How can we defend against an enemy, when we don’t even know who the enemy is?- lance spitzner
資訊科技高度發展,網際網路的應用儼然成為每個人生活不可或缺的一部分,但是隨之而來的資安問題也越來越多。雖然市面上有許多的安全防禦工具可以成功的偵測並且攔截惡意的入侵行為,但面對駭客未知的攻擊手法卻無法即時做出適當的對應措施。
一直以來我們很難知道駭客究竟是如何入侵、攻擊系統的手法,像是何時進來的,潛伏多久的時間。因此,為了能有效地獲得駭客攻擊的動機、手法,網路安全研究者會透過誘捕系統的建立(又稱蜜罐),利用有漏洞的系統誘使駭客進行攻擊。
這種主動式的防禦技術,能夠監視並追蹤入侵者的行為,分析駭客的攻擊手法、目的。蜜罐的核心目的在於監視、檢測及分析攻擊行為,如此一來才能進一步了解攻擊手法並達到預警作用,也能讓網路安全研究者針對該攻擊行為找出對應的防禦措施。
而根據不同的蜜罐誘捕系統配置,大致上分為以下兩種互動方式:
【低互動性誘捕系統】
1.透過模擬環境僅提供有限的服務
2.開放資源有限,風險較低,擬真性較低
3.容易被察覺,而對於未知新型攻擊較無用處
【高互動性誘捕系統】
1.透過真實服務以捕捉攻擊手法,互動性較高
2.能透過蜜罐環境取得任何資源,甚至操控系統
3.風險程度較高,攻擊者能攻陷實作環境並產生威脅
4.佈署較為複雜,技術層面較高