攻防演练中的蜜罐,不在于他有多蜜,而在于他有多密
在电影《达芬奇密码里》,馆长在临死前透露Keystone在巴黎圣苏比教堂里的玫瑰经线下,实际上这就是一个蜜罐,通过圣杯守护者投递,一旦有人去取,就会触发反制。
蜜罐出现比较老了,以前没什么用,但是现在又开始火了。
如果攻防演练的时候你没有蜜罐,那你可能一开始就输了。
虽然你可能在各个区域都部署了全流量探针,但是你还是需要一个蜜罐。
一个独立的系统,作为全流量分析的补充,防止你全流量探针挂掉的时候他还是工作的,而且这个系统是简单的
成本远低于全流量探针,在树莓派上安装个免费开源的分布式蜜罐,就可以二级单位乱放
蜜和密
攻防演练中的蜜罐,不在于他有多蜜,而在于他有多密!!!
而这个密,也包含两重意思。
蜜我们可以认为是仿真度,但是仿真度意义不大。
为什么甜蜜的“蜜”没有意义
攻防中,我们部署蜜罐的目的在于
消耗攻击队资源
发现攻击队《ATT&CK网络攻击入侵分类说明指南》里面说到的Discovery,也就是内网扫描
溯源反制
只有最长的那条才是最重要的。蜜罐仿真的成本很高,定制类的仿真不亚于一个系统建设的成本,但是不管怎么样,还是很容易被攻击队识别到。所以,有钱也不要投入在这里。
“密”所包含的两重意思:密集和秘密
能有多密集???
蜜罐的形态有高交互蜜罐、低交互蜜罐和无交互蜜罐,部署位置或者说入口可以是外网、内网、主机、域名子目录、邮件账户、GitHub、服务器或者终端桌面、数据库或配置文件中。
所以可以密集到排列组合上面的所有组合。
高交互蜜罐
高交互蜜罐只是用来消耗攻击队时间,不处置,因为扫描导致的误报率太高了,所以布了就算了,可以部署在外网,内网。
部署在外网的,需要考虑监管部门的通报,部署使用的域名可以使用历史上有出过问题,在网络空间资产搜索引擎里被记录存在问题的域名。
一旦攻击队在网络空间资产搜索引擎里查到问题域名,他就会陷入。
高交互蜜罐从系统二级目录引流
比如把门户网站的/admin目录导向蜜罐,如果你是使用反向代理,这个事情做起来比较容易。
低交互蜜罐分布式部署到各个安全域
使用分布式蜜罐,每个二级单位放一个,每个网段放一个,把所有空余IP全部利用起来,如果一个C段有10个IP是业务IP,那蜜罐就监听255-10吧!
主机EDR类起端口型蜜罐
如果你蜜罐部得多,攻击队会变得小心,他只会扫描他所控制的服务器历史上连接过的IP,这时候主机EDR监测就起到很大的作用了。
邮件诱饵发到每个账户
发送类似“VPN账户信息”到部分账户。
文件诱饵放到每个服务器、每个终端
不嫌麻烦,你投递诱饵的同时,实际上也是在向终端用户宣贯,不要把明文密码放在邮件系统和电脑里。
蜜标放在数据库内
比如把蜜标放到用户表里,一旦有人拖库,从审计平台可能可以感知到。
需要多秘密???
不要告诉别人你布了蜜罐(我是违反了这条规则了。。。),采购蜜罐的招投标项目名字换个吧,提醒蜜罐厂商从他的官网和PPT案例库里把你删除掉
蜜罐监听的端口最好不要有任何回应,黑暗森林法则,有回应,就会被识别。退化到只检测
邮件诱饵不要放跟踪代码,太容易被识别,Word、PDF还可。
可以经常变换IP,业务和蜜罐IP都可以变
这么多蜜罐,看起来好乱
蜜罐部得太多,特别是起了很多IP、网站和二级目录,会对你的网络环境有很大的干扰,但是这个没关系,互联网上从来就是垃圾比有用的多得多,你需要使用一个系统管理起来。
在前面说到的投递、变更和回收,如果你有反代,有EDR,这些事情会比较容易做。比如反代有API,你一秒可以部署很多个二级目录的蜜罐入口出来。
比如邮件诱饵的投递,如果你只是群发邮件,那邮件发送的时间太接近攻防演练时间,邮件的内容变更麻烦,回收麻烦。如果邮件系统天然支持邮件诱饵的投递,那一切会变得简单,比如可以任意伪造发送时间,打开邮件跟踪,就放在系统直接做掉。