互聯(lián)網(wǎng)世界的攻擊者們,比現(xiàn)實(shí)世界的壞人們更善于隱藏自己胧辽,他們往往躲在肉雞峻仇、代理的背后,肆無忌憚的攻擊我們的站點(diǎn)邑商。對于這樣的壞人摄咆,我們只能躲在高墻之后被動防御了嗎?
當(dāng)然不是人断!因為吭从,有一種神奇的技術(shù)叫“蜜罐”。
引子
在軍事領(lǐng)域恶迈,以響尾蛇導(dǎo)彈為代表的紅外制導(dǎo)武器涩金,可以利用紅外探測器捕獲和跟蹤目標(biāo)自身輻射的能量來追擊目標(biāo)。對于飛機(jī)來說暇仲,沒有任何方法能在空中關(guān)停產(chǎn)生熱輻射的發(fā)動機(jī)步做,所以,對飛機(jī)來說奈附,響尾蛇導(dǎo)彈是一種非橙龋可怕的存在。
道高一尺魔高一丈斥滤,為了避免被響尾蛇導(dǎo)彈擊落将鸵,很多飛機(jī)都會配備一種防御武器:紅外誘餌彈勉盅,在響尾蛇導(dǎo)彈接近自己的時候,放出紅外誘餌彈顶掉,吸引對方去攻擊誘餌彈草娜,從而達(dá)到讓自己金蟬脫殼的作用。
“蜜罐”是一種思想
類似的事情也發(fā)生在互聯(lián)網(wǎng)安全領(lǐng)域痒筒。
一個接入互聯(lián)網(wǎng)的網(wǎng)站驱还,只要能和外部產(chǎn)生通信,就有被黑客攻擊的可能——就像飛機(jī)在控制無法關(guān)停發(fā)動機(jī)一樣凸克。但是網(wǎng)站能像飛機(jī)發(fā)射紅外誘餌一樣议蟆,用某種陷阱來引誘攻擊者,就可以達(dá)到自身不被攻擊的目的萎战。
這種引誘黑客攻擊的“陷阱”就是“蜜罐”咐容。從廣義上看,“蜜罐”并不具體指某種技術(shù)蚂维,而是一種思想戳粒。
舉個栗子,在電影《無間道》中虫啥,警方發(fā)現(xiàn)自己這邊有內(nèi)鬼但是并不知道是誰蔚约,于是假裝傳遞含有內(nèi)鬼信息的信封,劉德華飾演的內(nèi)鬼摸不清底細(xì)涂籽,冒險去拿了這個信封苹祟。
在這個情節(jié)里,這個偽裝成情報的信封就相當(dāng)于“蜜罐”评雌。
“蜜罐”的創(chuàng)造者
蜜罐作為一種古老的技術(shù)思想树枫,近幾年被人們越來越多地提起。
這一概念最初出現(xiàn)在一本上世紀(jì)出版的小說——《The Cuckoo's Egg》中景东,這本小說描述了作者作為一個公司的網(wǎng)絡(luò)管理員砂轻,如何追蹤并發(fā)現(xiàn)一起商業(yè)間諜案的故事。這本書是互聯(lián)網(wǎng)界和文學(xué)小說界的傳奇斤吐,被譽(yù)為最真實(shí)的黑客小說搔涝。
這本書的作者 CliffordStoll 其實(shí)是個計算機(jī)安全專家,他在1988年提出“蜜罐是一個了解黑客的有效手段”和措。之后庄呈,蜜罐技術(shù)受到越來越多的網(wǎng)絡(luò)安全研究員們的注意,成為繼被動防御技術(shù)之后又一個強(qiáng)有力的網(wǎng)絡(luò)安全技術(shù)臼婆。
然而抒痒,蜜罐技術(shù)迎來真正的發(fā)展,是在這一概念被提出10年之后颁褂。
在這一時期故响,蜜罐思想吸引到一匹網(wǎng)絡(luò)安全技術(shù)員的注意,同時也開發(fā)出一批相應(yīng)的產(chǎn)品颁独,如Fred Cohen 所開發(fā)的DTK(欺騙工具包)彩届、Niels Provos 開發(fā)的Honeyd 等,同時也出現(xiàn)了像KFSensor誓酒、Specter 等一些商業(yè)蜜罐產(chǎn)品樟蠕。
這一階段的蜜罐可以稱為是虛擬蜜罐,即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)靠柑,并對黑客的攻擊行為做出回應(yīng)寨辩,從而欺騙黑客。
虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐變得比較方便歼冰,即使是普通的網(wǎng)絡(luò)安全技術(shù)員也能配置靡狞,而不是像小說情節(jié)那樣不接地氣。
這些能夠模擬IP棧隔嫡、OS甸怕、應(yīng)用程序的蜜罐,在它被攻陷了后也很容易重建腮恩。通常情況下梢杭,模仿是完全在內(nèi)存中實(shí)現(xiàn)的。虛擬蜜罐軟件也允許在單一的物理主機(jī)上配置一個完全的蜜網(wǎng)秸滴,一個虛擬蜜罐系統(tǒng)可被用來模仿成千上萬個系統(tǒng)武契,每個系統(tǒng)使用成千上萬個端口且使用不同的IP。
“蜜罐”的發(fā)展
和飛機(jī)發(fā)射的紅外誘餌類似荡含,這種簡單的蜜罐更多是起到干擾攻擊者的作用吝羞,并不能獲取到更多攻擊者信息。
于是有人就提出一些設(shè)想:
如果用蜜罐獲取到更多的攻擊者信息内颗,比如攻擊者的IP钧排,就可以對攻擊來源打上標(biāo)記,這樣一來就可以直接防御來自被標(biāo)記的攻擊均澳,御敵于“國門”之外恨溜,大大減輕安全壓力。
在這種指導(dǎo)思想下找前,一種新時代的蜜罐產(chǎn)生了:高交互蜜罐糟袁。
高交互蜜罐提供真實(shí)的操作系統(tǒng)和真實(shí)的服務(wù),因此躺盛,這種蜜罐的交互性最強(qiáng)项戴,收集到的數(shù)據(jù)也最全面。
由于是真實(shí)的操作系統(tǒng)和真實(shí)的服務(wù)槽惫,這樣的蜜罐其實(shí)是可以被攻陷的周叮,甚至入侵者還能利用該蜜罐作為跳板辩撑,對網(wǎng)絡(luò)上其他用戶進(jìn)行入侵。因此仿耽,高交互蜜罐捕獲的入侵信息是最全面的合冀,但也是比較危險的。
“蜜罐”的未來
在討論蜜罐技術(shù)的未來之前项贺,我們需要知道一個前提:蜜罐并不是當(dāng)前互聯(lián)網(wǎng)世界最主流的安全技術(shù)君躺,企業(yè)也不能只依賴蜜罐技術(shù)來保護(hù)自己。
所以开缎,這就存在一個問題棕叫,企業(yè)部署蜜罐的同時還得部署傳統(tǒng)的被動防御,這樣一來安全成本就大大提高奕删。
離開劑量談毒性都是耍流氓
離開了成本去談安全也是耍流氓俺泣,所以,對于中小企業(yè)來說急侥,蜜罐技術(shù)大部分時候還處于紙上談兵的階段砌滞。
另外,蜜罐作為一種誘餌坏怪,存在被攻破的可能性贝润,如果是部署在物理機(jī)上的蜜罐,甚至可能被黑客作為跳板來入侵铝宵,這種風(fēng)險也是企業(yè)用戶不得不考慮的因素之一打掘。
