部署蜜罐时将面对的几个抉择
发布时间:2022-08-04 09:57:18 所属栏目:安全 来源:互联网
导读:将伪造的系统设置为诱饵,您可以获取有关潜在威胁的宝贵信息。蜜罐提供了我所知的检测组织内部或外部的攻击者或未经授权的窥探者的最佳方法。 1. 目的是什么? 蜜罐通常用于两个主要原因:预警或恶意行为分析。我是早期预警蜜罐的忠实拥护者,您可以在其中建
|
将伪造的系统设置为诱饵,您可以获取有关潜在威胁的宝贵信息。蜜罐提供了我所知的检测组织内部或外部的攻击者或未经授权的窥探者的最佳方法。 1. 目的是什么? 蜜罐通常用于两个主要原因:预警或恶意行为分析。我是早期预警蜜罐的忠实拥护者,您可以在其中建立一个或多个伪造系统,这些伪造系统甚至会被稍加探测就立即记录下恶意信息。 预警蜜罐非常适合捕获其他系统遗漏的黑客和恶意软件。为什么?由于蜜罐系统是伪造的,因此任何单一的连接尝试或探测(在过滤掉正常广播和其他合法流量之后)都意味着恶意行为即将到来。 2. 蜜罐要做什么? 您的蜜罐模拟通常是由您认为可以最好地最早发现黑客或最好地保护您的重要资产驱动的。大多数蜜罐都模仿应用程序服务器、数据库服务器、Web服务器和凭据数据库(例如域控制器)。 您可以部署一个蜜罐来模拟您环境中的每个可能的广告端口和服务,也可以部署多个蜜罐,每个蜜罐都专用于模仿特定的服务器类型。有时,蜜罐用于模拟网络设备,例如Cisco路由器,无线集线器或安全设备。您认为黑客或恶意软件最有可能攻击的是您的蜜罐应该模仿的东西。 3. 什么交互水平? 蜜罐分为低交互、中交互和高交互。 低交互性蜜罐仅模拟端口扫描程序可能检测到的最基本级别的侦听UDP或TCP端口。但是他们不允许完全连接或登录。低交互性蜜罐非常适合提供恶意行为的预警。 中交互的蜜罐提供了更多的仿真功能,通常使连接或登录尝试看起来很成功。它们甚至可能包含可以用来欺骗攻击者的基本文件结构和内容。 高交互性蜜罐通常会提供其仿真服务器的完整或接近完整的副本。它们对于取证分析非常有用,因为它们经常诱骗黑客和恶意软件以揭示更多诱骗手段。 4. 开源还是商业? 有数十种蜜罐软件程序,但是在发布后的一年内,很少有人支持或积极更新它们。商业软件和开源软件都是如此。如果您发现蜜罐产品的更新时间超过一年左右,那么您就找到了一颗宝石。 无论是新的还是旧的商业产品,通常都更易于安装和使用。像Honeyd(最受欢迎的程序之一)这样的开放源代码产品通常很难安装,但通常更具可配置性。例如,Honeyd可以仿真近100种不同的操作系统和设备,甚至可以仿真到Subversion级别(WindowsXPSP1与SP2等),并且可以与数百个其他开源程序集成以添加功能。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号