部署蜜罐前要考虑什么
部署蜜罐前要考虑以下这些:
部署蜜罐的目的:要考虑部署蜜罐是帮助分析恶意软件或者帮助确定黑客的意图,来选择合适的蜜罐系统。蜜罐模拟通常是由认为可以最好、最早发现黑客或最好地保护重要资产驱动的。大多数蜜罐都模仿应用程序服务器、数据库服务器、Web服务器和凭据数据库(例如域控制器)。
蜜罐要防护什么设备:大多数蜜罐都能模仿应用程序服务器、数据库服务器、Web服务器和凭据数据库等多种服务器,可以根据需求在部署时设置不同属性。
蜜罐的交互水平:蜜罐分为低交互、中交互和高交互,要根据需求选择一个合适交互水平的蜜罐,需求低可以选择低交互性蜜罐,要求完全模拟真实服务器则可以选择高交互性蜜罐,折中可以选择中交互性蜜罐。低交互性蜜罐仅模拟端口扫描程序,可能检测到最基本级别的侦听UDP或TCP端口,但是他们不允许完全连接或登录。低交互性蜜罐非常适合提供恶意行为的预警。中交互蜜罐提供了更多的仿真功能,通常使连接或登录尝试看起来很成功,甚至可能包含可以用来欺骗攻擊者的基本文件结构和内容。高交互性蜜罐通常会提供仿真服务器的完整或接近完整的副本。他们对于取证分析非常有用,因为他们可以诱骗黑客和恶意软件以揭示更多诱骗手段。
蜜罐的部署位置:大多数蜜罐应放置在它们试图模仿的资产附近,尽量不要远离所模拟设备,可以根据网络拓扑来进行设计。大多数蜜罐应放置在他们试图模仿的资产附近。如果有SQLServer蜜罐,请将其放置在实际SQLServer所在的相同数据中心或IP地址空间中。一些蜜罐发烧友喜欢将蜜罐放置在DMZ中,如果黑客或恶意软件在该安全域中,他们可以收到预警。如果您有一家跨国公司,请将蜜罐放在世界各地,甚至有一些企业放置了模仿CEO或其他高级C级员工笔记本电脑的蜜罐,以检测黑客是否企图破坏这些系统。
蜜罐的管理:蜜罐不是一劳永逸的解决方案。相反,您需要至少一个人来拥有蜜罐的所有权。该人员必须计划,安装,配置,更新和监视蜜罐。如果您不任命至少一个蜜罐管理员,它将变得被忽略,毫无用处,并且在最坏的情况下,这将成为黑客的跳板。
如何刷新数据:如果部署高交互性蜜罐,将需要一些数据和内容,以使其看起来更真实,从其他地方获得一次性数据副本是不够的,需要保持内容新鲜。确定更新频率和更新方式,方法之一是使用免费提供的复制程序或复制命令从另一台类似类型的服务器复制非私有数据,并每天使用计划任务或cron作业启动复制。还可以在复制过程中重命名数据,使数据看起来比实际情况更为机密。
应该使用哪些监视和警报工具:除非启用监视恶意活动的能力,并且在发生威胁事件时设置警报,否则蜜罐没有任何价值,通常使用组织常规用于此目的的任何方法和工具。但请注意:在任何蜜罐计划周期中,确定要监视和提醒的内容通常是最耗时的部分。