域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

身為安全從業(yè)者，不管是搞滲透還是做演練防守方，我們或多或少都接觸過(guò)蜜罐。不過(guò)，和蜜罐一起出現(xiàn)的總是有一堆詞，蜜餌、蜜標(biāo)、蜜網(wǎng)、蜜場(chǎng)……這些詞都是啥意思？今天就用一篇文章，把這幾個(gè)概念全都解釋清楚。

（一）什么是蜜罐？

蜜罐這個(gè)詞，最早是被獵人使用的，對(duì)，就是進(jìn)山打獵的人。獵人把罐子裝上蜂蜜，然后放個(gè)陷阱，專(zhuān)門(mén)用來(lái)捕捉喜歡甜食的熊。后來(lái)在網(wǎng)絡(luò)安全領(lǐng)域里，人們就把欺騙攻擊者的誘餌稱(chēng)為“蜜罐”。

蜜罐需要基于一個(gè)節(jié)點(diǎn)進(jìn)行布置，它看起來(lái)可能是一個(gè)樹(shù)莓派、一個(gè)攝像頭，或者一個(gè)打印機(jī)，它可以部署在任意的網(wǎng)絡(luò)位置，通常用于收集到達(dá)特定網(wǎng)絡(luò)節(jié)點(diǎn)的攻擊情報(bào)，并緩解相同網(wǎng)段的其他生產(chǎn)設(shè)備與資源受到的攻擊。

蜜罐的工作原理簡(jiǎn)單易懂。一個(gè)成功的蜜罐往往會(huì)偽裝成很有誘惑力的系統(tǒng)，攻擊者進(jìn)入以后，可能會(huì)獲取他們想要的重要數(shù)據(jù)。但是從攻擊者進(jìn)入的一瞬間開(kāi)始，他們的所作所為都將被蜜罐完整記錄下來(lái)，成為防守方手中的重要信息。而且，蜜罐里的業(yè)務(wù)并不是真實(shí)的，攻擊者將在蜜罐中白忙活一場(chǎng)，什么都得不到。

（二）什么是蜜餌？

蜜餌一般是一個(gè)文件，工作原理和蜜罐類(lèi)似，也是誘使攻擊者打開(kāi)或下載。當(dāng)黑客看到“XX下半年工作計(jì)劃.docx”、“XX環(huán)境運(yùn)維手冊(cè).pdf”、“員工薪酬名單-20210630.xslx”這種文件時(shí)，往往難以忍住下載的欲望，這樣就落入了防守方的陷阱。當(dāng)防守方發(fā)現(xiàn)這里的文件有被打開(kāi)過(guò)的痕跡或攻擊者跟隨蜜餌文件內(nèi)容進(jìn)行某種操作時(shí)，就可以追溯來(lái)源，發(fā)現(xiàn)被攻陷的設(shè)備。

（三）什么是蜜標(biāo)？

我們可以把蜜餌進(jìn)一步改造，在 Word 文檔、PDF 文檔中植入一個(gè)隱蔽的鏈接，當(dāng)攻擊者打開(kāi)這個(gè)文件時(shí)，鏈接可以被自動(dòng)觸發(fā)，防御者就可以借機(jī)獲取攻擊者的真實(shí)網(wǎng)絡(luò)地址、瀏覽器指紋等信息，從而直接溯源定位攻擊者真實(shí)身份。這種帶有URL地址的蜜餌就是蜜標(biāo)。

（四）什么是蜜網(wǎng)（Honeynet）？

我們?cè)谑褂妹酃薜臅r(shí)候，往往會(huì)在一個(gè)網(wǎng)絡(luò)里放很多罐，以增加攻擊者踩中蜜罐幾率。簡(jiǎn)單的說(shuō)：“蜜網(wǎng)就是一大片蜜罐，連成了網(wǎng)”，但是這張“網(wǎng)”需要和業(yè)務(wù)強(qiáng)相關(guān)。攻擊者在試圖攻破我們的系統(tǒng)時(shí)，為了拿到自己想要的東西（業(yè)務(wù)數(shù)據(jù)、文件等），往往會(huì)重點(diǎn)攻擊和業(yè)務(wù)相關(guān)的節(jié)點(diǎn)。因此，我們可以參照真實(shí)的業(yè)務(wù)環(huán)境，在攻擊者的必經(jīng)之路上放罐，給攻擊者提供橫向移動(dòng)的空間和更豐富的入侵接口。這樣，當(dāng)攻擊者踩過(guò)一連串蜜罐的時(shí)候，我們就能輕松地看到攻擊者的手法和習(xí)性。

這種高度復(fù)雜的誘餌環(huán)境，就是蜜網(wǎng)。

不同的業(yè)務(wù)場(chǎng)景有不同的網(wǎng)絡(luò)拓?fù)?，不同的工作流程有不同的狀態(tài)更新和控制需求。因此，想要構(gòu)建一張有效的蜜網(wǎng)，對(duì)安全人員來(lái)說(shuō)也算不小的挑戰(zhàn)。

（五）什么是蜜場(chǎng)（Honeyfarm）？

蜜網(wǎng)雖好，使用起來(lái)仍然有一些麻煩，不僅需要大量的管理和維護(hù)工作，而且還要防止蜜罐被攻破、攻擊者從蜜罐里跑出來(lái)繼續(xù)做壞事。那我們應(yīng)該怎么不用很累很麻煩就可以玩轉(zhuǎn)蜜罐呢？

答案是把惡意訪(fǎng)問(wèn)集中到一起，統(tǒng)一管理。于是，采用了重定向技術(shù)的蜜場(chǎng)就應(yīng)運(yùn)而生。

蜜場(chǎng)同樣是分布式蜜罐的一種形式。但在蜜場(chǎng)中，攻擊者踩中的是虛擬的蜜罐，經(jīng)過(guò)重定向以后，由真實(shí)的蜜罐進(jìn)行響應(yīng)，再把響應(yīng)行為傳到虛擬蜜罐。

這樣做的好處顯而易見(jiàn)。首先，部署新蜜罐更容易，安裝一個(gè)重定向器即可；其次，維護(hù)分析工作更容易，對(duì)蜜罐的風(fēng)險(xiǎn)控制也能加強(qiáng)，還能利用蜜罐生產(chǎn)出高精準(zhǔn)度的威脅情報(bào)，供給防火墻、態(tài)勢(shì)感知等設(shè)備和系統(tǒng)；最后，從整個(gè)蜜場(chǎng)中獲取的信息可以一定程度上反映當(dāng)前網(wǎng)絡(luò)的總體安全態(tài)勢(shì)，可以輔助改善安全策略。

（六）我也想搞一套“蜜場(chǎng)+蜜標(biāo)”，我該怎么入手？

在這里就要推薦一下國(guó)產(chǎn)HFish免費(fèi)蜜罐（https://hFish.io），HFish是由一位國(guó)人開(kāi)發(fā)者編寫(xiě)的蜜罐框架，上手簡(jiǎn)單，文檔友好。上線(xiàn)16個(gè)月，HFish即在Github上獲得2.6k個(gè)star，在國(guó)內(nèi)Gitee上成為安全類(lèi)目TOP5的GVP項(xiàng)目。目前還在不斷推出新版本，而且授權(quán)所有企業(yè)和個(gè)人用戶(hù)永久免費(fèi)使用。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！