iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 6
1
Security

30天蜜罐品嘗系列 第 6

[Day 6] 30天蜜罐品嘗 : 蜜罐非罐之一 honeytoken

前面提到蜜罐是一種虛擬的陷阱,但是蜜罐並不一定都是罐子,有各種不同形式和欺騙駭客的手法,有時候會以誘餌等名稱,如Decoy和Lure等等。

Honeynet
企業網路環境中往往會結合多個蜜罐,成為一個完整的模擬網路系統作為蜜網Honeynet,由於蜜網是虛擬陷阱,並不會對用戶提供服務,所以任何聯繫蜜網的行為或流量都應被視為非正常行為,需要加以調查追朔來源。蜜網比單一蜜罐複雜,也更真實,比較不容易被看穿。

Honeytoken
以欺騙手法干擾駭客,偵測駭客入侵跡象,不一定要完整的高交互式蜜罐或低交互式蜜罐,可以用較為簡單的方式,察覺那是非正常的行為。這些手法常稱為honeytoken
例如,創建一個無人使用的虛擬電子郵件網址,如 info@domain.com ,當郵件伺服器收到寄往 info@domain.com 的郵件,便可以判定那不是正常的電子郵件,針對郵件來源的IP調查,查看是否有其他來自該IP的郵件,進而找出其他來自該處的惡意郵件,將來源IP加入黑名單。

另一種方法是故意創建一個看起來像是有管理員權限的帳號,例如 MyAdmin或Admin,如果發現有使用這個帳號登入的行為,便可判定是針對帳密採取的攻擊,採取進一步防堵阻攔的措施。這種方法結合現有的日誌分析工具或SIEM可以很快找出惡意的帳密登入嘗試,在日誌分析時,如果在Windows伺服器看到嘗試登入Root,必定是惡意的登入嘗試;若是故意創建一個Root帳號,任何Root登入嘗試便從SIEM觸發警示,便可在駭客嘗試破解帳密時通知資安團隊。

「以一擊十,莫善於阨;以十擊百,莫善於險;以千擊萬,莫善於阻。」----《吳子兵法》


上一篇
[Day 5] 30天蜜罐品嘗 : 蜜罐位置
下一篇
[Day 7] 30天蜜罐品嘗 : 蜜罐非罐之二 honeyobject
系列文
30天蜜罐品嘗30

尚未有邦友留言

立即登入留言