在企业环境中建立蜜罐

Question

我感兴趣的是，这里是否有人管理大型环境(200-500台服务器)，拥有非常大的公共客户群(100,000+)，是否已经(或至少考虑过建立)蜜罐？我对那些为恶劣/邪恶/敌对网络提供服务的人特别感兴趣。

如果你已经建立了一个，你能详细说明你的经验吗？事实上，如果你不认为你的环境很大，即使是包含一些敌对网络的小环境也是完美的！

我计划在我工作的地方设置一个，但自然地，这将从管理层的几场战斗开始。存在风险--最大的风险是没有正确设置，生产服务器加入了您的蜜罐“集群”，或者只是网络信息泄漏(任何信息都是太多的信息)。

生产蜜罐

生产蜜罐用于帮助组织保护其内部IT基础设施，而研究蜜罐则用来积累证据和信息，以研究黑客或黑帽犯罪的攻击模式和动机。

生产蜜罐对组织特别是商业组织是有价值的，因为它有助于减少或减轻特定组织面临的风险。生产蜜罐通过管理其IT环境来识别攻击来确保组织的安全。这些生产蜜罐在捕捉有犯罪意图的黑客方面很有用。生产蜜罐的实现和部署相对于研究蜜罐相对容易。

Answer 1

您需要哈尼德 - Honeyd是一个小守护进程，它在网络上创建虚拟主机。可以将主机配置为运行任意服务，并且可以调整它们的个性，使它们看起来像是在运行某些操作系统。Honeyd使单个主机能够在局域网上声明多个地址--我已经测试了多达65536个地址--以进行网络模拟。Honeyd通过提供威胁检测和评估机制来改进网络安全。它还通过将真实系统隐藏在虚拟系统的中间来阻止对手。

Answer 2

蜜罐对任何环境都是非常有用的，它们不需要有任何花哨或疯狂的东西。

我们所做的例子：

-Create一个在或邮件服务器上的假帐户(比如userX)，他的邮箱中有一些假链接(比如用户目录链接、支付链接等等)，这些链接都指向内部服务器。现在，我们通过日志监视对这些页面的任何访问，我们知道，如果我们看到访问它们，是因为有人正在读取他人的电子邮件或系统崩溃。

-Add是一个未发布的系统，它不使用IP到我们的网络.对它们的任何访问都可能是由扫描或配置不良的系统造成的(是的，确实发生了)。

还有很多其他的事情。这些小“蜜罐”是如此容易设置和好处是惊人的。我们甚至有一个系统管理员因为查看假工资链接而被解雇。

Answer 3

我必须直截了当地说，如果我是你的经理，我会在这个想法开始之前就关闭它。在大型IT环境中建立蜜罐有太多的风险和零收益。

你能详细解释一下你为什么要这么做吗？蜜罐不是主要局限于安全研究人员吗？你想达到什么目的？