■刘丹阳

企业设置“蜜罐”的五大理由

■刘丹阳

蜜罐技术做为安全工具已经有了近20年的发展。1991年1月，一群荷兰黑客试图进入贝尔实验室的一个系统。而当时贝尔实验室的一个研究团队将这伙黑客引导到了他们自己管理的一个”数字沙盒“。这被认为是第一个蜜罐技术的应用。

随着时间的推移，越来越多的企业意识到蜜罐技术的重要性。企业采取蜜罐技术在遭到黑客攻击时可以提供报警。这样的技术具有较低的误报率，能够同时对内部人员和外部黑客的攻击进行报警，更重要的是，一旦设置好以后，蜜罐基本不需要什么维护。

“如果我们去看下一代的攻击技术的话，攻击者将越来越少地采用恶意软件方式，而是会通过互联网找到一些合法的账户来进入。”安全咨询公司Black H ills的渗透专家John Strand说。

“要想发现这样的攻击，企业可以采取复杂的异常检测或者采用蜜罐技术，简单地放一些服务器，正常用户不需要去进入这些服务器，而这些蜜罐可以向安全管理人员提供告警，告诉他们有些人试图进入他们不该进入的服务器。”

蜜罐技术在安全研究人员中已经被广泛采用来研究攻击者的攻击方式。而这种技术对于企业的安全管理人员也非常有用，这里列出5个蜜罐技术能够给企业带来的好处。

（1）低误报率，高成功率

基本上每个黑客在放出他们的恶意软件之前，都会对常见的安全防护方式进行测试，仅仅通过检测是否能够通过Symantec或者M cAfee的防病毒木马扫描器，黑客们就能够骗过月80%的企业安全防护系统。

John Strand说：“很多传统的防御手段对于防御高级黑客来说没有太多用处。因为他们在发起攻击之前，就能够保证他们的攻击手段可以攻破这些防御。”

而蜜罐则不然，黑客们很难预计到蜜罐的存在或者使用，而由于蜜罐对于正常用户来说是不应进入的，因此它具有很低的误报率。

（2）蜜罐能够迷惑攻击者

对于那些已经进入公司网络的黑客，蜜罐可以减缓他们的攻击，通过虚拟系统，企业可以制造出很多蜜罐来吸引攻击者，以减少他们攻击真正有价值的资产的机会。

安全顾问公司Counter Tack的CTO M ichaelDavis说道：“这样做就是把对于真实资产的威胁转移给了虚假的资产。同时可以发出告警。对于今天的安全威胁来说，结合传统的网络安全监控和最新的蜜罐技术和主动防御工具是关键。”

除了采用服务器作蜜罐之外，企业也可以把一些虚假数据放入数据库，这些数据普通用户不会也不能访问到，通过在防火墙等监控软件上设置规则，一旦发现这些数据被访问或下载，则可以提供安全告警。

（3）维护成本低

蜜罐有两种类型，一种是研究型蜜罐，这种蜜罐是一个虚拟的具有安全漏洞的系统，用户可以通过Internet访问。通过这个系统，研究人员可以研究黑客攻击的行为。

不过，研究型蜜罐的问题是需要很长时间来设置，并且需要不断的维护。尽管可以通过研究型蜜罐学习到很多攻击的方式，对于企业来说，研究型蜜罐并不是一个好的选择。另一种类型是生产型蜜罐，这种蜜罐比较简单，可以是一个W eb服务器，工作站，数据库，甚至一些文件。这些蜜罐一旦设置好后，基本不需要维护，而当有人访问这些蜜罐时，企业就可以得到安全告警。

（4）可以帮助培训企业的安全管理团队

在这个专业安全管理人员稀缺的时代，蜜罐可以用来作为基本的培训工具。通过蜜罐来观察攻击者的行为，安全管理人员可以学习到最新的攻击技术。

John Strand说：“很多安全管理团队，在实施了蜜罐技术以后，才真正理解了黑客们究竟在干些什么。他们看到了黑客实施攻击的步骤，同时也明白了如何在黑客的中间步骤过程中阻止他们。”

（5）有很多免费的蜜罐实施工具可供选择

对于企业来说，有很多帮助实施蜜罐的免费工具。在拉斯维加斯的黑帽安全展上，John Strand和他的同事们就发布了一系列主动防御的工具，做成了一个名为Active Defense Harbinger发行版的Linux ISO。

如果想在W indows上实施蜜罐，KFSensor是一个流行的W indows平台的蜜罐系统。