使用蜜罐欺骗防御方案需要考虑哪些问题
使用蜜罐欺骗防御方案需要考虑以下问题:
每个诱饵是否都是唯一的:很多欺骗解决方案无法做到每个诱饵系统都是唯一的。也就是说,如果你部署了100个FTP诱饵,这100个诱饵可能会反复地指向同一个FTP服务器。但高级的欺骗方案会通过虚拟化技术提供唯一的、真实的、可定制的诱饵。有的供应商会通过仿真技术实现诱饵系统的大规模扩展,然后将攻击者的交互信息传递至真实的虚拟机。仿真系统对攻击方的吸引力与独一无二的诱饵系统相比显然相去甚远。
如何在诱饵中创建虚假内容:供应商往往会在POC中设置几个配置完美的诱饵吸引用户,但该供应商如何在成千上百的诱饵中创建虚假内容和真实应用层数据这个问题值得深究。人类大脑(特别是人才短缺的安全团队)不擅长通过人工方式创建大量虚假但可信度高的内容,而且非常容易被高级攻击者识破。
是否能够阻止攻击链中的所有环节:一个好的欺骗平台应该涵盖每个环节,从侦察阶段置于防火墙之前的诱饵(不会在每个随机的网络探测中被触发),到伪造的人物角色(电子邮件地址、电话号码)以及虚假数据。真正的欺骗方案绝不仅仅是部署一些网络诱饵,因此在选择欺骗方案时应该确保它是真正的全栈型平台。
是否支持 大规模部署:如果用户单位有多个分支机构,是否会出现需要调用大量设备的情况,是否需要更改网络,创建GRE通道或VPN等。
诱饵的可信度如何判断:用户应组建自己信任的测试团队,通过蓝队攻击的方式进行对诱饵的可信度进行测试与验证。这也就要求欺骗方案所提供的环境应该是像RDP、SSH这样的高交互式环境,人类攻击者(不仅是商业恶意程序)能够运行他们所喜欢的一切代码,但攻击过程中的一举一动都在欺骗工具的监控之中。
自身的安全性如何:当攻击者在内网渗透时入侵某个诱饵系统时,我们希望的结果肯定是成功入侵,然后观察攻击活动,收集威胁情报。但不排除攻击者会利用诱饵来攻击其它系统的可能性。例如,有的方案可能会采用VLAN间路由的方式,那么攻击者就有可能通过诱饵系统绕过访问控制。因此,欺骗方案中平台本身的安全性也非常重要。