蜜罐主動(dòng)防御技術(shù)詳細(xì)介紹

本篇文章主要探討j蜜罐這個(gè)主動(dòng)防御技術(shù)。內(nèi)容較為全面，有一定的參考價(jià)值，有需要的朋友可以參考一下，希望對(duì)大家有所幫助。

持續(xù)3周的HW總算是結(jié)束了，HW行動(dòng)中紅藍(lán)雙方使出渾身解數(shù)，開展***與反***的終極大戰(zhàn)。作為一名藍(lán)方人員，不僅看到了傳統(tǒng)防御技術(shù)在這次HW中的精彩表現(xiàn)，更感受到了主動(dòng)防御技術(shù)在HW中發(fā)揮的巨大作用，在我看來最典型的莫過于蜜罐了，紅方人員誤入蜜罐，被藍(lán)方人員捕捉到并進(jìn)行身份畫像，那我們就來聊聊蜜罐為何這么diao。

                                                            從被動(dòng)防御到主動(dòng)防御
    一直以來，被動(dòng)防御是通過面向已知特征的威脅，基于特征庫精確匹配來發(fā)現(xiàn)可疑行為，將目標(biāo)程序與特征庫進(jìn)行逐一比對(duì)，實(shí)現(xiàn)對(duì)異常行為進(jìn)行監(jiān)控和阻斷，這些特征庫是建立在已經(jīng)發(fā)生的基礎(chǔ)之上，這就很好的解釋了為什么被動(dòng)防御是一種“事后”的行為。典型的技術(shù)有防火墻、***檢測等。但是對(duì)于未知的***如0day，依賴于特征庫匹配的防御是無法有效應(yīng)對(duì)的，為了應(yīng)對(duì)這種***不對(duì)等的格局，主動(dòng)防御技術(shù)出現(xiàn)了，典型的技術(shù)有網(wǎng)絡(luò)空間擬態(tài)防御等。
                                                             引入主動(dòng)防御策略
    隨著***技術(shù)的進(jìn)一步提高，越來越多的方法可以繞過傳統(tǒng)的被動(dòng)防御技術(shù)來對(duì)目標(biāo)系統(tǒng)發(fā)動(dòng)***，傳統(tǒng)的被動(dòng)防御技術(shù)也引進(jìn)了主動(dòng)防御策略，如各大廠商推出的智能防火墻，思科的下一代防火墻、山石網(wǎng)科的智能防火墻，將人工智能技術(shù)引入防火墻來主動(dòng)發(fā)現(xiàn)惡意行為。除此之外，也有新型的主動(dòng)防御技術(shù)如沙箱、蜜罐等相繼出現(xiàn)，進(jìn)一步彌補(bǔ)了***不對(duì)稱的局面。這類技術(shù)主要解決“已知的未知威脅”，例如，蜜罐通過構(gòu)建偽裝的業(yè)務(wù)主動(dòng)引誘***者，從而捕獲行為。在HW期間，就存在將蜜罐偽裝成某服的×××映射在外網(wǎng)引誘***者***，從而迷惑***者，通過捕獲IP進(jìn)行封堵來提高***者的時(shí)間成本，也可對(duì)***者進(jìn)行溯源，但是蜜罐技術(shù)還是無法應(yīng)對(duì)0day。

                                                 沙箱技術(shù)
    沙箱技術(shù)源于軟件錯(cuò)誤隔離技術(shù)（software-based fault isolation,SFI）。SFI主要思想是隔離。沙箱通過采用虛擬化等技術(shù)構(gòu)造一個(gè)隔離的運(yùn)行環(huán)境，并且為其中運(yùn)行的程序提供基本的計(jì)算資源抽象，通過對(duì)目標(biāo)程序進(jìn)行檢測分析，準(zhǔn)確發(fā)現(xiàn)程序中的惡意代碼等，進(jìn)而達(dá)到保護(hù)宿主機(jī)的目的。如默安的架構(gòu)采用kvm，長亭采用的是docker。

    由于沙箱具有隔離性，惡意程序不會(huì)影響到沙箱隔離外的系統(tǒng)，而且沙箱還具有檢測分析的功能，來分析程序是否為惡意程序。但是還存在隱患，沙箱只監(jiān)控常見的操作系統(tǒng)應(yīng)用接口程序，使得一些惡意代碼能夠輕松繞過從而***宿主外的環(huán)境?；谔摂M機(jī)的沙箱為不可信資源提供了虛擬化的運(yùn)行環(huán)境，保證原功能的同時(shí)提供了相應(yīng)的安全防護(hù)，對(duì)宿主機(jī)不會(huì)造成影響?；谔摂M機(jī)的沙箱采用虛擬化和惡意行為檢測兩種技術(shù)，惡意行為檢測技術(shù)方法采用了特征碼檢測法和行為檢測法來進(jìn)行檢測，特征碼檢測對(duì)檢測0day無能為力，行為檢測可以檢測0day，但誤報(bào)率高。

蜜罐技術(shù)
    蜜罐技術(shù)起源于20世紀(jì)90年代，它通過部署一套模擬真實(shí)的網(wǎng)絡(luò)系統(tǒng)來引誘***者***，進(jìn)而在預(yù)設(shè)的環(huán)境中對(duì)***行為進(jìn)行檢測、分析，還原***者的***途徑、方法、過程等，并將獲取的信息用于保護(hù)真實(shí)的系統(tǒng)。廣泛應(yīng)用于惡意代碼檢測與樣本捕獲、***檢測與***特征提取、網(wǎng)絡(luò)***取證、僵尸網(wǎng)絡(luò)追蹤等。
    蜜罐之所以稱為蜜罐，是因?yàn)樵O(shè)計(jì)之初就是為了***者量身定做包含大量漏洞的系統(tǒng)，是用于誘捕***者的一個(gè)陷阱，本質(zhì)上一種對(duì)***者的一種欺騙技術(shù)，只有蜜罐在處于不斷被掃描、***甚至被攻破的時(shí)候，才能體現(xiàn)蜜罐的價(jià)值。蜜罐實(shí)際不包含任何敏感數(shù)據(jù)。可以這么說，能夠訪問蜜罐的，都是可疑行為，都可以確認(rèn)為***，從而采取下一步動(dòng)作。
    通過以上的分析，推出蜜罐具有三種能力：

    偽裝，通過模擬各種含有漏洞的應(yīng)用系統(tǒng)來引誘***者***以減少對(duì)實(shí)際系統(tǒng)的威脅。

    數(shù)據(jù)誘捕，***者如果攻入蜜罐，那么可以通過蜜罐日志記錄來還原***者從進(jìn)入到離開蜜罐期內(nèi)的所有活動(dòng)過程及其他信息。

    威脅數(shù)據(jù)分析，對(duì)***者的數(shù)據(jù)進(jìn)行分析，還原***者的***手法，并對(duì)此進(jìn)行溯源等。

    但同時(shí)，蜜罐也具有局限性，他只有***者***時(shí)才能發(fā)揮它自身的作用，如果***者沒有觸發(fā)蜜罐，那么蜜罐將毫無意義，所以現(xiàn)在我們更要關(guān)注如何讓***者能有效的觸碰到蜜罐，然后利用相關(guān)技術(shù)對(duì)此展開溯源。同樣，如果***者識(shí)別了該蜜罐，并且成功進(jìn)入，利用相關(guān)逃逸0day對(duì)蜜罐展開***（蜜罐記錄不到），那么蜜罐將會(huì)被當(dāng)成跳板機(jī)對(duì)其他真實(shí)業(yè)務(wù)展開***，危害巨大。

                                                                                     蜜罐分類
    蜜罐可以分為三類，低交互式蜜罐，中交互式蜜罐，高交互式蜜罐。
    低交互式蜜罐：通常是指與操作系統(tǒng)交互程度較低的蜜罐系統(tǒng)，僅開放一些簡單的服務(wù)或端口，用來檢測掃描和連接，這種容易被識(shí)別。
    中交互式蜜罐：介于低交互式和高交互式之間，能夠模擬操作系統(tǒng)更多的服務(wù)，讓***者看起來更像一個(gè)真實(shí)的業(yè)務(wù)，從而對(duì)它發(fā)動(dòng)***，這樣蜜罐就能獲取到更多有價(jià)值的信息。
    高交互式：指的是與操作系統(tǒng)交互很高的蜜罐，它會(huì)提供一個(gè)更真實(shí)的環(huán)境，這樣更容易吸引***者，有利于掌握新的***手法和類型，但同樣也會(huì)存在隱患，會(huì)對(duì)真實(shí)網(wǎng)絡(luò)造成***。
    在這次HW中，相當(dāng)大一部分蜜罐都部署在內(nèi)網(wǎng)當(dāng)中，部署在外網(wǎng)的蜜罐只有極少數(shù)，部署在外網(wǎng)的蜜罐可以檢測到的東西就多了，尤其綁定域名后，把***者迷惑的分不清東西南北。某廠商的蜜罐可以說在HW中大放光彩，只要***者對(duì)該蜜罐進(jìn)行訪問，在很大程度上就能夠獲取你的社交賬號(hào)ID，然后根據(jù)指紋信息還原***者身份畫像，這點(diǎn)我相信很多紅方?jīng)]有料到，從而被社工的很慘。至于用了什么技術(shù)我就不寫了，怕見不到第二天的太陽。蜜罐不僅能檢測***者的***手法，也能夠檢測到僵尸網(wǎng)絡(luò)，比如說這次HW中，有很多肉雞利用weblogic的漏洞自動(dòng)對(duì)外網(wǎng)發(fā)起***，然后植入***病毒等。公網(wǎng)蜜罐可以很好的檢測這種行為，進(jìn)而進(jìn)行信息收集或追蹤。

    以上就是蜜罐主動(dòng)防御技術(shù)的詳細(xì)內(nèi)容了，看完之后是否有所收獲呢？如果想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊！