蜜罐是在您的网络中与生产系统一起部署的诱饵系统或服务器. When deployed as enticing targets for attackers, 蜜罐可以为蓝队增加安全监控机会,并误导对手偏离他们的真正目标. 根据您的组织的需要,蜜罐具有各种各样的复杂性,并且在早期标记攻击时可以成为重要的防线. This page will get into more detail on what honeypots are, 如何使用它们, the benefits of implementing them.
There are many applications 和 use cases for honeypots, as they work to divert malicious traffic away from important systems, get an early warning of a current attack before critical systems are hit, gather information about attackers 和 their methods. 如果蜜罐实际上不包含机密数据并且受到良好监控, you can get insight on attacker tools, 战术, 和程序(TTPs),并在不危及网络其他部分的情况下收集法医和法律证据.
For a honeypot to work, the system should appear to be legitimate. It should run processes a production system is expected to run, contain seemingly important dummy files. 蜜罐可以是任何设置了适当嗅探和日志记录功能的系统. 在公司防火墙后面放置一个蜜罐也是一个好主意——它不仅提供了重要的日志记录和警报功能, 但是,您可以阻止传出的流量,这样受损的蜜罐就不能用于转向其他内部资产.
就目标而言,蜜罐有两种类型:研究蜜罐和生产蜜罐. 研究蜜罐收集有关攻击的信息,专门用于研究野外的恶意行为. 看着你的环境和更广阔的世界,他们收集信息 攻击者的趋势, 恶意软件菌株, 漏洞 that are actively being targeted by adversaries. 这可以告知您的预防性防御、补丁优先级和未来投资.
生产“粘蜜罐”, 另一方面, 是否专注于识别内部网络上的活动危害并欺骗攻击者. Information gathering is still a priority, 由于蜜罐为您提供了额外的监控机会,并填补了周围常见的检测空白 识别网络扫描 和 横向运动. 生产蜜罐与其他生产服务器放在一起,并运行通常在您的环境中运行的服务. 研究蜜罐往往比生产蜜罐更复杂,存储更多类型的数据.
Within production 和 research honeypots, 根据组织需要的复杂程度,也有不同的层次:
Several honeypot technologies in use include the following:
蜜罐为选择实现它们的组织提供了大量的安全好处, 包括以下内容:
They break the attacker kill chain 和 slow attackers down
As attackers move throughout your environment, they conduct reconnaissance, 扫描你的网络, seek misconfigured 和 vulnerable devices. 在这个阶段, they are likely to trip your honeypot, alerting you to investigate 和 contain attacker access. 这允许您在攻击者有机会成功地从您的环境中窃取数据之前做出响应. 恶意行为者还可以花费大量时间试图在蜜罐上工作,而不是追踪拥有真实数据的区域. 将他们的攻击转移到一个无用的系统会浪费时间,并为您提供正在进行的攻击的早期警告.
They are straightforward 和 low-maintenance
Modern honeypots are not only easy to download 和 install, 但是可以针对危险的错误配置和攻击者行为提供准确的警报. 在某些情况下, 您的团队甚至可能会忘记曾经部署过蜜罐,直到有人开始窥探您的内部网络. 不像 入侵检测系统,蜜罐不需要已知的恶意攻击签名和新的威胁英特尔就可以使用.
They help you test your incident response processes
“粘蜜罐” are a low-cost way to help you increase your security maturity, 因为他们测试你的团队是否知道如果蜜罐显示意外活动该怎么做. Can your team investigate the alert 和 take appropriate countermeasures?
“粘蜜罐” shouldn’t be your entire threat detection strategy, 但它们是另一层安全措施,可以帮助及早发现攻击. 它们是安全从业者研究真实世界恶意行为和捕获内部网络危害的少数可用方法之一. 想了解更多关于其他类型的科技,可以提高你的蓝队防御? 查看我们的网页 欺骗技术.