蜂蜜壶是在网络中与正式系统一起部署的假系统或服务器。。对于攻击者来说,通过被布置成有吸引力的目标,蜂蜜壶为蓝队提供了监视更多安全的机会,从而将攻击者引导到真正的目标之外。。有多种多样的复杂的蜂蜜壶来满足组织的需求,这是一个重要的防线,可以在攻击的早期建立一个标志。。这一页将详细介绍蜂蜜壶是什么,使用方法,以及安装蜂蜜壶的好处。。
由于可以从重要系统中转移恶意流量,蜂蜜壶有很多用途和使用案例,在重要系统受到攻击之前就可以获得当前攻击的预警,并与攻击者及其攻击方法相关收集信息。。如果蜂蜜壶不包含机密数据,并且被充分监视的话,在不给网络网络带来风险的情况下,就可以获得关于攻击者的工具、攻击方法、步骤(TTP)的洞察,然后再输入我们可以收集证据和证据。。
为了让蜂蜜壶正常运作,它必须看起来像一个真正的系统。。你需要执行在正式系统中应该执行的过程,并包含看起来很重要的伪文件。。只要设定了适当的嗅探功能和记录功能,蜂蜜壶使用哪种系统都可以。在企业防火墙中设置蜂巢是个好主意。。它不仅提供了重要的记录和提醒功能,还可以阻止发信业务,这样就不能从被侵犯的蜂蜜壶转移到公司的其他资产。。
从目的来看,蜂蜜壶有两种类型:调查和正式使用。。调查蜂巢是收集关于攻击的信息,特别是用于调查真实世界中的恶意行为。。调查了贵公司的环境和现实世界,攻击者的倾向、恶意软件的变形以及攻击者积极地作为目标脆弱收集相关信息。。我们可以从这些信息中获得预防措施,补丁的优先级,以及对未来投资有用的信息。。
而真正的蜂蜜壶则专注于识别内部网络侵犯,并欺骗攻击者。。蜂蜜壶增加了更多的监视机会、网络扫描と横向移动收集信息仍然是首要任务,因为我们需要填补检测上的鸿沟。。正式蜂蜜壶与其他运行服务器一起部署,在您的环境中运行正常运行的服务。。调查哈尼数据罐越来越复杂,与真正的哈尼数据罐相比,存储的数据类型也越来越多。。
根据组织需要的复杂程度,在正式和调查阶段有不同的层次。。
下面是一些使用的蜂窝式机器人的例子。。
如果使用蜂蜜壶,组织可以获得许多安全上的好处,包括:。
它会破坏攻击者的杀伤链,并减慢攻击速度。
当攻击者在整个环境中移动时,蜂蜜壶会进行初步调查,扫描网络,找出设置错误的设备和脆弱的设备。。在这一阶段,攻击可能会通过蜂蜜壶,并发出警告,要求他们调查并封锁攻击者的访问。。在攻击者把数据从环境中拿出来之前,我们就可以采取措施了。。恶意攻击者可能会花费大量的时间在蜂蜜壶上工作,而不是找出真实数据所在的区域。。将攻击转移到一个没有用处的系统,这样就可以对正在进行的攻击进行预警。。
简单易懂,低维护
最新的蜂蜜壶不仅方便下载和安装,还能提供危险的错误设置和攻击行为的准确提醒。。在某些情况下,在有人试图访问内部网络之前,团队甚至可能忘记蜂巢是被部署的。。与入侵检测系统不同,蜂蜜壶不需要已知的攻击签名或新的威胁情报。。
来测试事件反应过程。
蜂蜜壶是一个可以提高安全成熟度的低成本的方法。。当蜂蜜壶检测到意外的活动时,我们可以测试团队是否知道如何应对。。团队能调查警告,采取适当的对策吗??
蜂蜜壶不应该是一个全面的威胁检测策略,但它是另一层安全防护,帮助你及早发现攻击。。这是安全专家们为数不多的几个可以用来调查现实社会中的恶意行为,以及是否侵犯内部网络的方法之一。。你是否也对其他技术感兴趣,可以提高蓝队的防御能力??传感技术请一定要看有关的网页。。