使用“金丝雀”检测入侵?

信息安全 身份证 蜜罐
2021-08-26 04:45:53

我对这种技术的了解不多,但我想知道是否有任何关于使用“金丝雀”来检测某些类型的入侵的最佳实践:

  • 创建一个永远不应登录的虚假帐户——如果有人试图访问该帐户,请报告入侵尝试。
  • 使用电子邮件地址或其他可以监控的信息“播种”数据库。如果您开始在受监控的信息中收到电子邮件(或蜗牛邮件、电话等),请按铃,您就完蛋了:有人偷走了您的数据库。(这就是我几年前发现 Ameritrade 数据泄露的原因——在他们公开披露泄露之前。)

显然,监控 404 以进行扫描之类的事情会非常嘈杂。(我的一个非常低的流量看到大量对 phpMyAdmin 和 wp-content 的请求......)很明显,上面的第二个项目符号为时已晚,价值不高。第一颗子弹甚至可能太吵了。

一个合适的 IDS 将做一个更彻底的工作。这些有用吗?有什么我想念的吗?

2个回答

这与高交互蜜罐的想法相同,但您似乎在询问在生产系统中嵌入蜜罐元素。即便如此,我相信蜜罐的最佳实践也适用于此。

至于您的第二个要点,数据丢失保护系统似乎是一个更好的方法。您可以监控、跟踪,最重要的是,防止数据传输到不应传输的区域。

我在我的整个系统中都使用“虚假账户”,以各种方式实施为蜜罐。我个人不相信它们对我有多大价值,但它们的拥有、测试和监控都很便宜。

对此有很多讨论,例如honeywords:

https://www.schneier.com/blog/archives/2013/05/honeywords.html

虽然我认为这种方法带来了很多额外的管理工作。用户管理等

您可能想查看主动防御技术,例如

其它你可能感兴趣的问题
上一篇PCI 审计:使用“测试”卡 下一篇网页应该如何应对 CSRF 攻击?