部署蜜罐与在银行金库中添加彩绘门或假保险箱无异。

它不会阻止任何人（其目的不是被检测为蜜罐）。可能有人拼错了detect。

它可以（一定程度上）减少攻击者攻击真门所花费的时间。不是很多。

不仅如此，它还可以针对数据收集进行优化（简单地说，您知道没有人会使用蜜罐上的服务，因此您可以将它们全部调整为“记录所有高容量偏执转储转储转储”。服务效率提高到见鬼，但是一旦有人尝试任何事情，您就无需猜测。“安全”是所有警报，没有金条。

更重要的是，您可以将蜜罐上发生的事情与网络其余部分发生的事情关联起来。蜜罐会告诉你其他机器报告的不寻常但随机的“噪音”背后的原因。

最后，蜜罐显然可以让攻击成功，这样您就可以收集更多数据。示例：攻击者在蜜罐上赢得了一个 root shell。他继续下载更复杂的工具。现在，您至少拥有这些工具的副本以及他从何处下载它们的想法。

（如果您有时间，您可以以不太可疑的方式使连接崩溃，并让他在为他的工具添加合适的仪器后重新连接，现在不再是他的了）。

您可以确定他是否只是寻找一些弹跳的脚本小子，还是积极瞄准您的网络的人。即使避开蜜罐，他也会告诉你一些值得知道的事情。

但是上面几乎没有什么是免费的；它也不会自行工作。您需要有人持续管理（通常处于非常低的级别，但持续且随时准备升级）蜜罐。蜜罐必须维护和更新，与其他盒子一样多（可能更多）。

你必须决定收益是否值得痛苦，以及你是否可以投资于必要的痛苦。

仅仅“添加一个蜜罐”并不能提高网络安全性；相反，它会产生一些虚假的安全性，如果蜜罐没有像你想象的那样绝缘和装甲，可能会造成安全漏洞；如果它提供其他机器不共享的服务或漏洞，它也可能比它不存在时吸引更多的关注。

蜜罐不是一种威慑控制，它们是一种侦探控制。因此，它们在企业、生产网络中可能非常强大。

我运行了许多蜜罐，它们提供了除 IDS/IPS 之外的一组有用的数据。他们可以告诉我主动攻击的意图、攻击的复杂程度以及与蜜罐的任何接触都表明发生了严重事件。有时，我看到显然是人们在“四处张望”，而其他时候，我看到非常复杂和有计划的攻击。两者都需要处理，我知道应用资源进行调查是多么认真。

正确配置和安全的蜜罐不允许攻击者转向其他资产（尽管有些可以让攻击者认为他们是！）。

蜜罐也可以用于研究。为此，我运行自己的蜜罐。但是，作为一种廉价的检测控制，它增加了通常只能在日志和数据包跟踪中看到的深度。

这个问题让我想起了很久以前的一篇文章，它以类似的说法让我感到惊讶。我又找到了，是2013 年 10 月的Dark Reading上的“每个公司都应该拥有蜜罐的 5 个理由” 。总结起来，他们的五个理由是：

1. 攻击者针对标准的反恶意软件测试他们的工具，因此作为低误报率的系统，蜜罐可以很好地检测攻击。
2. 蜜罐可以通过设置诱饵并使攻击者从真实目标上分散注意力来减慢攻击者的速度。
3. 除非触发警报，否则生产蜜罐不需要太多时间投资（与研究蜜罐相比）。
4. 蜜罐有助于培训安全团队。
5. 蜜罐的设置很便宜，因为有很多免费工具。

我并不完全同意他们的所有理由。事实上，对我来说唯一有说服力的是#4。2 号可能是有效的，但需要复杂且可能昂贵的设置，或者只需要没有经验的攻击者。否则，他们可能很快就能在幕后寻找真正的资产（甚至可能利用蜜罐软件本身的一些弱点）。

蜜罐不是一种防御机制。它们是一种可以模拟您的网络的媒介，可以帮助您识别网络上的潜在威胁。在企业网络中设置蜜罐可以让您深入了解针对您的企业的任何攻击。根据您的蜜罐中捕获的结果，您可以进一步加强您的组织防御机制。