Honeypots

Grundlagen zu Honeypots

蜂蜜罐有许多应用和应用。, 防止恶意数据从关键系统传输, 对正在进行的攻击发出早期预警, 在关键系统受到影响并收集有关攻击者及其方法的信息之前. 如果蜜罐不包含真正的机密数据，并且受到良好的监控, 你可以了解这些工具, 收集攻击者的战术和程序(TTP)，并收集法医和法律证据。, 在不危及网络其他部分的情况下.

为了让蜜罐发挥作用，这个系统应该看起来合法。. Es sollte Prozesse ausführen, 如预期的那样运行在生产系统中，显然包含重要的假文件. Jedes System kann zum Honeypot werden, 如果配置了正确的嗅探和日志记录功能. Es empfiehlt sich, 把蜜罐放在公司防火墙后面, 因此，您不仅可以确保关键的日志记录和警报功能, 但它也阻止了传出的数据流量, 这样就不会使用受损的蜜罐, um andere interne Assets anzugreifen.

Forschungs- vs. Produktions-Honeypots

就目标而言，有两种类型的蜜罐:研究蜜罐和生产蜜罐. 研究蜜罐收集有关攻击的信息，专门用于调查最广泛意义上的恶意行为。. 您从您的环境和全球收集关于 Trends unter Angreifern, Malware-Versionen und Sicherheitslücken被黑客积极攻击的地方. 你可以从中获得防御信息, 优先考虑补丁和吸引未来投资.

另一方面，用于生产的蜜罐处理这个问题。, 检测和欺骗内部网络中的主动妥协. 收集信息是重中之重, 因为“蜜罐”为你创造了额外的监视能力，并在你的电脑上发现了常见的漏洞。 Identifizierung von Netzwerkscans und der Ausbreitung im Netzwerk füllen. 用于生产的蜜罐与其他生产服务器兼容，并执行服务。, 通常在您的环境中执行的. 用于研究的蜜罐通常比用于生产的蜜罐更复杂，存储的数据类型也更多。.

Honeypot-Komplexität kann variieren.

根据您公司需求的复杂性，用于生产和研究的蜜罐被划分为不同的级别:

• Pure Honeypot: 这是一个完全模仿的全尺寸生产系统。, das auf verschiedenen Servern läuft. 它包含“机密”数据和用户信息，以及许多传感器。. 尽管它们可能很复杂，维护起来也不容易。, 他们所获得的信息是必不可少的.
• High-interaction Honeypot: 这相当于一个“纯”或纯蜜罐。, da er jede Menge Services ausführt, 但没有那么复杂，也没有那么多数据. 高度互动的蜜罐不是为了这个目的而设计的, 模仿整个规模的完整生产系统, 但他们(假定)执行所有服务, 也可以在生产系统中运行, 包括一个合适的操作系统. 这种蜜罐使公司能够, das ihn bereitstellt, 看到攻击者的行为和方法. 高度互动的蜜罐是资源密集型的，需要一些维护。, 但结果弥补了额外的努力。.
• Mid-interaction Honeypot: 它们代表了应用程序级的各个方面，但没有自己的操作系统。. Ihre Aufgabe ist es, 阻止或迷惑攻击者, damit Unternehmen mehr Zeit haben, herauszufinden, 他们如何正确应对这次袭击.
• Low-interaction Honeypot: 这种类型的蜜罐最常用于生产环境。. 低交互蜜罐执行少量服务，主要作为攻击早期预警系统。. 它们很容易部署和维护。, 许多安全团队在网络的不同段中使用多个蜜罐。.

Arten von Honeypots

目前使用的几种“蜜罐”技术包括: 

• Malware-Honeypots: 他们使用已知的复制和 Angriffsvektoren zur Erkennung von Malware. So wurden beispielsweise Honeypots (z. B. Ghost)设计用于模拟USB存储设备. 如果计算机被恶意软件感染, die über USB verbreitet wird, veranlasst der Honeypot die Malware, das nachgebildete Gerät zu infizieren.
• Spam-Honeypots: 它们用于模拟开放邮件分发和开放代理。. 垃圾邮件发送者首先通过发送自己的电子邮件来测试开放的邮件分发。. 如果成功，他们就会发送大量的垃圾邮件。. 这种类型的蜜罐可以检测到这个测试，并成功地阻止随后的大量垃圾邮件。.
• Database-Honeypot: Aktivitäten wie SQL-Injection 经常被防火墙忽略, was einige Unternehmen veranlasst, eine Datenbank-Firewall zu verwenden, die Honeypots unterstützt, um Köder-Datenbanken einzurichten.
• Client-Honeypots: 大多数蜜罐是监听连接的服务器. 客户端蜜罐主动搜索恶意服务器, die Client-Rechner angreifen, 并监控蜜罐中可疑和意外的变化. 这些系统通常使用虚拟化技术和遏制策略。, 将研究团队的风险降到最低.
• Honeynets: 蜂窝网络不是一个单一的系统，而是一个可以由多个蜜罐组成的网络。. Honeynets的目的是战略性地记录攻击者的方法和动机。, 同时阻止所有传入和传出的流量. 

Vorteile eines Honeypots

蜜罐为企业提供了许多安全优势, die sie implementieren, einschließlich dieser:

它们破坏了攻击者的成功，减缓了攻击者的进展。.

当攻击者在你周围移动, schauen sie sich um, 扫描网络并查找配置错误, anfälligen Geräten. 在这个阶段，他们很可能会拿出你的蜜罐。, der Sie benachrichtigt, 这样您就可以检查并阻止攻击者的访问. So können Sie reagieren, bevor der Angreifer die Chance hatte, 成功地从环境中检索数据. 恶意行为者有时会花相当多的时间在这上面, 处理蜜罐, 而不是专注于有真实数据的领域. 把注意力集中在一个无用的系统上是在浪费周期, 当您收到正在进行的攻击的早期警告时.

它们很简单，不需要维护。

现代蜜罐很容易下载和安装, 还可以提供关于危险错误配置和攻击者行为的准确警告消息. In einigen Fällen kommt es vor, dass Ihr Team vergisst, 曾经有过蜜罐, 直到有人在你的内部网络上闲逛. 与入侵检测系统不同，蜜罐不需要已知的攻击签名或最新信息。, um nützlich zu sein.

他们帮助你测试你对事件的反应.

蜜罐是一种低成本的选择, 使您的安全概念更加成熟, da sie testen, ob Ihr Team weiß, was zu tun ist, 当蜜罐发现意想不到的活动. 你的团队是否能够检查警告并采取适当的行动??

蜜罐不应该是你唯一的威胁检测策略, 但它们代表了另一层安全, 这可能有助于及早发现攻击. Sie sind eine der wenigen Methoden, 安全专家随时待命, 调查现实世界中的恶意行为，揭露内部网络的妥协. 了解更多关于其他技术的信息, 可以加强你的蓝队的防守? 看看我们的网站 Täuschungstechnologie.