IT安全运维 | 蜜罐技术简介

| 2020-04-30 13:33:35    标签:


在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。所以蜜罐存在的意义就是——被攻击、被探测、被攻陷… 下面分享一些蜜罐技术总结供广大IT安全运维参考

              


蜜罐分类:

蜜罐主要可以根据部署并根据其参与程度进行分类。

根据部署,蜜罐可能被归类为:


生产蜜罐:

易于使用,仅捕获有限的信息,主要由公司使用。生产蜜罐被组织放置在生产网络内与其他生产服务器一起,以改善其整体安全状态。通常生产蜜罐是低交互蜜罐,更易于部署。与研究蜜罐相比,它们提供的攻击或攻击者信息较少。


研究蜜罐:

是为了收集有关针对不同网络的黑客社区的动机和策略的信息。这些蜜罐不会为特定组织增加直接价值; 相反,它们用于研究组织面临的威胁,并学习如何更好地防范这些威胁。研究蜜罐的部署和维护非常复杂,可以捕获大量信息,主要用于研究、军事或政府组织。

根据设计标准,蜜罐可分为:


纯蜜罐:

拥有完整的生产系统。通过使用已安装在蜜罐的网络链接上的点击来监视攻击者的活动。不需要安装其他软件。即使纯蜜罐是有用的,防御机制的隐秘性也可以通过更加可控的机制来确保。


高交互蜜罐:

模仿托管各种服务的生产系统的活动,因此,攻击者可能会被许多服务浪费时间。通过使用虚拟机,可以在单个物理机器上托管多个蜜罐。因此,即使蜜罐受到损害,它也可以更快地恢复。通常,高交互蜜罐通过难以检测提供更高的安全性,但维护起来很昂贵。如果虚拟机不可用,则必须为每个蜜罐维护一台物理计算机,这可能过于昂贵。高交互蜜罐也称作为蜜网。


低交互蜜罐:

只模拟攻击者经常请求的服务。由于它们消耗的资源相对较少,因此可以在一个物理系统上轻松托管多个虚拟机,虚拟系统的响应时间短,所需的代码更少,从而降低了虚拟系统安全性的复杂性。蜜罐技术在如今的网络安全行业中越来越常见,曾轰动一时的荷兰警方打击汉莎暗网市场事件,在调查期间警方就曾采用蜜罐技术来追逐汉莎暗网市场的用户。

 

以上内容由北京艾锑无限科技发展有限公司整理