甜甜的享受蜜罐可帮企业紧盯内部威胁

发布时间：2014-08-13 15:58:26作者：知识屋

对于在企业网络中设置蜜罐，最广为人知的好处是了解恶意软件和的行为，但是我们通常推荐企业在内部网络安装互动功能较弱的蜜罐，以便对任何需要与其接触的行为作出报告。没有人会对蜜罐进行访问。因此可用蜜罐来寻找进行越权操作的受信任内部人员或合作伙伴。

　　最近的一个案例：笔者安装了一个Kfsensor蜜罐，打算帮老客户排除一个外部威胁。当微调软件以移除确定错误时，我们看到大量恶意的操作行为，包括端口扫描，对蜜罐电脑的RDP链接，NetBIOS登录和网站身份认证的尝试。当笔者调查IP源地址和姓名的时候，企业主恰好在旁边。

　　实施恶意行为的人被确认来自一家受信任外部电脑咨询公司，而笔者的客户雇请了该咨询公司的技术人员来安装防火墙。这名技术人员趁安装防火墙之际在未授权的情况下使用了客户的网络。

　　在找到这名技术人员并与其当面对质时，他给出的辩解前后不一。首先，他说自己是要找一个可以免费使用的IP地址来安装新的防火墙。而后，他又声称自己是在寻找广告服务以确保可以打开防火墙上的所有必要端口。后来，他反诘说自己拥有该公司里升级的每个密码，所以，他有没有必要扫描端口来计算网络呢?而这也是笔者的疑问所在。这名技术人员说自己在其他公司也做过类似的操作，包括银行和金融机构等，而这些公司都没有表示任何异议。笔者猜测他或许只是侥幸没有被抓个正着罢了。

　　抓住这个实施网络犯罪的人着实震惊了笔者，因为长期以来，他都是一名值得信任的技术人员。笔者自己也认识他，并曾多次向客户推荐他，而他的行为无疑给了笔者当头一棒。在为其表示惋惜之余，他也必须为自己的行为付出应有的代价。当然，无论他是否会再犯，都不可能有人会向客户再推荐他。

　　在没有使用蜜罐技术的地方，事情则可能不一样。类似的网络犯罪不会被记录在工作站的防火墙日志中，而且受害方会被伴随着防火墙日志的报警声不断打扰而手足无措。有了蜜罐技术，则不用担心，因为它会记录每件可疑和具有潜在恶意倾向的事件。

　　企业应该部署蜜罐技术，并且可以选择适合自己的蜜罐。笔者青睐KeyFocus生产的蜜罐软件KFSensor。它是一个仅适用于Windows系统的收费产品，相较于大多数蜜罐产品在更新方面不尽如人意的表现，此款软件的维护人员会持续对软件进行更新和改善。它拥有多种选择和自定义设置，可以对事件进行记录并对和记录发出警告。

　　Honeyd是一款灵活，功能丰富且免费的开源型蜜罐程序，但是它需要稳定的和娴熟的网络技巧来实施部署和操作。它也有适用于Windows的版本，只是Windows版本的更新速度不及非Windows版本。当然，如果你资金不够，而又有多余时间来研究解决问题的话，Honeyd或许是个合适的选择。

　　或者你可以到Honeynet Project了解更多的有关蜜罐的信息。它的Honeywall CD-ROM镜像是一个非常棒的多合一免费密网软件，用户无需担忧Linux配置问题。它的功能齐全，由菜单驱动，是比Honeyd易于安装和运行的软件。

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）