因此,在网络世界中,人们试图访问客户端机器并执行横向移动。蜜罐通常用于为他们提供一个简单的访问点,并向他们展示一个不利或虚假的环境,以便他们在造成任何真正伤害之前离开,入侵被记录下来,并且网络是安全的。
根据我的理解,至少在理论上,蜜罐应该是这样工作的。但是,最近我的任务是设置一个,虽然我看到有一对存在,但我很好奇蜜罐实际上是做什么来保证你的网络安全的?
如果他们获得了对蜜罐的访问权,是否仍然能够实现横向移动,或者蜜罐是否有某种软件可以使攻击者成为活生生的噩梦?
设置蜜罐以检测恶意网络活动
信息安全
网络
活动目录
蜜罐
2021-08-22 18:23:34
1个回答
这取决于您使用的蜜罐。如果您使用的是仅模拟某些服务的低或中等交互蜜罐,那么攻击者可以突破蜜罐的可能性非常低(除非他发现蜜罐本身存在错误)。
如果您使用的是完全交互的蜜罐,例如真正的 Windows 机器,那么攻击者很有可能将蜜罐用作攻击其他机器(在您的网络或 Internet 上)的起点。因此,您必须在蜜罐和网络的其余部分之间放置一个所谓的蜜墙,这将基本上阻止试图离开蜜罐的恶意流量。蜜墙基本上是您选择的 IPS/防火墙/WAF 的组合。
即使使用蜜墙,您也不能 100% 确定攻击者无法突破蜜罐。这是因为您必须允许某些流量离开蜜罐,以便攻击者从他的攻击中接收反馈,但您必须防止可能损坏蜜罐之外的其他机器的恶意流量离开蜜罐。找到正确的平衡是相当困难的,而且风险总是存在的。
其它你可能感兴趣的问题