蜜罐是IT专业人员,他们布置了恶意黑客,并希望他们能够以提供有用智能的方式与他们互动。这是IT中最古老的安全措施之一,但请注意,即使在孤立的系统上,黑客入侵您的网络也是一种危险的游戏。蜜罐是一种计算机或计算机系统,旨在模仿可能的网络攻击目标。通常情况下,蜜罐会故意配置已知的漏洞,为攻击者创造更多诱人或明显的目标。蜜罐不包含生产数据或参与网络上的合法流量,这就是您可以使用攻击来确定正在发生的事情的方式。
蜂蜜罐子
蜜罐类型
蜜罐分类有两种不同的方案:一种基于蜜罐的构建方式,另一种基于蜜罐的使用方式。
纯蜂蜜罐的方式是攻击者诱使配置物理服务器。特殊监控软件将密切关注蜜罐与网络其余部分之间的连接。由于这些是成熟的机器,它们为攻击者提供了更现实的目标,但是攻击者可能会转换蜜罐创建者上的表并使用蜜罐作为攻击的临时服务器。他们的配置和管理也是劳动密集型的。
虚拟机使用高度交互的蜜罐来维持对系统隔离的潜在损害。多个虚拟蜜罐可以在单个物理设备上运行。这样可以更容易地扩展到多个蜜罐和沙箱损坏的系统,然后关闭它们并重新启动它们以恢复其原始状态。但是,每个VM仍然是一个成熟的服务器,具有所有相关的配置成本。
低交互蜜罐是一种虚拟机,它只运行一组有限的服务,代表攻击媒体团队构建的最常见的攻击媒介或蜜罐。这种类型的蜜罐更容易设置和维护,消耗资源更少,但更可能对攻击者“假”。
分离蜜罐的另一种方法是建立它们背后的意图:研究蜜罐和蜜罐。两者之间的差异进入了蜜罐实际使用的杂草,因此我们将在下一步中讨论它们。
蜜罐和蜜网之间的区别
蜜网是蜜罐概念的合理延伸。蜜罐是一个独立的机器(或虚拟机),而蜜网是一系列联网的蜜罐。当然,攻击者不仅想在受害者的基础设施上找到一台机器,而且还想找到许多不同类型的服务器。例如,通过观察攻击者从文件服务器移动到网络上的网络服务器,您将更好地了解他们正在做什么以及他们如何做 - 而且他们更愿意购买他们真正违反的幻想。你的网络。蜜网的一个关键特性是它们充当真实的网络连接和交互,因为仿真或抽象层将是一个暗示。蜜罐和蜜网是所谓的欺骗技术的基础。欺骗性产品通常包括蜜罐和蜜网,但也可以在生产服务器上放置“诱饵”文件。这个类别“或多或少是指现代的,动态的蜜罐和蜜网。”最大的区别在于欺骗技术包括自动化,允许工具实时响应攻击,吸引攻击者欺骗资产而不是真正的对手。
蜜罐技术本质上是一种通过将一些主机,网络服务或信息安排为诱饵以诱使黑客攻击它们来欺骗攻击者的技术,从而可以监视和分析攻击以了解攻击者。用于推测攻击意图和动机的工具和方法使公司能够清楚地了解他们面临的安全威胁,并通过技术和管理增强现有系统的安全功能。
我们的影子攻击诱捕系统(以下简称影子)是基于欺诈技术设计和开发的内联网威胁感知系统。它可以全面提高内网发现,记录和源攻击行为的能力。作为一种新型的网络威胁防御技术,除了普通勒索软件,鱼叉式网络钓鱼,侦察和凭证窃取的有效检测功能外,欺骗技术还可以检测,分析和防御APT等高级攻击,如“0day”。最有效的技术产品之一。
Shadow支持实时捕获和检测全流量,高精度网络威胁,定位威胁源并监控各种攻击;通过元数据,漏洞数据,资产信息,安全事件,运营状态,审计日志,威胁情报全面记录和分析此类警报,增强了检测和跟踪定向攻击,高级威胁以及实现潜在威胁的持续检测的能力未知的威胁。
影子系统的行为检测机制可以准确有效地识别各种已知的攻击。同时,利用HIDS和其他技术,它可以有效地检测系统事件的发生,如进程,线程,网络,系统日志,注册表,服务,崩溃等,并可以检测到攻击者并及时隔离它们,完全基于模式匹配技术解决网络问题。安全产品依靠签名签名的数量来检测攻击的弊端,大大提高了检测效率,扩大了检测范围。
据统计,对于网络入侵,企业的平均响应时间可达99天。对于受到黑客严重关注的政府和金融等行业,欺骗技术可以大大缩短事故修复时间并最大限度地减少信息泄露。 。
网络钓鱼平台目前被政府,执法机构和财富500强公司用于证明欺骗技术和IT安全专业知识的有效性。它运行自动欺骗陷阱来检测并响应零误报的攻击。