高交互蜜罐和低交互蜜罐之間的區(qū)別

2019-09-10 21:25:32劉詢

計算機(jī)與網(wǎng)絡(luò) 2019年6期

劉詢

蜜罐是一種誘餌系統(tǒng)，用于檢測和警告攻擊者的惡意活動。智能蜜罐解決方案可以將黑客從真實(shí)數(shù)據(jù)中心轉(zhuǎn)移出去，還可以更詳細(xì)地了解他們的行為，而不會對數(shù)據(jù)中心或云性能造成任何干擾。

蜜罐的部署方式和誘餌的復(fù)雜程度各不相同。對不同類型的蜜罐進(jìn)行分類的一種方法是通過它們的參與程度或交互程度。企業(yè)可以選擇低交互蜜罐、中型交互蜜罐或高交互蜜罐。讓我們看看關(guān)鍵差異以及每個的利弊。

低交互蜜罐

低交互蜜罐只會讓攻擊者非常有限地訪問操作系統(tǒng)?！暗徒换ァ币馕吨?，對手無法在任何深度上與誘餌系統(tǒng)進(jìn)行交互，因?yàn)樗且粋€更加靜態(tài)的環(huán)境。低交互蜜罐通常會模仿少量的互聯(lián)網(wǎng)協(xié)議和網(wǎng)絡(luò)服務(wù)，足以欺騙攻擊者，而不是更多。通常，大多數(shù)企業(yè)都會模擬TCP和IP等協(xié)議，這使得攻擊者認(rèn)為他們正在連接到真實(shí)系統(tǒng)而不是蜜罐環(huán)境。

低交互蜜罐易于部署，不允許訪問真正的Root Shell，也不使用大量資源進(jìn)行維護(hù)。但是，低交互蜜罐可能不夠有效，因?yàn)樗皇菣C(jī)器的基本模擬。它可能不會欺騙攻擊者參與攻擊，而且它肯定不足以捕獲復(fù)雜的威脅，如零日攻擊。

高交互蜜罐

高交互蜜罐是欺騙技術(shù)中規(guī)模的另一端。攻擊者不是簡單地模擬某些協(xié)議或服務(wù)，而是提供真實(shí)的攻擊系統(tǒng)，使得他們猜測被轉(zhuǎn)移或觀察的可能性大大降低。由于系統(tǒng)僅作為誘餌出現(xiàn)，發(fā)現(xiàn)的任何流量都是惡意存在的，因此可以輕松發(fā)現(xiàn)威脅并跟蹤和跟蹤攻擊者的行為。通過使用高交互蜜罐，研究人員可以了解攻擊者用于升級權(quán)限的工具，或者他們?yōu)閲L試發(fā)現(xiàn)敏感數(shù)據(jù)而進(jìn)行的橫向移動。

利用當(dāng)今最先進(jìn)的動態(tài)欺騙方法，高交互蜜罐可以適應(yīng)每個事件，使攻擊者不能意識到他們正在使用誘餌。如果供應(yīng)商團(tuán)隊(duì)或內(nèi)部團(tuán)隊(duì)有一個幕后工作的研究部門，以發(fā)現(xiàn)新的和新興的網(wǎng)絡(luò)威脅，這可以是一個很好的工具，讓他們學(xué)習(xí)有關(guān)最新戰(zhàn)術(shù)和趨勢的相關(guān)信息。

當(dāng)然，高交互蜜罐的最大缺點(diǎn)是在開始時構(gòu)建誘餌系統(tǒng)所需的時間和精力，然后長期保持對其監(jiān)控，以降低公司的風(fēng)險。對于許多人來說，中等交互蜜罐策略是最佳平衡，與創(chuàng)建完整的物理或虛擬化系統(tǒng)以轉(zhuǎn)移攻擊者相比，提供的風(fēng)險更小，但具有更多功能。雖然這些仍然不適用于零日攻擊等復(fù)雜威脅，但可以針對尋找特定漏洞的攻擊者。例如，中型交互蜜罐可能會模擬Microsoft IIS Web服務(wù)器，并具有足夠復(fù)雜的功能來吸引研究人員需要的、更多信息的特定攻擊。

使用高交互蜜罐時降低風(fēng)險

使用高交互蜜罐是使用欺騙技術(shù)欺騙攻擊者并從企圖破壞中獲取最多信息的最佳方式。復(fù)雜的蜜罐可以模擬多個主機(jī)或網(wǎng)絡(luò)拓?fù)?，包括HTTP、FTP服務(wù)器以及虛擬IP地址。該技術(shù)可以通過使用獨(dú)特的被動指紋標(biāo)記來識別返回的黑客。還可以使用蜜罐解決方案來區(qū)分內(nèi)部和外部欺騙，免受東西方以及南北移動的網(wǎng)絡(luò)威脅。

當(dāng)使用蜜罐技術(shù)作為深入解決方案的一個分支的安全解決方案時，降低使用高交互蜜罐的風(fēng)險是最容易的。微分段技術(shù)是一種從蜜罐誘餌中分割實(shí)時環(huán)境的強(qiáng)大方法，可確保攻擊者無法橫向移動敏感數(shù)據(jù)。利用從孤立的攻擊者那里收集的信息，可以強(qiáng)制執(zhí)行并加強(qiáng)策略創(chuàng)建，從而使整體安全風(fēng)險降低一倍。

了解低、中、高交互蜜罐解決方案之間的差異可以幫助公司做出明智的選擇。雖然低交互蜜罐可能易于部署且風(fēng)險較低，但真正的好處來自使用強(qiáng)大的、多方面的方法來破壞檢測和使用最新的高交互蜜罐技術(shù)的事件響應(yīng)。為了最終的安全性，利用微分段的解決方案確保了蜜罐的隔離環(huán)境。這讓您放心，在獲得蜜罐解決方案的回報時，不讓自己面臨不必要的風(fēng)險。