设置蜜罐以检测恶意网络活动

Question

因此，在网络世界中，人们试图访问客户端机器并执行横向移动。蜜罐通常被用来给他们一个容易的访问点，并向他们展示一个不利或假的环境，所以他们离开之前，做任何真正的伤害，入侵被记录，网络是安全的。

根据我的理解，至少从理论上讲，蜜罐应该是这样工作的。然而，最近我被赋予了建立一个的任务，当我看到一对夫妇存在的时候，我很好奇蜜罐到底能做些什么来保护你的网络安全？

如果他们能够进入蜜罐，横向移动是否仍然能够实现，或者蜜罐是否有某种软件来使攻击者成为一个活生生的噩梦？

Answer 1

这取决于你正在使用的蜜罐。如果您使用的是只模拟某些服务的低或中等交互蜜罐，则攻击者能够突破蜜罐的可能性非常低(除非他在蜜罐本身发现了一个bug )。

如果您正在使用完整的交互蜜罐，如真正的Windows机器，攻击者很有可能使用蜜罐作为攻击其他计算机(在您的网络或互联网上)的起点。因此，您必须在蜜罐和网络的其他部分之间放置一个所谓的“蜜罐”，这将基本上阻止试图离开蜜罐的恶意通信。蜜罐基本上是你选择的IPS/防火墙/WAF的组合。

即使使用蜜罐墙，您也不能100%确定攻击者无法突破蜜罐。这是因为必须允许某些通信量离开蜜罐，以便攻击者从攻击中获得反馈，但必须防止恶意通信流破坏蜜罐之外的其他机器以离开蜜罐。找到正确的平衡是相当困难的，而且风险总是存在的。