“粘蜜罐”

蜜罐的基本知识

There are many applications 和 use cases for honeypots, as they work to divert malicious traffic away from important systems, get an early warning of a current attack before critical systems are hit, gather information about attackers 和 their methods. 如果蜜罐实际上不包含机密数据并且受到良好监控, you can get insight on attacker tools, 战术, 和程序(TTPs)，并在不危及网络其他部分的情况下收集法医和法律证据.

For a honeypot to work, the system should appear to be legitimate. It should run processes a production system is expected to run, contain seemingly important dummy files. 蜜罐可以是任何设置了适当嗅探和日志记录功能的系统. 在公司防火墙后面放置一个蜜罐也是一个好主意——它不仅提供了重要的日志记录和警报功能, 但是，您可以阻止传出的流量，这样受损的蜜罐就不能用于转向其他内部资产.

Research vs Production “粘蜜罐”

就目标而言，蜜罐有两种类型:研究蜜罐和生产蜜罐. 研究蜜罐收集有关攻击的信息，专门用于研究野外的恶意行为. 看着你的环境和更广阔的世界，他们收集信息 攻击者的趋势, 恶意软件菌株, 漏洞 that are actively being targeted by adversaries. 这可以告知您的预防性防御、补丁优先级和未来投资.

生产“粘蜜罐”, 另一方面, 是否专注于识别内部网络上的活动危害并欺骗攻击者. Information gathering is still a priority, 由于蜜罐为您提供了额外的监控机会，并填补了周围常见的检测空白 识别网络扫描 和 横向运动. 生产蜜罐与其他生产服务器放在一起，并运行通常在您的环境中运行的服务. 研究蜜罐往往比生产蜜罐更复杂，存储更多类型的数据.

蜜罐的复杂度 

Within production 和 research honeypots, 根据组织需要的复杂程度，也有不同的层次:

• 纯粹的蜜罐: 这是一个在各种服务器上运行的全尺寸的、完全模仿生产的系统. It contains “confidential” data 和 user information, is full of sensors. 尽管这些工具可能很复杂，难以维护，但它们提供的信息是无价的.
• High-interaction honeypot: This is similar to a pure honeypot in that it runs a lot of services, but it is not as complex 和 does not hold as much data. 高交互蜜罐并不意味着要模拟一个全面的生产系统, 但是它们确实运行(或看起来运行)生产系统会运行的所有服务, including a proper operating system. 这种类型的蜜罐允许部署组织查看攻击者的行为和技术. 高交互蜜罐是资源密集型的，并且具有维护方面的挑战, but the findings can be worth the squeeze.
• Mid-interaction蜜罐: 它们模拟应用层的各个方面，但没有自己的操作系统. 他们的工作是拖延或迷惑攻击者，以便组织有更多的时间来弄清楚如何正确地应对攻击.
• Low-interaction蜜罐: 这种类型的蜜罐最常部署在生产环境中. 低交互蜜罐运行少量服务，主要用作早期预警检测机制. They are easy to deploy 和 maintain, 许多安全团队在其网络的不同段部署多个蜜罐.

蜜罐的类型

Several honeypot technologies in use include the following: 

• 恶意软件“粘蜜罐”: These use known replication 和 攻击向量 检测恶意软件. 例如蜜罐(e.g.,鬼) have been crafted to emulate as a USB storage device. If a machine is infected by malware that spreads via USB, the honeypot will trick the malware to infect the emulated device.
• 垃圾邮件“粘蜜罐”: These are used to emulate open mail relays 和 open proxies. Spammers will test the open mail relay by sending themselves an email first. If they succeed, they then send out large quantities of spam. 这种类型的蜜罐可以检测和识别此测试，并成功阻止随之而来的大量垃圾邮件.
• 数据库蜜罐: 活动包括 SQL注入 can often go undetected by firewalls, so some organizations will use a database firewall, which can provide honeypot support to create decoy databases.
• 客户端“粘蜜罐”: Most honeypots are servers listening for connections. Client honeypots actively seek out malicious servers that attack clients, monitoring for suspicious 和 unexpected modifications to the honeypot. 这些系统通常在虚拟化技术上运行，并具有遏制策略，以最大限度地降低研究团队的风险.
• 蜜网: 蜜网不是一个单一的系统，而是一个可以由多个蜜罐组成的网络. 蜜网旨在战略性地跟踪攻击者的方法和动机，同时包含所有入站和出站流量. 

蜜罐的好处

蜜罐为选择实现它们的组织提供了大量的安全好处, 包括以下内容:

They break the attacker kill chain 和 slow attackers down

As attackers move throughout your environment, they conduct reconnaissance, 扫描你的网络, seek misconfigured 和 vulnerable devices. 在这个阶段, they are likely to trip your honeypot, alerting you to investigate 和 contain attacker access. 这允许您在攻击者有机会成功地从您的环境中窃取数据之前做出响应. 恶意行为者还可以花费大量时间试图在蜜罐上工作，而不是追踪拥有真实数据的区域. 将他们的攻击转移到一个无用的系统会浪费时间，并为您提供正在进行的攻击的早期警告.

They are straightforward 和 low-maintenance

Modern honeypots are not only easy to download 和 install, 但是可以针对危险的错误配置和攻击者行为提供准确的警报. 在某些情况下, 您的团队甚至可能会忘记曾经部署过蜜罐，直到有人开始窥探您的内部网络. 不像 intrusion detection systems，蜜罐不需要已知的恶意攻击签名和新的威胁英特尔就可以使用.

They help you test your incident response processes

“粘蜜罐” are a low-cost way to help you increase your security maturity, 因为他们测试你的团队是否知道如果蜜罐显示意外活动该怎么做. Can your team investigate the alert 和 take appropriate countermeasures?

“粘蜜罐” shouldn’t be your entire threat detection strategy, 但它们是另一层安全措施，可以帮助及早发现攻击. 它们是安全从业者研究真实世界恶意行为和捕获内部网络危害的少数可用方法之一. 想了解更多关于其他类型的科技，可以提高你的蓝队防御? 查看我们的网页 欺骗技术.

阅读更多关于蜜罐的信息

“粘蜜罐”: Latest 新闻 from the 博客