蜜罐技术解决未知威胁问题的时候有哪些局限性
蜜罐技术解决未知威胁问题的时候有以下局限性:
视野局限:蜜罐最大的问题就是视野的有限性,他们只能看到任何活动是直接针对他们自身的,如果某个攻击者闯入了网络中并攻击了很多系统蜜罐会意识不到这些活动的进行,除非他本身遭受到直接的攻击。如果攻击者识别出了蜜罐的所在,很容易避开该系统。蜜罐的数据收集的价值有一种显微镜效应,可以帮助使用人员密切关注价值明了的数据,但是显微镜效应会忽略掉一些发生在周围的事情。
指纹容易被识别:蜜罐的一个缺点就是其指纹容易被识别到,这种情况大多出现在商用的蜜罐中,因为商用的蜜罐系统具备一些特定的预期特征或者行为,因而能够被攻击者识别出其真实的身份情况。
自身存在安全风险:这里所说的风险,指的是一个蜜罐一且遭受了攻击,就可以被用于攻击、渗透,甚至危害其他的系统或者组织。不同的蜜罐具有不同级别的风险性。有些只会招致很低的风险,而另一些则有可能会将整个平台让攻击者以启动新的攻击。蜜罐越简单,其风险性越小。仅仅模拟几种服务的蜜罐是很难被攻破井用来攻击其他系统的。
低交互性蜜罐易被攻破:现在市场主流的蜜罐分高中低三类,诉求和解决的问题也不一样,如果要真实模拟环境,高交互蜜罐最合适,实现起来也更复杂,但是市面大部分蜜罐都低交互,稍微有点经验的黑客就能攻破;
覆盖范围小:蜜罐是被动放在那里,等待黑客自己进来,如果有多台服务器部署一台蜜罐是无法完全防护的,但因为成本问题则也无法根据服务器数量部署相同数量蜜罐;
攻击溯源困难:如果采用高交互蜜罐,黑客入侵进去以后,怎么记录所有黑客的攻击,在蜜罐里装监控,黑客很容易就能发现,而且还能 kill 该监控,一般黑客都是攻击脚本不落盘,木马程序直接内存运行,没有办法拿到黑客样本,溯源非常困难;
无法动态实时防御:蜜罐仅仅只能对攻击进行溯源、分析,不能做到根据黑客的行为,预测黑客的下一步,做到防范于未然;
未网络隔离风险增加:黑客入侵蜜罐,如果蜜罐没做任何网络隔离,可能就会通过蜜罐做横向攻击;