什么是蜜罐?蜜罐是一种安全机制,可以创建一个虚拟陷阱来引诱攻击者。故意破坏的计算机系统允许攻击者利用漏洞,以便您可以研究它们以改进您的安全策略。您可以将蜜罐应用于从软件和网络到文件服务器和路由器的任何计算资源。蜜罐是一种欺骗技术,可让您了解攻击者的行为模式。安全团队可以使用蜜罐来调查网络安全漏洞,以收集有关网络犯罪分子如何运作的情报。与传统的网络安全措施相比,它们还降低了误报的风险,因为它们不太可能吸引合法活动。蜜罐因设计和部署模型而异,但它们都是诱饵,旨在看起来像合法的、易受攻击的系统以吸引网络犯罪分子。
生产蜜罐与研究蜜罐
蜜罐设计有两种主要类型:
- 生产蜜罐——在完全运行的网络和服务器中充当诱饵系统,通常作为入侵检测系统 (IDS) 的一部分。他们在分析恶意活动以帮助缓解漏洞的同时,转移了对真实系统的犯罪注意力。
- 研究蜜罐——用于教育目的和安全增强。它们包含可追踪的数据,您可以在被盗时追踪这些数据以分析攻击。
蜜罐部署的类型
存在三种类型的蜜罐部署,允许威胁参与者执行不同级别的恶意活动:
- 纯蜜罐——完整的生产系统,通过在将蜜罐连接到网络的链路上的漏洞窃听来监控攻击。他们是不老练的。
- 低交互蜜罐——模仿经常吸引犯罪注意力的服务和系统。它们提供了一种从盲目攻击(例如僵尸网络和蠕虫恶意软件)中收集数据的方法。
- 高交互蜜罐——复杂的设置,表现得像真正的生产基础设施。它们不限制网络犯罪分子的活动水平,提供广泛的网络安全见解。然而,它们需要更高的维护,需要专业知识和使用虚拟机等附加技术来确保攻击者无法访问真实系统。
蜜罐限制
蜜罐安全有其局限性,因为蜜罐无法检测合法系统中的安全漏洞,并且并不总是识别攻击者。还有一个风险是,成功利用蜜罐后,攻击者可以横向移动以渗透到真正的生产网络。为了防止这种情况,您需要确保蜜罐被充分隔离。为了帮助扩展安全操作,您可以将蜜罐与其他技术结合使用。例如,金丝雀陷阱策略通过有选择地与可疑的鼹鼠或告密者共享不同版本的敏感信息来帮助发现信息泄漏。
蜜网:蜜罐网络
蜜网是包含一个或多个蜜罐的诱饵网络。它看起来像一个真实的网络,包含多个系统,但托管在一台或仅几台服务器上,每台服务器代表一个环境。例如,Windows 蜜罐机、Mac 蜜罐机和 Linux 蜜罐机。“蜜墙”监控进出网络的流量并将其引导到蜜罐实例。您可以将漏洞注入蜜网,使攻击者更容易访问陷阱。
蜜网拓扑示例
蜜网上的任何系统都可能成为攻击者的切入点。蜜网收集有关攻击者的情报并将其从真实网络中转移。蜜网相对于简单蜜罐的优势在于它感觉更像是一个真实的网络,并且具有更大的集水区。这使得蜜网成为大型复杂网络的更好解决方案——它为攻击者提供了一种替代企业网络,可以代表真实网络的有吸引力的替代方案。
垃圾邮件陷阱:电子邮件蜜罐
垃圾邮件陷阱是帮助 Internet 服务提供商 (ISP) 识别和阻止垃圾邮件发送者的欺诈管理工具。它们通过阻止漏洞来帮助使您的收件箱更安全。垃圾邮件陷阱是用来诱骗垃圾邮件发送者的虚假电子邮件地址。合法邮件不太可能发送到虚假地址,因此当收到电子邮件时,它很可能是垃圾邮件。
垃圾邮件陷阱的类型包括:
- 用户名拼写错误——垃圾邮件过滤器检测由人为或机器错误导致的拼写错误,包括将电子邮件发送到垃圾邮件文件夹。这包括拼写错误的电子邮件地址。
- 过期的电子邮件帐户——一些提供商使用废弃的电子邮件帐户或过期的域名作为垃圾邮件陷阱。
- 购买的电子邮件列表——这些列表通常包含许多可能触发垃圾邮件陷阱的无效电子邮件地址。此外,由于发件人未获得向列表中的帐户发送电子邮件的授权,因此可以将其视为垃圾邮件发送者并列入黑名单。
垃圾邮件陷阱漏洞包括生成反向散射(错误地自动退回邮件)和污染回复或转发邮件的合法电子邮件地址。此外,一旦垃圾邮件陷阱被暴露,垃圾邮件发送者就可以通过向其发送合法内容来利用它,从而导致垃圾邮件陷阱失去效力。另一个风险是有些人可能会在没有意识到这是垃圾邮件陷阱的情况下写信给地址。不小心碰到垃圾邮件陷阱会影响您的声誉和可传递性,从而损害您的组织。ISP 可能会阻止您的 IP 地址或将您的 IP 地址列入黑名单,而查阅反垃圾邮件数据库的公司将过滤您的电子邮件。
