在电影《达芬奇密码里》,馆长在临死前透露Keystone在巴黎圣苏比教堂里的玫瑰经线下,实际上这就是一个蜜罐,通过圣杯守护者投递,一旦有人去取,就会触发反制。

蜜罐出现比较老了,以前没什么用,但是现在又开始火了。

如果攻防演练的时候你没有蜜罐,那你可能一开始就输了。

虽然你可能在各个区域都部署了全流量探针,但是你还是需要一个蜜罐。

  • 一个独立的系统,作为全流量分析的补充,防止你全流量探针挂掉的时候他还是工作的,而且这个系统是简单的
  • 成本远低于全流量探针,在树莓派上安装个免费开源的分布式蜜罐,就可以二级单位乱放

蜜和密

攻防演练中的蜜罐,不在于他有多蜜,而在于他有多密!!!

而这个密,也包含两重意思。

蜜我们可以认为是仿真度,但是仿真度意义不大。

为什么甜蜜的“蜜”没有意义

攻防中,我们部署蜜罐的目的在于

  • 消耗攻击队资源
  • 发现攻击队《ATT&CK网络攻击入侵分类说明指南》里面说到的Discovery,也就是内网扫描
  • 溯源反制

只有最长的那条才是最重要的。蜜罐仿真的成本很高,定制类的仿真不亚于一个系统建设的成本,但是不管怎么样,还是很容易被攻击队识别到。所以,有钱也不要投入在这里。

“密”所包含的两重意思:密集和秘密

能有多密集???

蜜罐的形态有高交互蜜罐、低交互蜜罐和无交互蜜罐,部署位置或者说入口可以是外网、内网、主机、域名子目录、邮件账户、GitHub、服务器或者终端桌面、数据库或配置文件中。

所以可以密集到排列组合上面的所有组合。

高交互蜜罐

高交互蜜罐只是用来消耗攻击队时间,不处置,因为扫描导致的误报率太高了,所以布了就算了,可以部署在外网,内网。

部署在外网的,需要考虑监管部门的通报,部署使用的域名可以使用历史上有出过问题,在网络空间资产搜索引擎里被记录存在问题的域名。

一旦攻击队在网络空间资产搜索引擎里查到问题域名,他就会陷入。

高交互蜜罐从系统二级目录引流

比如把门户网站的/admin目录导向蜜罐,如果你是使用反向代理,这个事情做起来比较容易。

低交互蜜罐分布式部署到各个安全域

使用分布式蜜罐,每个二级单位放一个,每个网段放一个,把所有空余IP全部利用起来,如果一个C段有10个IP是业务IP,那蜜罐就监听255-10吧!

主机EDR类起端口型蜜罐

如果你蜜罐部得多,攻击队会变得小心,他只会扫描他所控制的服务器历史上连接过的IP,这时候主机EDR监测就起到很大的作用了。

邮件诱饵发到每个账户

发送类似“VPN账户信息”到部分账户。

文件诱饵放到每个服务器、每个终端

不嫌麻烦,你投递诱饵的同时,实际上也是在向终端用户宣贯,不要把明文密码放在邮件系统和电脑里。

蜜标放在数据库内

比如把蜜标放到用户表里,一旦有人拖库,从审计平台可能可以感知到。

需要多秘密???

  • 不要告诉别人你布了蜜罐(我是违反了这条规则了。。。),采购蜜罐的招投标项目名字换个吧,提醒蜜罐厂商从他的官网和PPT案例库里把你删除掉
  • 蜜罐监听的端口最好不要有任何回应,黑暗森林法则,有回应,就会被识别。退化到只检测
  • 邮件诱饵不要放跟踪代码,太容易被识别,Word、PDF还可。
  • 可以经常变换IP,业务和蜜罐IP都可以变

这么多蜜罐,看起来好乱

蜜罐部得太多,特别是起了很多IP、网站和二级目录,会对你的网络环境有很大的干扰,但是这个没关系,互联网上从来就是垃圾比有用的多得多,你需要使用一个系统管理起来。

在前面说到的投递、变更和回收,如果你有反代,有EDR,这些事情会比较容易做。比如反代有API,你一秒可以部署很多个二级目录的蜜罐入口出来。

比如邮件诱饵的投递,如果你只是群发邮件,那邮件发送的时间太接近攻防演练时间,邮件的内容变更麻烦,回收麻烦。如果邮件系统天然支持邮件诱饵的投递,那一切会变得简单,比如可以任意伪造发送时间,打开邮件跟踪,就放在系统直接做掉。