蜜罐是主動(dòng)出擊的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者工具箱中的另一件工具，他們借此深入了解黑客行為，并幫助減輕企業(yè)的風(fēng)險(xiǎn)。

　　在網(wǎng)絡(luò)安全領(lǐng)域，我們花費(fèi)大量時(shí)間專注于預(yù)防控制——修補(bǔ)漏洞、實(shí)施安全配置，并執(zhí)行其他“最佳實(shí)踐”來降低企業(yè)面臨的風(fēng)險(xiǎn)。這些做法非常重要且必要，但有必要強(qiáng)調(diào)的是，近距離親自觀察現(xiàn)實(shí)世界中的惡意活動(dòng)和對(duì)手行為同樣重要。

　　實(shí)現(xiàn)這一目標(biāo)的最佳方式之一就是使用蜜罐。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將蜜罐定義為：“一種系統(tǒng)或系統(tǒng)資源，旨在吸引潛在的黑客和入侵者，就像蜂蜜吸引熊一樣。”有趣的是，許多高級(jí)持續(xù)性威脅企業(yè)(APT)的名稱中都包含“熊”這個(gè)詞，這真是一種巧合，卻又十分貼切。

　　蜜罐通常指的是整個(gè)系統(tǒng)或環(huán)境。而蜜標(biāo)(Honeytokens)則通常是特定的文件、數(shù)據(jù)和其他對(duì)象，它們以類似的方式被用作誘餌，引誘惡意行為者，并獲取有關(guān)他們的寶貴信息。不過，在本文中，為避免細(xì)微差別，我們將廣義地使用“蜜罐”一詞。

　　為何使用蜜罐?

　　預(yù)防控制至關(guān)重要，這與行業(yè)趨勢(shì)以及信息共享和分析中心(ISAC)等企業(yè)提供的更廣泛情報(bào)相一致，但使用蜜罐(及其相關(guān)的蜜標(biāo))還有許多其他有價(jià)值的原因，其中最重要的是，從你自己的企業(yè)、運(yùn)營環(huán)境和系統(tǒng)中獲取的直接威脅情報(bào)，是其他方式難以比擬的。

　　網(wǎng)絡(luò)安全防御者可以通過利用蜜罐及其變體，直接了解針對(duì)其企業(yè)的惡意行為者所使用的各種工具、技術(shù)和程序(TTP)。

　　蜜罐通常在更廣泛的企業(yè)架構(gòu)內(nèi)的受限和控制環(huán)境中部署。這使得防御者能夠捕獲特定的法醫(yī)證據(jù)以供分析和進(jìn)一步研究，并提供關(guān)鍵的早期風(fēng)險(xiǎn)指標(biāo)。這些指標(biāo)可能包括試探網(wǎng)絡(luò)資源、訪問敏感數(shù)據(jù)或利用系統(tǒng)漏洞的嘗試。

　　鑒于美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)最近的報(bào)告指出，最常見的被利用漏洞越來越多地是零日漏洞，即這些漏洞在被利用時(shí)還未公開為人所知，因此這一點(diǎn)尤其有用。因此，企業(yè)需要除了已知的利用嘗試和活動(dòng)漏洞之外的額外指標(biāo)和洞見。

　　防御者可以利用從蜜罐中獲得的洞見，采取額外的安全措施或修改現(xiàn)有的安全控制和工具，以應(yīng)對(duì)他們實(shí)際觀察到的惡意活動(dòng)。

　　蜜罐可以引誘攻擊者遠(yuǎn)離關(guān)鍵系統(tǒng)

　　除了為防御者提供關(guān)鍵的威脅情報(bào)外，蜜罐還常常作為一種有效的欺騙技術(shù)，確保攻擊者將注意力集中在誘餌上，而不是企業(yè)的有價(jià)值和關(guān)鍵的數(shù)據(jù)及系統(tǒng)。一旦識(shí)別出惡意活動(dòng)，防御者可以利用蜜罐的發(fā)現(xiàn)結(jié)果，在系統(tǒng)和環(huán)境的其他區(qū)域?qū)ふ胰肭种笜?biāo)(IoC)，從而可能捕捉到更多的惡意活動(dòng)，并最大限度地縮短攻擊者的駐留時(shí)間。

　　除了威脅情報(bào)和攻擊檢測價(jià)值外，蜜標(biāo)通常還具有誤報(bào)率極低的優(yōu)點(diǎn)，因?yàn)樗鼈兪歉叨榷ㄖ频恼T餌資源，部署時(shí)的意圖就是不被訪問。這與更廣泛的安全工具形成鮮明對(duì)比，后者常常因?yàn)榈捅Ｕ娑染瘓?bào)和發(fā)現(xiàn)結(jié)果而產(chǎn)生大量誤報(bào)，給安全團(tuán)隊(duì)和開發(fā)人員帶來負(fù)擔(dān)。

　　如何利用蜜罐

　　企業(yè)需要仔細(xì)考慮蜜罐的部署位置。通常，蜜罐會(huì)被部署在攻擊者可能更容易訪問的環(huán)境和系統(tǒng)中，如公開暴露的端點(diǎn)和可通過互聯(lián)網(wǎng)訪問的系統(tǒng)，以及內(nèi)部網(wǎng)絡(luò)環(huán)境和系統(tǒng)。

　　當(dāng)然，前者可能會(huì)獲得更多的交互，并提供更廣泛的通用洞見，而后者在提示防御者注意已越過周邊安全工具和控制的惡意活動(dòng)方面更有價(jià)值，這些活動(dòng)更有可能影響敏感的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)。

　　在內(nèi)部，企業(yè)通常會(huì)尋找對(duì)攻擊者可能有吸引力的位置來放置蜜標(biāo)，至少從表面上看是這樣，以試圖引誘他們與誘餌互動(dòng)。同時(shí)，必須以不會(huì)導(dǎo)致合法用戶頻繁交互的方式使用它們，以避免誤報(bào)警報(bào)。

　　蜜罐的部署位置將影響警報(bào)的數(shù)量和關(guān)鍵性。一個(gè)公開暴露的端點(diǎn)或蜜罐必然會(huì)吸引大量流量，而內(nèi)部部署的蜜罐則產(chǎn)生的警報(bào)數(shù)量較少。

　　當(dāng)被觸發(fā)時(shí)，由于內(nèi)部蜜罐靠近內(nèi)部敏感數(shù)據(jù)、關(guān)鍵系統(tǒng)，并且如果攻擊者不僅能夠影響誘餌，還能影響有效系統(tǒng)和資源，則可能影響業(yè)務(wù)運(yùn)營，因此它們可能會(huì)引發(fā)更關(guān)鍵和緊急的響應(yīng)。

　　另一個(gè)重要的考慮因素是根據(jù)特定環(huán)境和目標(biāo)選擇使用的蜜標(biāo)類型。例如，如果你關(guān)注的是對(duì)憑據(jù)(如用戶名和密碼或API密鑰)的未經(jīng)授權(quán)訪問，那么你將需要不同于那些更關(guān)注數(shù)據(jù)(如文件和數(shù)據(jù)庫)的人所需的資源。

　　無論是商業(yè)還是開源選項(xiàng)，都有各種選擇，以及可以根據(jù)你的個(gè)別需求和安全目標(biāo)進(jìn)行定制的特定類型的蜜標(biāo)。

　　尋找蜜罐資源

　　整個(gè)GitHub倉庫都維護(hù)著蜜罐資源，從數(shù)據(jù)庫、應(yīng)用程序和服務(wù)到各種用于部署和監(jiān)控惡意活動(dòng)的工具。在商業(yè)方面，一些企業(yè)正在提供創(chuàng)新的解決方案，如Horizon3.ai的NodeZero Tripwires，旨在通過自動(dòng)化部署流程和與領(lǐng)先的威脅檢測工具和工作流的集成，簡化誘餌的部署，從而實(shí)現(xiàn)更快速的響應(yīng)。

　　其他企業(yè)，如專注于軟件供應(yīng)鏈和機(jī)密管理的GitGuardian，允許用戶在源代碼管理(SCM)和持續(xù)集成/持續(xù)部署(CI/CD)環(huán)境中部署蜜標(biāo)，然后，他們監(jiān)控公開的GitHub倉庫，尋找蜜標(biāo)泄漏，如API密鑰、憑據(jù)和其他機(jī)密，這些都可以作為誘餌進(jìn)行部署。

　　蜜標(biāo)和蜜罐可以代表離散的文件、數(shù)據(jù)庫、憑據(jù)，甚至整個(gè)系統(tǒng)和數(shù)字環(huán)境，這取決于它們的復(fù)雜性以及企業(yè)的能力和想象力。

　　雖然商業(yè)選項(xiàng)允許原生集成和監(jiān)控，但使用某些產(chǎn)品或工具以及開源解決方案可能需要進(jìn)一步的集成和配置，以優(yōu)化你監(jiān)控與蜜標(biāo)交互的能力，以及在識(shí)別出潛在惡意活動(dòng)時(shí)做出響應(yīng)的能力。

　　蜜罐與其他安全措施一樣，并非萬靈藥，但當(dāng)它們與全面的企業(yè)安全控制和工具智能結(jié)合使用時(shí)，可以使企業(yè)主動(dòng)識(shí)別其環(huán)境中的惡意活動(dòng)，獲取有價(jià)值的威脅情報(bào)，根據(jù)觀察到的現(xiàn)實(shí)世界活動(dòng)優(yōu)化其防御，并測試其企業(yè)在檢測和響應(yīng)惡意活動(dòng)方面的能力。