於風險。駭客通常被認為是遙不可及的威脅,但若使用蜜罐,您便可即時且確切地看到他們正在執行的行為,並使用該等資訊來阻止他們。
Kaspersky Endpoint Security 榮獲 2021 年企業端點安全產品最佳效能、保護和可用性三項 AV-TEST 獎項。在所有測試中,Kaspersky Endpoint Security 都展示了為企業設計的出色性能、保護和可用性。
推薦產品
