密罐

密罐

蜜罐,是HoneyPot的中文譯名。這是一種頗具神秘感的安全技術,即使對閱歷豐富的安全專家來說。因為儘管很多年前蜜罐技術就已經出現,但是至今對其在安全領域的意義、價值、地位都未有一個公認的結論。儘管在蜜罐的定義上還存在一定的分歧,但是為了方便討論,還是統合各種意見,對蜜罐下一個相對通用的定義:蜜罐是一種供攻擊者攻擊從而產生價值的安全設施。

基本信息

價值

與用戶通常使用的安全防禦設施不同,蜜罐只有在受到攻擊的情況下才能展現出價值,而不是在避開或擋下那些攻擊的時候。一直以來,攻擊者通過什麼方法、使用什麼工具展開攻擊以及他們攻擊的出發點都很少為人所知。但是蜜罐系統的出現使安全領域的專家及用戶不但可以了解到這些信息,甚至能夠從中發現規律和趨勢,從而提供具有統計學意義的結論。

變革

蜜罐技術帶給我們最大的變革在於防禦的一方第一次具有了掌控局勢的能力。使用者可以利用蜜罐系統開展主動的研究活動,也可以通過蜜罐系統對攻擊者進行控制和引導。安全防禦一方有了主動還擊的手段,套用一句名言來說,儘管還只是很小的一步,但是對於整個安全領域來說,這是非常重要的一步。

種類

做為已經出現了很久的一項技術,蜜罐已經獲得了相當廣泛的套用。不同形式的蜜罐可以發揮不同的作用,為了更好的認識哪種蜜罐系統更適合自己的需要,在這裡有必要對不同種類的蜜罐進行一些說明。

欺騙型蜜罐

欺騙性可以說本身就是蜜罐系統最核心的本質之一,一個蜜罐系統產生作用的前提就是使攻擊者認為這是一個正常的系統。純粹的以欺騙性目的存在的蜜罐系統,則是通過偽裝成攻擊目標,從而轉移攻擊者的注意力,同時通過報警等各種附加機制對攻擊的發生進行回響。例如可以搭建一個偽裝成檔案伺服器的蜜罐系統,在其中存放一些虛假的產品開發成果、機密性資料等等,從而達到吸引和蒙蔽攻擊者的作用。欺騙型蜜罐往往要使攻擊者可以較為容易的了解到蜜罐系統上的資源,同時又不能留下特別高危的入口使惡意行為生效。通常這種欺騙型蜜罐系統都是套用於商業環境,特別是那些擁有高度敏感信息的企業和組織。瞄準這類設施的攻擊者往往是具有高端技術的攻擊者,他們開發自己的漏洞,編寫自己的工具。基於此類攻擊者,常規的防禦措施在不少時候根本無法發現他們的行蹤。欺騙型蜜罐可以增強防禦方的力量,使用戶有更多的手段應對這些高階的攻擊。之所以提到不能在欺騙型蜜罐系統中保留高危漏洞,一方面是因為一個具有很明顯漏洞的系統非常容易引起攻擊者的警覺(一個存儲了重要資料的計算機按照常理來說是不應該有特別明顯的漏洞),另一方面是因為網際網路環境的一個重要事實,那就是大部分的攻擊流量來自那些初階攻擊者們發動的“自動化攻擊”。這些攻擊賴以成功的基礎是網際網路上海量的計算機目標,通過自動化的工具不停的嘗試每台機器可以使這些攻擊者發現大量的具有特定安全漏洞的系統。這些攻擊者的攻擊方式與針對特定目標展開手術刀般精巧滲透的攻擊者完全不同,是不折不扣的機會主義者。所以欺騙型蜜罐通常用於防禦和處理高級攻擊,對以上被戲稱為腳本小子(ScriptKiddie)的攻擊群體來說欺騙型蜜罐並不非常高效。

威懾型蜜罐

這種蜜罐系統與欺騙型蜜罐的模式相當類似,只不過欺騙型蜜罐是以誘騙為主,而威懾型蜜罐則主要是對攻擊者產生心理上的威嚇及迷惑作用。威懾型蜜罐的主要職責就是告訴攻擊者自己是個蜜罐系統,這樣可以形成一定的阻嚇作用,減弱攻擊者的攻擊意圖。當然,不排除在一些情況下引起適得其反的效果,攻擊者可能會因為發現了蜜罐系統而被激怒或引起更高的興趣。不過即使如此,威懾型蜜罐還是有助於防禦一方將主動權控制在自己手中。威懾型蜜罐的另外一個方面的作用就是對攻擊者產生心理迷惑,攻擊者將開始懷疑所有系統的真實性,並因為發現蜜罐系統這一事實開始改變攻擊的方法和節奏。一旦攻擊者在攻擊過程中採取一些錯誤的、不必要的、違反習慣的手段,就會降低效率並提高防禦成功的可能性。與欺騙型蜜罐相同,威懾型蜜罐通常無法應對“自動化攻擊”,因為攻擊工具並不具有人性的弱點。而且威懾型蜜罐能夠作用的攻擊群體要更小一些,非常高階的攻擊者往往較少受到威懾型蜜罐的影響。在實際的套用當中,將威懾型蜜罐和欺騙型蜜罐結合起來套用是相當容易和有效的。

檢測型蜜罐

就像防火牆和入侵檢測系統等防禦手段一樣,也可以搭建側重於檢測和發現攻擊行為的蜜罐系統。通過提高蜜罐系統的檢測能力,用戶不只可以通過蜜罐系統的活動情況判斷攻擊行為的發生,還可以更加廣泛和細緻的監測攻擊活動。在檢測技術領域,兩個最重要的困擾就是誤報和漏報問題。過多的報警可能會使安全檢測機制無法產出可用的信息,而過少的報警又無法保證安全設施提供足夠的保護。以入侵檢測系統為例,如何識別更多的攻擊一直是制約入侵檢測技術取得更大成就的阻礙,而如何調整規則才能有效的去除無用的告警也一直是在套用入侵檢測系統過程中令人困擾的問題。對於蜜罐系統來說,問題則簡單得多。引起蜜罐系統告警的行為不是攻擊就是誤用,不然則是某些配置錯誤引起的,所以蜜罐系統基本上不會產生誤報。而密罐同樣可以解決漏報問題,因為蜜罐系統並不通過攻擊行為特徵而是通過流量產生來判斷攻擊的發生。一個專門用於檢測攻擊的蜜罐系統通常被部署在類似防火牆的DMZ區域這樣較多為外網訪問的區域,因為這些區域往往是首先被攻擊者探測的區域。建立起模擬用戶系統情況的檢測型蜜罐,有助於發現整個網路中易受攻擊的部分,可以為修補系統缺陷和限制攻擊行為提供時間緩衝。值得一提的是,檢測型密罐不僅僅可以用於檢測來自外網的攻擊,如果接受到內部網路的連線,有可能發現已經被攻破的系統。

研究型蜜罐

以上談到的蜜罐系統的幾種套用更多的集中於產生安全防禦實效,而一個與安全實效同樣重要甚至說更具價值的套用就是對攻擊行為的研究。在安全領域當中,防守方最大的弱勢之一就是對攻擊者的情報不足。攻擊者可以很容易的獲取各種系統的問題以及有針對性的方法和工具,而防守方所獲得的資訊總是顯得滯後和不充分。以研究為目的的蜜罐系統可以提供一個非常強大的用於了解攻擊者和安全威脅的機制。很多安全組織和廠商都在利用研究型蜜罐對網際網路上的安全問題進行研究,例如通過模擬某些安全缺陷來分析蠕蟲病毒的感染行為、收集攻擊者所使用的工具、了解流行的攻擊手法等等。而且非常重要的是,研究型蜜罐可以讓使用者獲悉很多未知的安全隱患和攻擊方法,這可以做為一種預警機制來提前發現將要造成破壞的攻擊行為。研究型蜜罐除了用於研究和學習目的之外,同樣可以為阻止攻擊行為做出貢獻,只不過這種作用要間接一些。

安全體系的補充

事實上,儘管蜜罐系統可以提供給我們很多有用的信息,但是在阻止攻擊方面都無法與防火牆等安全設備相比。所以在實際的安全套用過程中不能僅僅依賴蜜罐系統,蜜罐並不能替代其它安全系統,而是整個安全體系的一個增強和補充,一個完善的安全基礎設施是充分發揮蜜罐系統威力的前提和基礎。

相關詞條

相關搜尋

熱門詞條

聯絡我們