誘捕系統 (Honey Pots)探討、策略及管理

誘捕系統 (Honey Pots)，大多數會使用的，多半為社群或研究(Research)單位，對攻擊、入侵...等資安事件做研究之用，並從中找到資安防護之道，推出資安防護產品或強化防護產品不足，尤其是防毒產業，都一定會建置誘捕系統來擷取網路上的惡意程式樣本來製作病毒碼。對於誘捕系統的使用，多數企業或政府單位並未建置、佈署，因為，它的運用是更高一個層次了，但我建議金融業、網路交易平台業、線上遊戲業，應該都需要有「自己一套」的誘捕系統，在所有資安防護商都說無法保證 100% 安全的時代，誘捕系統是「查覺」資安問題頗佳的方式之一，無奈，大多數的企業或單位想是全是要「被動解決」資安問題，並不會想「主動發掘」資安問題，這裡面是有點吊詭及迷思的，我也不知道是對自身防護有自信還是＃＄％＠＊。

如果你無法確定第一層防護的安全性，通常第一層是指外部 (Public) 網路可以接觸到的 IP 或系統，多半是網際網路服務，如網站...等，那你該加強第二層的防禦作業，通常是網站主機上的防毒軟體，但光靠防毒軟體是不夠的。這是可以考慮誘捕系統或特別的監控系統，來查覺入侵事件的發生，有時第二層的防禦會更簡單做且有效。其實，很多系統管理者都有查覺入侵事件，只是沒呈現出來而已，可以參考「低調、詭譎與資安」一文，有些地方是該低調處理，但有些地方是千萬不能低調處理的。

一般常見的誘捕系統，可以參考網站：
The Honeynet Project
裡面有數個誘捕系統，維基說明中的網頁也有，不過有些重複的；這裡還有更多哩。其實誘捕系統本身也是一門大學問的。但...要實作誘捕系統並不一定要做的很複雜，有時簡單的動作也可以抓到獵物，畢竟，人家可是在你的地盤上撒野哩，無論如何，整體規劃才是最重要的。

了解誘捕系統的一些文章：
1.SANS - What is a Honeypot?
2.Shadowserver Foundation - What is a Honeypot?

獵捕原則：
1.你的獵物是甚麼？
這點很重要，必須明確知道你想抓的是啥，而且野心一開始不能太大。確定你的森林有這獵物的嗎？或可能有的嗎？
2.獵人必須清楚獵物的習性
獵物要的是啥？你有獵物要的目標嗎？獵物的活動、習慣與行為都是研究的目標，獵物必有的習性就會是誘捕的重點。
3.你是獵人嗎？
如何架設陷阱？如何掌控陷阱？如何有效管理所有陷阱？千萬別忘了，這片森林是你的，別讓人在你的地盤上撒野。

這裡有幾個誘捕系統有呈現結果的網站：
mwcollect.org : Malware Collection Made Easy
http://www.mwcollect.org/
#主要是抓惡意程式 (Malware)，還有攻擊來源 IP。
honeytrap.mwcollect.org : Trap Attacks In Your Network
http://honeytrap.mwcollect.org/
#主要是抓惡意攻擊碼，例如蠕蟲的網路攻擊封包。
Shadowserver Foundation : gathers intelligence on the darker side of the internet
http://www.shadowserver.org/
#這網站是頗具知名度的，主要就是抓 Botnets，當然還有其他的，如 DDoS、Malware、Virus...等。

所以，身為獵人第一要務是你的獵物是啥，很多人在佈署時最大的問題；另外一個問題就是想抓到所有的獵物。如果你的企業中是動物園，你用一個捕獸器就想抓到所有小動物嗎？你的問題不在誘捕系統，是該要全面檢討防禦系統了。
之前的一篇文「企業入侵偵測管理」，有提到入侵偵測系統應該要整合誘捕系統的，我深深的認為入侵偵測系統本身就是誘捕系統的一種，不是嗎？入侵偵測是要發掘入侵行為不是，只是誘餌是真實系統，會不會突然覺得導入入侵偵測系統是玩很大的...XD；沒錯，入侵偵測的使用是很驚險的，況且很多企業或單位買了沒都沒用、用了也沒看、看了也不懂、懂了又不會應變處理...XD，入侵偵測真的是用來解決問題的嗎？

誘捕系統的佈署策略：
1.在奇不在正
越是意想不到的，越容易抓到獵物，總之就是比創意；現行的產品或軟體也許獵物都很熟悉啦，當然，要躲的機會就高嚕。陷阱也是「天然的最好」，還要配合地形地物喔！才能達到出奇不意。
2.在謀不在勇
要有計劃的策略與計畫，且要變化，如果一成不變，會失去原有意義。就算是陷阱也會經常變更地點的，我們當然可以多些餌，有的真有的假，經常變換真真假假，達到欺敵的手法。
3.在精不在多
準確率很重要，低誤報 (False Positive) 是一定要的，因為這是誘捕系統最主要的特性，否則很容易把資安事件應變處理 (IR) 人員搞掛；漏報 (False Negatives) 則越低越好，這部分是需要設法降低漏報情況，可以邊做邊修 (Tuning) 的方式，降低到可以接受的程度。
4.貴不一定好用
便宜也會有好貨...XD，不管黑貓白貓，會抓老鼠的就是好貓。有時免費的創意功能，效果可能是驚為天人的。
5.外來威脅或入侵者思路與絲路
你必須知道外部重大威脅是哪些？入侵者在想甚麼？會有哪些動作、行為及反應？抓住「關鍵下一步」，就可以成功誘捕。
6.陷阱的考驗
進行滲透測試時，將會是最佳時機。如果你還在架一台主機或網站系統，看誰攻進來就判定誰的滲透能力佳，這是很奇妙的想法；有做滲透測試的人都知道，打得進去多半靠的是直覺與運氣，因為時間有限，除非目標太容易打；對有心人來說，時間問題不大，他等的可是機會哩；兩者思考邏輯不同的，對於誘捕系統來說都是測試的好時機，如果佈署的奇、謀、精，是能看出哪些人馬有比較高超的技術能力，不過，通常能這樣做誘捕系統的，自己也有一身好本領，畢竟資安是實力展現的，唬是沒用的。
7.獵物正在看你安置陷阱
最後一點，安置陷阱的時機。最好配合網路架構異動及系統異動進行。這也是很容易被忽視的一點，否則可能誘捕都在白做工。清理現場當然也是一種方式，但重點是不被查覺為關鍵，除了一點例外，「被查覺」也是誘捕計畫之一。

誘捕系統導入的一開始，也許並無法察覺真正問題，需要不斷進行調校的，就像入侵偵測系統一樣，調校、調校、再調校。沒有人是天生的獵人，所以，你的要務是學習成為好的獵人，現實上，真正的問題是「企業或單位並沒有養成專業資安人員的計畫或方式」。還是需要以此文「要做好資訊安全，人才是最重要的一環」與大家共勉。