iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 15
0
Security

30天蜜罐品嘗系列 第 15

[Day 15] 30天蜜罐品嘗 : 一點感想

蜜罐是虛擬陷井,所依靠的原理是欺騙,我們已知不會有某些行為和網路流量,所以當這些行為和網路流量發生在蜜罐系統上,那便可判定是惡意行為,因此我們說蜜罐的誤判率低。例如我們架設一個Cowrie的低交互蜜罐系統,在架設的時候設定為port 2222 才是SSH登入,所以任何port 22的登入行為都將被試為惡意登入,有可能是駭客採用暴力破解brute force,也有可能是用rainbow table 來嘗試破解密碼登入,甚至password spray攻擊等等。

這樣的原理聽起來很棒,實施起來會遇到豬隊友的挑戰,為什麼呢?如果你按照前面幾天提到的方法,設置一個honeytoken資料夾,命名為「人資檔案」,可能常常會收到警示,顯示來自內部的IP,當你調查追朔來源後詢問,才發現是豬隊友不小心點進去,還理直氣壯地說「我就是要找人資檔案啊?」或者收到警示有人試著從port 22登入Cowrie低交互蜜罐,最後發現是豬隊友因為要安裝安全更新試著用telnet登入系統,製造了很多false positive警示。

好隊友很重要!溝通教育再溝通。資安不是買設備或架設工具,而是要靠團隊合作。

"Teamwork makes the dream work" -- John C. Maxwell


上一篇
[Day 14] 30天蜜罐品嘗 : Honeypage
下一篇
[Day 16] 30天蜜罐品嘗 : DShield
系列文
30天蜜罐品嘗30

尚未有邦友留言

立即登入留言