蜜罐的潜在问题
在部署一个蜜罐或蜜网时,保密是极为重要的。如果每个人都知道这是一个陷阱,除了一些自动化的攻击工具(如一些蠕虫),不会有人尝试攻击它。还有一些蜜罐,特别是一些低交互性的蜜罐,由于其模拟的服务,会很容易就被攻击者识别出蜜罐的身份。对于一个复杂系统的任何模仿总与真实的系统有不同点。例如,可以有多种方法让一个程序决定它是否运行在一个虚拟机内部,并且恶意软件正日益增多地使用这些技术来与蜜罐技术对抗。可以这样说,攻击者正在想方设法找到检测蜜罐的手段和技术,而蜜罐制造者也在努力改善蜜罐,使得攻击者难于发现其“指纹特征”。
客户端的攻击框架仍然存在,这种攻击包含着一些自动化的机制,这使得用客户端蜜罐来检测和分析恶意Web服务器更加困难。例如,如果客户端蜜罐从一个特定的网络访问一个恶意服务器,客户端攻击就无法触发或只激发一次。由于不断重复的交互,恶意服务器将不可能再发动客户端攻击,这就使得安全人员在跟踪和分析恶意服务器及其攻击时遇到困难。
另外一个值得关注的问题是,如果一个高交互性的蜜罐被破坏或利用了,那么攻击者会尝试将它用作一个破坏或控制其它系统的垫脚石。理想情况下,蜜罐应当使用多种机制来防止这一点,操作人员应当紧密注意防止对无辜第三方的损害。
总结
在过去的这几年里,安全人员利用各种蜜罐技术已经收集了攻击者及其攻击方法的大量数据,而且我们期望这种趋势继续发展下去。现在,蜜罐正越来越多地被用于主流的应用中,并且安全人员可以使用的蜜罐工具也日益增多。我们尤其希望看到客户端蜜罐领域能有一个突破性的发展,因为我们看到浏览器的漏洞特别是IE的漏洞更是Windows平台的一个重要的威胁。Web应用程序是跨平台的应用中最为薄弱的环节。我们也看到,一些更新的应用程序,如VoIP和SCADA蜜罐也大行其道,这是因为对这些协议的滥用已经引起人们的重视。
蜜罐对于检测和分析攻击自有其优势和重要性,攻击者也会开发相应的技术来检测和避免蜜罐。Mpack这种漏洞利用框架已经在遵循这条路线。随着这些技术变得越来越流行和普遍,蜜罐也需要作出响应来使得攻击者的检测更加困难。分布式蜜网和不以虚拟化为基础的蜜网实施将会引起人们的重视。攻击者和安全研究人员的斗争将一直继续下去。但在目前,从总体上讲,蜜罐技术仍可为我们提供关于攻击者及其攻击方法的珍贵数据。
查看原文:http://security.ctocio.com.cn/securitycomment/319/8271319_2.shtml
