我对降低产品和安装被黑客入侵风险的看法通常是制造虚假足迹。
根据我自己的经验,我花费最多时间(和讨厌)进行黑客攻击的服务器是那些声称自己不是的服务器。
例如,在模仿 Windows 2008 服务器的某些端口上伪造服务,而实际上该服务器是完全不同的类型。
当然,人们采用所有正常的系统安全方法,首先是传统的代码审查、系统强化等——然后是渗透测试人员的攻击性安全测试。
有什么缺点?
我特别感谢有关该主题的文章和资源的链接。
我是在自欺欺人,这有什么影响吗?我个人知道,我被特定系统的第一个迹象触发,会浪费时间。最有可能增加(A)我放弃并尝试另一种方法(或另一个服务器/服务/目标)的机会和(B)从被攻击目标发现和回溯的机会。
这是很多工作。不仅如此,您的(合法)用户永远不会看到或受益于大量工作。大多数人都愿意权衡阻止一小部分黑客的模糊风险(尤其是要意识到 APT 黑客不会被劝阻,甚至可能会在您设置错误时找到进入系统的额外方法虚假服务),以换取开发能够吸引真实(付费)客户的真实功能。
如果您确信自己是真正的目标,当然,请设置一些蜜罐(至少那时您可以投资衡量在您的“误导服务器”上进行了多少次尝试)。安全性已经很昂贵,而且您正在谈论增加额外成本,因此请确保它是值得的。
注意:我非常喜欢蜜罐,但要回答您的问题,一些负面方面包括:
你并没有减少你的工作量。
您正在增加必须处理的信号量。
您正在增加您的运营成本。
您正在从其他可能有助于保护实际数据和服务的安全活动中抽出时间。
您可能会通过为不良行为者提供另一台机器来发起攻击,即使它们不是针对您自己,也会增加您自己和他人的风险。
您正在增加对自己的工作不对称性,并有利于攻击者,以“希望”在未来的某个时间点增加攻击者的工作。这可能会或可能不会得到回报。
同样,这些只是您问题的一些潜在答案。我认为成熟的安全计划有一个合适的时间来执行此操作,但所有其他更重要的任务都需要先到位。我经常看到人们关注什么是性感而不是需要什么,所以这将是我在优先考虑这一点时最关心的问题。如果实施得当,这些会非常有用——而且——你可以使它具有成本效益。