蜜罐是什麼?
蜜罐的定義
蜜罐(honeypot)是由應用程式和資料組成的電腦或電腦系統,目的是作為誘餌來引誘不法份子。其被設定為看起來像具有可利用漏洞的真實系統。
唯一的區別在於,其實際上獨立於網路的其他部分,並受到嚴密監控。 駭客 並不知道這一點。因此,他們會被吸引到這些系統,就如同花蜜吸引蜜蜂一樣。而箇中蹊蹺為何?
蜜罐有助於偵測攻擊,使其從更有價值的目標上轉移,並收集有關網路犯罪份子和其策略的資訊。其可以揭露:
- 駭客的 IP 位址和位置。 這可能會暴露其位置或身份,除非駭客有使用 VPN 或 代理伺服器 。
- 駭客用於存取蜜罐的密碼類型。 也許他們使用了外洩的密碼,是時候將您的密碼更新為 高強度的唯一密碼 了。
- 用於入侵蜜罐的技術, 這可以揭開系統和網頁伺服器的漏洞。
- 被盜檔案的去向。 蜜罐可以儲存具有獨特辨識屬性的資料,(在被盜時)可以協助其所有者找到資料的最終去向。其還有助於辨識不同駭客之間的聯繫。
因此,蜜罐是大型企業和安全研究人員會使用的優質欺騙性工具。聯邦調查局(FBI)對蜜罐的使用也廣為人知。有許多蜜罐的設定大多為免費和開源。某些可以模擬伺服器並協助分析資料,從而省去對大型研究團隊的需求。
蜜罐的類型
蜜罐可以依據使用對象和主要目標進行分類。
研究型蜜罐 (Research honeypots)主要使用者為安全研究人員、軍隊和政府。其非常複雜,可提供研究和分析駭客活動及其在蜜罐中的進展所需的重要資訊。這有助於研究人員辨識安全漏洞,並找到新的防範方法。
產品型蜜罐 (Production honeypots)的使用者通常為企業。其通常設定在生產系統中,並作為入侵偵測系統(IDS)的一部分,該系統有助於監測惡意活動。其較不複雜,提供的資訊也較少。
蜜罐系統也可分為以下幾種類別:
- 純蜜罐 (Pure honeypots),此為完整的生產系統,不需要任何其他軟體。換句話說,其為製作成蜜罐的產品伺服器,並與網路的其他部分相連。其為最可信,但也是風險最大和成本最高昂的。
- 高互動性蜜罐 (High-interaction honeypots)是非擬真的作業系統。其會模擬生產系統,通常有大量的服務和資料。因此其需要大量的資源才能運作。此種蜜罐通常在虛擬機器(VM)上運行,因為這可允許多個蜜罐在單一裝置上運行。這也使破壞系統的沙箱化、關閉和還原變得更容易。
- 低互動性蜜罐 (Low-interaction honeypots)只模擬最「容易被當成目標」的系統或服務。其需要的資源較少,且大多在虛擬機器上使用。因此,其風險較小,也更容易維護。另一方面,低互動性蜜罐更容易被駭客辨識出來,所以最好是用於偵測透過殭屍網路和蠕蟲傳播的惡意軟體。
研究人員或企業可能會使用多個蜜罐來組成蜜網。他們還可以進一步打造一個集中蜜罐和分析工具的集合——蜂蜜農場。使用蜜網或蜂蜜農場會使誘餌的可信度更高,因為駭客可以像在真實系統中一樣,從一台伺服器跳到另一台。
蜜罐是否萬無一失?
無論蜜罐聽起來有多好,其都有一些局限性和漏洞。
- 蜜罐只在發生攻擊時收集資料。
- 蜜罐並非很隱密。經驗豐富的駭客可以使用指紋辨識技術來識別出蜜罐。因此,他們會避開蜜罐,並有可能將注意力轉向更有價值的網路或伺服器。
- 蜜罐無法偵測其系統外的攻擊。
- 如果蜜罐沒有正確設定,尤其是純蜜罐,就很有可能會成為其他系統和網路的閘道。
- 就如同任何其他作業系統,蜜罐可能存在技術漏洞,例如,薄弱的防火牆和加密技術,或者可能根本無法辨識出攻擊。蜜罐簡單來說並非完美的系統。
一鍵啟動線上安全
使用業界領先的 VPN 保持安全