在網絡安全領域,我們花費大量時間專注于預防控制——修補漏洞、實施安全配置,并執行其他“最佳實踐”來降低企業面臨的風險。這些做法非常重要且必要,但有必要強調的是,近距離親自觀察現實世界中的惡意活動和對手行為同樣重要。
實現這一目標的最佳方式之一就是使用蜜罐。美國國家標準與技術研究院(NIST)將蜜罐定義為:“一種系統或系統資源,旨在吸引潛在的黑客和入侵者,就像蜂蜜吸引熊一樣。”有趣的是,許多高級持續性威脅企業(APT)的名稱中都包含“熊”這個詞,這真是一種巧合,卻又十分貼切。
蜜罐通常指的是整個系統或環境。而蜜標(Honeytokens)則通常是特定的文件、數據和其他對象,它們以類似的方式被用作誘餌,引誘惡意行為者,并獲取有關他們的寶貴信息。不過,在本文中,為避免細微差別,我們將廣義地使用“蜜罐”一詞。
為何使用蜜罐?
預防控制至關重要,這與行業趨勢以及信息共享和分析中心(ISAC)等企業提供的更廣泛情報相一致,但使用蜜罐(及其相關的蜜標)還有許多其他有價值的原因,其中最重要的是,從你自己的企業、運營環境和系統中獲取的直接威脅情報,是其他方式難以比擬的。
網絡安全防御者可以通過利用蜜罐及其變體,直接了解針對其企業的惡意行為者所使用的各種工具、技術和程序(TTP)。
蜜罐通常在更廣泛的企業架構內的受限和控制環境中部署。這使得防御者能夠捕獲特定的法醫證據以供分析和進一步研究,并提供關鍵的早期風險指標。這些指標可能包括試探網絡資源、訪問敏感數據或利用系統漏洞的嘗試。
鑒于美國網絡安全和基礎設施安全局(CISA)最近的報告指出,最常見的被利用漏洞越來越多地是零日漏洞,即這些漏洞在被利用時還未公開為人所知,因此這一點尤其有用。因此,企業需要除了已知的利用嘗試和活動漏洞之外的額外指標和洞見。
防御者可以利用從蜜罐中獲得的洞見,采取額外的安全措施或修改現有的安全控制和工具,以應對他們實際觀察到的惡意活動。
蜜罐可以引誘攻擊者遠離關鍵系統
除了為防御者提供關鍵的威脅情報外,蜜罐還常常作為一種有效的欺騙技術,確保攻擊者將注意力集中在誘餌上,而不是企業的有價值和關鍵的數據及系統。一旦識別出惡意活動,防御者可以利用蜜罐的發現結果,在系統和環境的其他區域尋找入侵指標(IoC),從而可能捕捉到更多的惡意活動,并最大限度地縮短攻擊者的駐留時間。
除了威脅情報和攻擊檢測價值外,蜜標通常還具有誤報率極低的優點,因為它們是高度定制的誘餌資源,部署時的意圖就是不被訪問。這與更廣泛的安全工具形成鮮明對比,后者常常因為低保真度警報和發現結果而產生大量誤報,給安全團隊和開發人員帶來負擔。
如何利用蜜罐
企業需要仔細考慮蜜罐的部署位置。通常,蜜罐會被部署在攻擊者可能更容易訪問的環境和系統中,如公開暴露的端點和可通過互聯網訪問的系統,以及內部網絡環境和系統。
當然,前者可能會獲得更多的交互,并提供更廣泛的通用洞見,而后者在提示防御者注意已越過周邊安全工具和控制的惡意活動方面更有價值,這些活動更有可能影響敏感的業務系統和數據。
在內部,企業通常會尋找對攻擊者可能有吸引力的位置來放置蜜標,至少從表面上看是這樣,以試圖引誘他們與誘餌互動。同時,必須以不會導致合法用戶頻繁交互的方式使用它們,以避免誤報警報。
蜜罐的部署位置將影響警報的數量和關鍵性。一個公開暴露的端點或蜜罐必然會吸引大量流量,而內部部署的蜜罐則產生的警報數量較少。
當被觸發時,由于內部蜜罐靠近內部敏感數據、關鍵系統,并且如果攻擊者不僅能夠影響誘餌,還能影響有效系統和資源,則可能影響業務運營,因此它們可能會引發更關鍵和緊急的響應。
另一個重要的考慮因素是根據特定環境和目標選擇使用的蜜標類型。例如,如果你關注的是對憑據(如用戶名和密碼或API密鑰)的未經授權訪問,那么你將需要不同于那些更關注數據(如文件和數據庫)的人所需的資源。
無論是商業還是開源選項,都有各種選擇,以及可以根據你的個別需求和安全目標進行定制的特定類型的蜜標。
尋找蜜罐資源
整個GitHub倉庫都維護著蜜罐資源,從數據庫、應用程序和服務到各種用于部署和監控惡意活動的工具。在商業方面,一些企業正在提供創新的解決方案,如Horizon3.ai的NodeZero Tripwires,旨在通過自動化部署流程和與領先的威脅檢測工具和工作流的集成,簡化誘餌的部署,從而實現更快速的響應。
其他企業,如專注于軟件供應鏈和機密管理的GitGuardian,允許用戶在源代碼管理(SCM)和持續集成/持續部署(CI/CD)環境中部署蜜標,然后,他們監控公開的GitHub倉庫,尋找蜜標泄漏,如API密鑰、憑據和其他機密,這些都可以作為誘餌進行部署。
蜜標和蜜罐可以代表離散的文件、數據庫、憑據,甚至整個系統和數字環境,這取決于它們的復雜性以及企業的能力和想象力。
雖然商業選項允許原生集成和監控,但使用某些產品或工具以及開源解決方案可能需要進一步的集成和配置,以優化你監控與蜜標交互的能力,以及在識別出潛在惡意活動時做出響應的能力。
蜜罐與其他安全措施一樣,并非萬靈藥,但當它們與全面的企業安全控制和工具智能結合使用時,可以使企業主動識別其環境中的惡意活動,獲取有價值的威脅情報,根據觀察到的現實世界活動優化其防御,并測試其企業在檢測和響應惡意活動方面的能力。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號