我很想看看这里是否有人管理大型环境(200-500 台服务器)并拥有非常大的公共客户群(100,000+),是否已经设置(或至少考虑设置)蜜罐?我对那些为讨厌/邪恶/敌对网络提供服务的人特别感兴趣。
如果你设置了一个,你能详细说明你的经验吗?事实上,如果您不认为您的环境很大,请发表评论,即使是包含一些恶意网络的小环境也是完美的!
我打算在我工作的地方设立一个,但自然而然地,这将与管理层的几场战斗开始,自然而然。存在风险 - 最大的风险是设置不正确,并且您的生产服务器加入了您的蜜罐“集群”,或者只是有关您的网络的信息泄露(任何信息都是太多信息)。
生产蜜罐
生产蜜罐用于帮助组织保护其内部 IT 基础设施,而研究蜜罐用于收集证据和信息,以研究黑客或黑帽犯罪攻击的模式和动机。
生产蜜罐对组织尤其是商业组织很有价值,因为它有助于减少或减轻特定组织面临的风险。生产蜜罐通过监管其 IT 环境以识别攻击来保护组织。这些生产蜜罐可用于捕获具有犯罪意图的黑客。生产蜜罐的实施和部署比研究蜜罐相对容易。
你想要Honeyd - Honeyd 是一个在网络上创建虚拟主机的小守护进程。可以将主机配置为运行任意服务,并且可以调整它们的个性,使它们看起来像是在运行某些操作系统。Honeyd 使单个主机能够在 LAN 上声明多个地址 - 我已经测试了多达 65536 个 - 在 LAN 上进行网络模拟。Honeyd 通过提供威胁检测和评估机制来提高网络安全。它还通过将真实系统隐藏在虚拟系统中间来威慑对手。
蜜罐对任何环境都非常有用,它们不需要花哨或疯狂。
我们做的例子:
- 在邮箱或邮件服务器(比如 userX)上创建一个虚假帐户,在他的邮箱中有一些虚假链接(用户目录链接、支付链接等都指向内部服务器)。现在我们通过日志监控对这些页面的任何访问,我们知道如果我们看到对它们的访问是因为有人正在阅读其他人的电子邮件或破坏了系统。
- 将具有未使用 IP 的未发布系统添加到我们的网络。对它们的任何访问都可能是由扫描或配置错误的系统引起的(是的,它发生了)。
还有许多其他的东西......这些小“蜜罐”非常容易设置,而且好处是惊人的。我们甚至让一名系统管理员因查看虚假工资单链接而被解雇。
我必须直言不讳地说,如果我是你的经理,我会在这个想法开始之前就关闭它。在大型 IT 环境中设置蜜罐存在太多风险和零收益。
你能详细说明你为什么要这样做吗?蜜罐不是主要局限于安全研究人员吗?你想达到什么目的?