生产蜜罐

生产蜜罐

我很想知道,这里有没有人管理着一个大型环境(200-500 台服务器),并且拥有非常庞大的公共客户群(100,000+),并且已经设置了(或至少考虑过设置)蜜罐?我特别感兴趣的是那些为恶意/邪恶/敌对网络提供服务的人。

如果你已经设置了,可以详细说明一下你的体验吗?事实上,如果你考虑到您的环境很大,即使包含一些敌对网络的小环境也是完美的!

我计划在我工作的地方建立一个,但这自然会从管理层的几场斗争开始。这有风险——最大的风险是设置不正确,你的生产服务器加入了你的蜜罐“集群”,或者只是你的网络信息泄露(任何信息都是太多的信息)。


生产蜜罐

生产蜜罐用于协助组织保护其内部 IT 基础设施,而研究蜜罐用于积累证据和信息,以研究黑客或黑帽犯罪分子的攻击模式和动机。

生产蜜罐对组织(尤其是商业组织)很有价值,因为它有助于降低或减轻特定组织面临的风险。生产蜜罐通过监管其 IT 环境来识别攻击,从而确保组织的安全。这些生产蜜罐有助于抓捕有犯罪意图的黑客。生产蜜罐的实施和部署相对比研究蜜罐容易。

答案1

你要霍尼德- Honeyd 是一个小型守护进程,可在网络上创建虚拟主机。主机可配置为运行任意服务,并可调整其个性,使其看起来像是在运行某些操作系统。Honeyd 允许单个主机在 LAN 上声明多个地址(我已测试了多达 65536 个地址)以进行网络模拟。Honeyd 通过提供威胁检测和评估机制来提高网络安全。它还通过将真实系统隐藏在虚拟系统中间来阻止对手。

答案2

蜜罐对于任何环境都极其有用,而且它们不需要任何花哨或疯狂的东西。

我们所做的示例:

-在邮件服务器(例如 userX)上创建一个虚假帐户,并在其邮箱中放置一些虚假链接(用户目录链接、付款链接等,均指向内部服务器)。现在我们通过日志监控对这些页面的任何访问,并且我们知道,如果我们看到对这些页面的访问,那是因为有人在阅读其他人的电子邮件或入侵了系统。

-将未发布的系统和未使用的 IP 添加到我们的网络。对它们的任何访问都可能是由扫描或配置错误的系统引起的(是的,确实会发生这种情况)。

还有许多其他事情……这些小“蜜罐”很容易设置,而且好处多多。我们甚至有一位系统管理员因为查看了虚假的工资单链接而被解雇。

答案3

我必须直言不讳地说,如果我是你的经理,我会在这个想法开始之前就将其扼杀。在大型 IT 环境中设置蜜罐的风险太大,而且没有任何好处。

你能详细说明一下吗为什么你会想这么做吗?蜜罐不是主要限于安全研究人员吗?你想要实现什么目标?

相关内容