網絡安全并不總是攻擊者試圖攻擊無辜受害者和網絡的情況。多虧了一個被稱為“蜜罐”的誘餌計算機系統，這個角色有時會顛倒過來。雖然蜜罐可能會讓人想起小熊維尼沉浸在一大桶蜂蜜中的形象，但它在網絡安全領域有著不同的內涵。但究竟什么是蜜罐，它如何幫助減輕網絡攻擊？是否有不同類型的蜜罐，它們是否也帶有一些風險因素？讓我們來了解一下。

什么是蜜罐？

蜜罐是安全團隊用來故意誘捕威脅參與者的欺騙技術。作為威脅情報和檢測系統的組成部分，蜜罐通過模擬關鍵基礎設施、服務和配置來工作，以便攻擊者可以與這些虛假的 IT 資產進行交互。蜜罐通常部署在組織已經使用的生產系統旁邊，可以成為了解更多關于攻擊者行為以及他們用于進行安全攻擊的工具和策略的寶貴資產。

蜜罐可以幫助減輕網絡攻擊嗎？

蜜罐通過故意讓網絡的一部分對威脅行為者開放，從而將惡意目標吸引到系統中。這允許組織在受控環境中進行網絡攻擊，以評估其系統中的潛在漏洞。蜜罐的最終目標是通過利用自適應安全來增強組織的安全態勢。如果配置正確，蜜罐可以幫助收集以下信息：

1. 攻擊的起源
2. 攻擊者的行為和他們的技能水平
3. 有關網絡中最脆弱目標的信息
4. 攻擊者使用的技術和戰術
5. 現有網絡安全政策在減輕類似攻擊方面的功效

蜜罐的一大優勢是您可以將網絡上的任何文件服務器、路由器或計算機資源合二為一。除了收集有關安全漏洞的情報外，蜜罐還可以降低誤報的風險，因為它只會吸引真正的網絡犯罪分子。

蜜罐的不同類型

蜜罐有多種設計，具體取決于部署類型。我們在下面列出了其中的一些。

蜜罐按目的

蜜罐主要按用途分類，例如生產蜜罐或研究蜜罐。

1. 生產蜜罐：生產蜜罐是最常見的類型，用于收集有關生產網絡中網絡攻擊的情報信息。生產蜜罐可以收集 IP 地址、數據泄露嘗試、日期、流量和數量等屬性。雖然生產蜜罐易于設計和部署，但與研究同行不同，它們無法提供復雜的智能。因此，他們大多受雇于私營公司，甚至受雇于名人和政治人物等知名人士。
2. 研究蜜罐：一種更復雜的蜜罐，研究蜜罐用于收集有關攻擊者使用的特定方法和策略的信息。它還用于發現系統中存在的與攻擊者應用的策略相關的潛在漏洞。研究蜜罐主要被政府實體、情報界和研究組織用來估計組織的安全風險。

按交互級別劃分的蜜罐

蜜罐也可以按屬性分類。這只是意味著根據其交互級別分配誘餌。

1. 高交互蜜罐：這些蜜罐不會保存太多數據。它們的設計目的不是模仿一個完整的生產系統，但它們確實運行了一個生產系統會運行的所有服務——比如一個全功能的操作系統。這些類型的蜜罐允許安全團隊實時查看入侵攻擊者的行為和策略。高交互蜜罐通常是資源密集型的。這可能會帶來維護挑戰，但它們提供的洞察力非常值得付出努力。
2. 低交互蜜罐：這些蜜罐主要部署在生產環境中。通過在有限數量的服務上運行，它們可以作為安全團隊的早期檢測點。低交互蜜罐大多處于閑置狀態，等待某些活動發生，以便它們能夠提醒您。由于這些蜜罐缺乏功能齊全的服務，因此網絡攻擊者可以實現的目標并不多。但是，它們相當容易部署。低交互蜜罐的一個典型例子是自動機器人，它們掃描互聯網流量中的漏洞，例如 SSH 機器人、自動暴力破解和輸入清理檢查器機器人。

按活動類型劃分的蜜罐

蜜罐也可以根據它們推斷的活動類型進行分類。

1. 惡意軟件蜜罐：有時攻擊者試圖通過在其上托管惡意軟件樣本來感染開放和易受攻擊的系統。由于易受攻擊系統的 IP 地址不在威脅列表中，因此攻擊者更容易托管惡意軟件。例如，蜜罐可用于模擬通用串行總線 (USB) 存儲設備。如果計算機受到攻擊，蜜罐會欺騙惡意軟件攻擊模擬 USB。這允許安全團隊從攻擊者那里獲取大量新的惡意軟件樣本。
2. 垃圾郵件蜜罐：這些蜜罐通過使用開放代理和郵件中繼來吸引垃圾郵件發送者。它們用于收集有關新垃圾郵件和基于電子郵件的垃圾郵件的信息，因為垃圾郵件制造者通過使用它們向自己發送電子郵件來對郵件中繼進行測試。如果垃圾郵件發送者成功發送大量垃圾郵件，蜜罐可以識別垃圾郵件發送者的測試并阻止它。任何虛假的開放 SMTP 中繼都可以用作垃圾郵件蜜罐，因為它們可以提供有關當前垃圾郵件趨勢的知識，并確定誰在使用組織的 SMTP 中繼來發送垃圾郵件。
3. 客戶端蜜罐：顧名思義，客戶端蜜罐模仿客戶端環境的關鍵部分，以幫助進行更有針對性的攻擊。雖然這些類型的蜜罐沒有讀取數據，但它們可以使任何假主機看起來與合法主機相似。客戶端蜜罐的一個很好的例子是使用指紋數據，例如操作系統信息、開放端口和正在運行的服務。

使用蜜罐時要小心

憑借其所有奇妙的優勢，蜜罐具有被開發的潛力。雖然低交互蜜罐可能不會帶來任何安全風險，但高交互蜜罐有時會成為一個有風險的實驗。在具有服務和程序的真實操作系統上運行的蜜罐部署起來可能很復雜，并且可能會無意中增加外部入侵的風險。這是因為如果蜜罐配置不正確，您最終可能會在不知不覺中允許黑客訪問您的敏感信息。此外，網絡攻擊者一天比一天變得更聰明，可能會尋找配置不當的蜜罐來劫持連接的系統。在您冒險使用蜜罐之前，請記住，蜜罐越簡單，風險越低。