高交互蜜罐和低交互蜜罐有什么區(qū)別？

蜜罐是一種用于檢測和警告攻擊者惡意活動(dòng)的誘餌系統(tǒng)。智能蜜罐解決方案可以將黑客從您的真實(shí)數(shù)據(jù)中心轉(zhuǎn)移，讓您更詳細(xì)地了解他們的行為，而不會(huì)干擾數(shù)據(jù)中心或云性能。

蜂蜜罐的部署方法不同于誘餌的復(fù)雜性。通過它們的參與程度或交互程度，對不同類型的蜂蜜罐進(jìn)行分類的一種方法。企業(yè)可選擇低交互式蜂蜜罐、中型交互式蜂蜜罐或高交互式蜂蜜罐。讓我們來看看關(guān)鍵的差異，以及每個(gè)利弊。

選用低交互蜜罐

低交互式蜜罐只能讓攻擊者有限地訪問操作系統(tǒng)。“低交互”這意味著對手不能在任何深度上與你的誘餌系統(tǒng)互動(dòng)，因?yàn)樗且粋€(gè)更靜態(tài)的環(huán)境。低交互蜜罐通常模仿少量的互聯(lián)網(wǎng)協(xié)議和網(wǎng)絡(luò)服務(wù)，足以欺騙攻擊者，而不是更多。通常，大多數(shù)企業(yè)都會(huì)模擬TCP和IP這使得攻擊者認(rèn)為它們與真實(shí)的系統(tǒng)相連，而不是蜂蜜罐環(huán)境。

低交互蜜罐易于部署，不允許訪問真正的rootshell，不使用大量資源進(jìn)行維護(hù)。然而，低交互式蜂蜜罐可能不夠有效，因?yàn)樗皇菣C(jī)器的基本模擬。它可能不會(huì)欺騙攻擊者參與攻擊，它肯定不足以捕捉復(fù)雜的威脅，比如零日攻擊。

高互動(dòng)蜜罐是更有效的選擇嗎？

高交互蜜罐是欺騙技術(shù)規(guī)模的另一端。攻擊者提供真實(shí)的攻擊系統(tǒng)，而不是簡單地模擬某些協(xié)議或服務(wù)，這大大降低了他們被轉(zhuǎn)移或觀察的可能性。由于系統(tǒng)只作為誘餌出現(xiàn)，所以發(fā)現(xiàn)的任何流量都是惡意的，所以很容易發(fā)現(xiàn)威脅，跟蹤和跟蹤攻擊者的行為。通過使用高交互式蜂蜜罐，研究人員可以了解攻擊者用于升級(jí)權(quán)限的工具，或者他們橫向移動(dòng)，試圖找到敏感數(shù)據(jù)。

利用當(dāng)今最先進(jìn)的動(dòng)態(tài)欺騙方法，高交互式蜂蜜罐可以適應(yīng)每一個(gè)事件，使攻擊者更不可能意識(shí)到他們在使用誘餌。如果您的供應(yīng)商團(tuán)隊(duì)或內(nèi)部團(tuán)隊(duì)有一個(gè)幕后研究部門來發(fā)現(xiàn)新的和新興的網(wǎng)絡(luò)威脅，這可能是讓他們學(xué)習(xí)最新戰(zhàn)術(shù)和趨勢的好工具。

當(dāng)然，高交互蜂蜜罐最大的缺點(diǎn)是建立誘餌系統(tǒng)所需的時(shí)間和精力，然后長期保持監(jiān)控，以降低貴公司的風(fēng)險(xiǎn)。對許多人來說，中等交互式蜂蜜罐策略是最好的平衡，它比創(chuàng)建一個(gè)完整的物理或虛擬化系統(tǒng)來轉(zhuǎn)移攻擊者的風(fēng)險(xiǎn)更小，但功能更多。這些仍然不適用于零日攻擊等復(fù)雜威脅，但可能針對尋找特定漏洞的攻擊者。例如，可以模擬中型交互蜜罐MicrosoftIISWeb具有足夠復(fù)雜的功能來吸引研究人員需要更多信息的特定攻擊。

使用高交互蜜罐時(shí)降低風(fēng)險(xiǎn)

使用高交互式蜂蜜罐是利用欺騙技術(shù)欺騙攻擊者并從試圖破壞中獲取最多信息的最佳方式。復(fù)雜的蜜罐可以模擬多個(gè)主機(jī)或網(wǎng)絡(luò)拓?fù)?，包括HTTP和FTP服務(wù)器和虛擬IP地址。該技術(shù)可以用獨(dú)特的被動(dòng)指紋來識(shí)別返回的黑客。您還可以使用您的蜂蜜罐解決方案來區(qū)分內(nèi)外欺騙，以免受到東西方和南北移動(dòng)網(wǎng)絡(luò)的威脅。

當(dāng)你選擇使用蜂蜜罐技術(shù)作為一個(gè)分支的安全解決方案時(shí)，最容易降低使用高交互式蜂蜜罐的風(fēng)險(xiǎn)。微分段技術(shù)是從蜂蜜罐誘餌中，可以從蜂蜜罐誘餌中分割你的實(shí)時(shí)環(huán)境，以確保攻擊者不能水平移動(dòng)敏感數(shù)據(jù)。使用您從孤立的攻擊者那里收集的信息，您可以強(qiáng)制執(zhí)行并加強(qiáng)戰(zhàn)略創(chuàng)建，以減少您的整體安全性。

了解低、中、高交互式蜂蜜罐解決方案之間的差異可以幫助您為您的公司做出明智的選擇。雖然低交互式蜂蜜罐可能容易部署，風(fēng)險(xiǎn)低，但真正的好處來自于使用強(qiáng)大的、多種方法來破壞檢測和使用最新的高交互式蜂蜜罐技術(shù)的事件響應(yīng)。為最終安全起見，采用微分段解決方案保證蜜罐的隔離環(huán)境。這讓你放心，當(dāng)你得到蜜罐解決方案的回報(bào)時(shí)，你不會(huì)面臨不必要的風(fēng)險(xiǎn)。