昨天提到蜜罐是一個虛擬陷阱，藉由模擬真實的情況來欺騙駭客，但是蜜罐並非萬靈丹，無法取代其他的安全設備，需要利用蜜罐蒐集來的情資，與其他安全設備合作一起阻止駭客。例如我們可以將蜜罐蒐集到的訪者IP位置與IPS和防火牆比對，將IP加至黑名單中，阻止惡意連線。剛接觸蜜罐的時候，我發現蜜罐有兩個問題：

1. 如果駭客沒有攻擊蜜罐，那蜜罐並不會產生作用
   無論怎麼樣欺騙誘導，如果駭客沒有攻擊蜜罐，它並不會偵測到駭客的惡意行為，尤其是低交互蜜罐，雖然佈署容易，但有時候因為過於簡單，駭客容易察覺那是個蜜罐而刻意避開。所以資安團隊評估購買產品工具優先順序時，除了防火牆、IPS等等，網路安全監控會比蜜罐優先，因為網路安全監測設備可以從各項記錄流量中主動發現惡意行為，相較之下蜜罐只能被動地等待駭客造訪。

2. 不知道如何正確安裝、佈署蜜罐
   某天和一位朋友聊到系統安全基準Security Baseline的問題，在企業網路中如何確認每台電腦端點都有安裝安全更新？都有防毒軟體(和最新病毒特徵碼)？本機防火牆設定正確？他說道：「其實不符合基準的電腦剛好可以當蜜罐。」
   「什麼？蜜罐？」
   「Yes 蜜罐，Honeypot。」
   「那你是怎麼進行監控偵測？用HIDS和NIDS嗎？還是遠端讀取日誌？」
   「喔？蜜罐不是擺在那裡就好了嗎？」
   「等等，你說擺一台沒有更新的Windows 2008 IIS伺服器，沒有照系統安全基準做好防護措施，沒有任何監控偵測措施，在那邊等人攻擊就是蜜罐？」

蜜罐不是豬籠草，並非擺在那裏就會自動捕捉。高交互蜜罐模擬多項服務，如何一一設置安裝呢？蜜罐若設定錯誤，就不是虛擬陷阱，反而可能成為駭客攻破網路防禦的突破點。即使是本次鐵人賽會介紹的高交互蜜罐T-POT，安裝比較簡單，但是資安團隊需要分析蜜罐蒐集來的資訊，找出駭客的攻擊手法，適時調較各項資安設備防堵攻擊。單純擺一個蜜罐在企業網路裡卻沒有分析情資，效果十分有限。

蜜罐要正確安裝、佈署，那麼在企業網路中該佈署在何處呢？下一篇將會探討蜜罐的佈署位置。

「啊，目標真大。真好吃，這前菜真好吃。」——《火鳳燎原》