昨天提到蜜罐是一個虛擬陷阱,藉由模擬真實的情況來欺騙駭客,但是蜜罐並非萬靈丹,無法取代其他的安全設備,需要利用蜜罐蒐集來的情資,與其他安全設備合作一起阻止駭客。例如我們可以將蜜罐蒐集到的訪者IP位置與IPS和防火牆比對,將IP加至黑名單中,阻止惡意連線。剛接觸蜜罐的時候,我發現蜜罐有兩個問題:
如果駭客沒有攻擊蜜罐,那蜜罐並不會產生作用
無論怎麼樣欺騙誘導,如果駭客沒有攻擊蜜罐,它並不會偵測到駭客的惡意行為,尤其是低交互蜜罐,雖然佈署容易,但有時候因為過於簡單,駭客容易察覺那是個蜜罐而刻意避開。所以資安團隊評估購買產品工具優先順序時,除了防火牆、IPS等等,網路安全監控會比蜜罐優先,因為網路安全監測設備可以從各項記錄流量中主動發現惡意行為,相較之下蜜罐只能被動地等待駭客造訪。
不知道如何正確安裝、佈署蜜罐
某天和一位朋友聊到系統安全基準Security Baseline的問題,在企業網路中如何確認每台電腦端點都有安裝安全更新?都有防毒軟體(和最新病毒特徵碼)?本機防火牆設定正確?他說道:「其實不符合基準的電腦剛好可以當蜜罐。」
「什麼?蜜罐?」
「Yes 蜜罐,Honeypot。」
「那你是怎麼進行監控偵測?用HIDS和NIDS嗎?還是遠端讀取日誌?」
「喔?蜜罐不是擺在那裡就好了嗎?」
「等等,你說擺一台沒有更新的Windows 2008 IIS伺服器,沒有照系統安全基準做好防護措施,沒有任何監控偵測措施,在那邊等人攻擊就是蜜罐?」
蜜罐不是豬籠草,並非擺在那裏就會自動捕捉。高交互蜜罐模擬多項服務,如何一一設置安裝呢?蜜罐若設定錯誤,就不是虛擬陷阱,反而可能成為駭客攻破網路防禦的突破點。即使是本次鐵人賽會介紹的高交互蜜罐T-POT,安裝比較簡單,但是資安團隊需要分析蜜罐蒐集來的資訊,找出駭客的攻擊手法,適時調較各項資安設備防堵攻擊。單純擺一個蜜罐在企業網路裡卻沒有分析情資,效果十分有限。
蜜罐要正確安裝、佈署,那麼在企業網路中該佈署在何處呢?下一篇將會探討蜜罐的佈署位置。
「啊,目標真大。真好吃,這前菜真好吃。」——《火鳳燎原》