“密罐”是什么?这里我引用了百度百科的定义。“蜜罐”本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
在这次网络安全攻防演练活动中,有一个特征非常明显,这就是网络安全的非对称性。一方面对于攻击方而言,只要能找到一个弱点,就有可能达成攻陷网络的目的。另一方面,防守方也在广泛利用非对称性,构建攻击方不了解的内网环境,进而诱骗攻击方暴露攻击行为。而“蜜罐”产品的出现正是基于防守方的非对称思维,并且在实际应用中取得了不错的效果。
可是昨天,某电信公司披露,因为其使用的“蜜罐”产品存在漏洞,攻击方攻陷“蜜罐”以后直接进入了它的内网。这则消息,导致很多公司开始讨论使用蜜罐产品的安全性,甚至少数公司直接关停了自己的“蜜罐”。
针对这则消息,我觉得有两点需要澄清。
一、没有任何产品是绝对安全的,包括“蜜罐”
很多厂商会吹嘘自己的网络安全产品,我们自己给领导呈交报告时也会报喜不报忧。但无论吹得怎么天花乱坠,无论看起来如何无懈可击,我们必须清醒的意识到:网络安全风险一直存在,信息系统越是复杂,安全漏洞越是不可避免。
“蜜罐”产品也是一样,新型的“蜜罐”产品往往整合了蜜数据库、蜜网站、蜜域名、蜜文件等一系列功能,诱骗性和实用性不断增强。而与此同时,“蜜罐”的复杂性导致安全漏洞不可避免,我们绝不能因为漏洞而对“蜜罐”进行全盘否定,而是应该思考为什么会出现这款产品,它对网络安全防护工作是否有帮助,这才是我们部署“蜜罐”的初心。
二、安全产品的部署比购买更重要
部分企业的领导会有这样的错觉,只要把所有安全产品都买上,就没有安全问题了。所以他们宁可花几千万买一个“态势感知”,也不愿花几万请一个安全工程师。
回过头来看某电信公司的“蜜罐”部署,我们可以看到,这种将“蜜罐”和内网部署到一起的方式是多么荒谬,黑客在拿下“蜜罐”后,也直接拿下了内网。示意拓扑如下。
错误的蜜罐部署示意图
正确的“蜜罐”部署其实很简单,只要遵守一个原则:蜜罐绝不要和内网相连,蜜罐也要做访问控制策略。只要增加一根网张、一个防火墙就可以解决问题,它的成败真正缺少的是靠谱的工程师。
建议的蜜罐部署示意图
所以我坚持认为,“蜜罐”产品仍会是未来一段时间里安全产品的重要组成部分。这次争议也告诉我们,网络安全防护工作应该始终在路上,需要随着攻击手段的发展而升级,如果我们始终站在原地不动,那么只会变得不堪一击。
网友评论