iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 29
0

從前面介紹的低交互、高交互蜜罐honeypot,到由多個蜜罐組成的蜜網honeynet,在第四天《30天蜜罐品嘗 : 蜜罐的優缺點》一文中已經介紹蜜罐這種虛擬陷阱手法的缺點,這些缺點在小規模網路環境並不明顯,但是在企業網路環境中,當我們要應用蜜罐的手法作為防禦手段時,這些缺點往往會造成問題。

之前文內提到很多人不知道如何正確安裝、佈署、維護蜜罐。雖然Modern Honey Network (MHN)提供一個很好的架構平台讓我們能集中管理、部署蜜罐,但如果我們要配置幾百個、乃至幾千個蜜罐,包含不同種類的高、低交互蜜罐分散在不同網段,MHN的Deploy功能便顯得不足;如果今天T-Pot更新為新版本,我們要更新所有網路環境內的T-Pot蜜罐,也需要時間和精力去重新設定。設定錯誤或未更新的蜜罐,根本是等著爆炸的定時炸彈,可能變成網路防禦的缺口。

無論怎麼樣欺騙誘導,如果駭客沒有攻擊蜜罐,蜜罐並不會偵測到駭客的惡意行為。針對蜜罐這樣靜態的缺點,駭客可以觀察網路的架構,判斷是否為蜜罐進而避免觸發警示。例如知名的網站Shodan有Honeyscore這個工具,判斷目的地IP網址是否為蜜罐
https://honeyscore.shodan.io/

當發現一個伺服器孤單地在一個獨立的網段,沒有和其他端點或伺服器互動,它有可能就是一個蜜罐,因為很常獨立劃分一個網段給蜜罐或蜜網,而不是和實際的伺服器或一般用戶網段一起部署,所以反過來說,若是在這網段裡發現port 9100的印表機,就不會是蜜罐的網段;另一種方法是從伺服器或端點本機的紀錄下手,若是從Terminal使用紀錄發現用戶曾經用SSH登入伺服器A,或是以FTP、SCP等等指令和伺服器A互動,那麼伺服器A極為可能不是蜜罐。

近幾年來,Deception成為一個熱門詞彙,因為商用的Deception產品就是針對前面提到那些問題的答案,可以說從單一的蜜罐Honeypot,複數組合的蜜網honeynet,到次世代、完整動態的Deception防禦。

明天繼續介紹Deception和蜜罐的比較。

「你有計謀,別人也會有,互相周旋,一層蓋一層」--《火鳳燎原》


上一篇
[Day 28] 30天蜜罐品嘗 :MHN安全措施考量
下一篇
[Day 30] 30天蜜罐品嘗 : Deception特色
系列文
30天蜜罐品嘗30

尚未有邦友留言

立即登入留言