2008年11月3日 星期一

誘捕系統 (Honey Pots)探討、策略及管理

誘捕系統 (Honey Pots),大多數會使用的,多半為社群或研究(Research)單位,對攻擊、入侵...等資安事件做研究之用,並從中找到資安防護之道,推出資安防護產品或強化防護產品不足,尤其是防毒產業,都一定會建置誘捕系統來擷取網路上的惡意程式樣本來製作病毒碼。對於誘捕系統的使用,多數企業或政府單位並未建置、佈署,因為,它的運用是更高一個層次了,但我建議金融業、網路交易平台業、線上遊戲業,應該都需要有「自己一套」的誘捕系統,在所有資安防護商都說無法保證 100% 安全的時代,誘捕系統是「查覺」資安問題頗佳的方式之一,無奈,大多數的企業或單位想是全是要「被動解決」資安問題,並不會想「主動發掘」資安問題,這裡面是有點吊詭及迷思的,我也不知道是對自身防護有自信還是#$%@*。

如果你無法確定第一層防護的安全性,通常第一層是指外部 (Public) 網路可以接觸到的 IP 或系統,多半是網際網路服務,如網站...等,那你該加強第二層的防禦作業,通常是網站主機上的防毒軟體,但光靠防毒軟體是不夠的。這是可以考慮誘捕系統或特別的監控系統,來查覺入侵事件的發生,有時第二層的防禦會更簡單做且有效。其實,很多系統管理者都有查覺入侵事件,只是沒呈現出來而已,可以參考「低調、詭譎與資安」一文,有些地方是該低調處理,但有些地方是千萬不能低調處理的。

一般常見的誘捕系統,可以參考網站:
The Honeynet Project
裡面有數個誘捕系統,維基說明中的網頁也有,不過有些重複的;這裡還有更多哩。其實誘捕系統本身也是一門大學問的。但...要實作誘捕系統並不一定要做的很複雜,有時簡單的動作也可以抓到獵物,畢竟,人家可是在你的地盤上撒野哩,無論如何,整體規劃才是最重要的。

了解誘捕系統的一些文章:
1.SANS - What is a Honeypot?
2.Shadowserver Foundation - What is a Honeypot?

獵捕原則:
1.你的獵物是甚麼?
這點很重要,必須明確知道你想抓的是啥,而且野心一開始不能太大。確定你的森林有這獵物的嗎?或可能有的嗎?
2.獵人必須清楚獵物的習性
獵物要的是啥?你有獵物要的目標嗎?獵物的活動、習慣與行為都是研究的目標,獵物必有的習性就會是誘捕的重點。
3.你是獵人嗎?
如何架設陷阱?如何掌控陷阱?如何有效管理所有陷阱?千萬別忘了,這片森林是你的,別讓人在你的地盤上撒野。

這裡有幾個誘捕系統有呈現結果的網站:
mwcollect.org : Malware Collection Made Easy
http://www.mwcollect.org/
#主要是抓惡意程式 (Malware),還有攻擊來源 IP。
honeytrap.mwcollect.org : Trap Attacks In Your Network
http://honeytrap.mwcollect.org/
#主要是抓惡意攻擊碼,例如蠕蟲的網路攻擊封包。
Shadowserver Foundation : gathers intelligence on the darker side of the internet
http://www.shadowserver.org/
#這網站是頗具知名度的,主要就是抓 Botnets,當然還有其他的,如 DDoS、Malware、Virus...等。

所以,身為獵人第一要務是你的獵物是啥,很多人在佈署時最大的問題;另外一個問題就是想抓到所有的獵物。如果你的企業中是動物園,你用一個捕獸器就想抓到所有小動物嗎?你的問題不在誘捕系統,是該要全面檢討防禦系統了。
之前的一篇文「企業入侵偵測管理」,有提到入侵偵測系統應該要整合誘捕系統的,我深深的認為入侵偵測系統本身就是誘捕系統的一種,不是嗎?入侵偵測是要發掘入侵行為不是,只是誘餌是真實系統,會不會突然覺得導入入侵偵測系統是玩很大的...XD;沒錯,入侵偵測的使用是很驚險的,況且很多企業或單位買了沒都沒用、用了也沒看、看了也不懂、懂了又不會應變處理...XD,入侵偵測真的是用來解決問題的嗎?

誘捕系統的佈署策略:
1.在奇不在正
越是意想不到的,越容易抓到獵物,總之就是比創意;現行的產品或軟體也許獵物都很熟悉啦,當然,要躲的機會就高嚕。陷阱也是「天然的最好」,還要配合地形地物喔!才能達到出奇不意。
2.在謀不在勇
要有計劃的策略與計畫,且要變化,如果一成不變,會失去原有意義。就算是陷阱也會經常變更地點的,我們當然可以多些餌,有的真有的假,經常變換真真假假,達到欺敵的手法。
3.在精不在多
準確率很重要,低誤報 (False Positive) 是一定要的,因為這是誘捕系統最主要的特性,否則很容易把資安事件應變處理 (IR) 人員搞掛;漏報 (False Negatives) 則越低越好,這部分是需要設法降低漏報情況,可以邊做邊修 (Tuning) 的方式,降低到可以接受的程度。
4.貴不一定好用
便宜也會有好貨...XD,不管黑貓白貓,會抓老鼠的就是好貓。有時免費的創意功能,效果可能是驚為天人的。
5.外來威脅或入侵者思路與絲路
你必須知道外部重大威脅是哪些?入侵者在想甚麼?會有哪些動作、行為及反應?抓住「關鍵下一步」,就可以成功誘捕。
6.陷阱的考驗
進行滲透測試時,將會是最佳時機。如果你還在架一台主機或網站系統,看誰攻進來就判定誰的滲透能力佳,這是很奇妙的想法;有做滲透測試的人都知道,打得進去多半靠的是直覺與運氣,因為時間有限,除非目標太容易打;對有心人來說,時間問題不大,他等的可是機會哩;兩者思考邏輯不同的,對於誘捕系統來說都是測試的好時機,如果佈署的奇、謀、精,是能看出哪些人馬有比較高超的技術能力,不過,通常能這樣做誘捕系統的,自己也有一身好本領,畢竟資安是實力展現的,唬是沒用的。
7.獵物正在看你安置陷阱
最後一點,安置陷阱的時機。最好配合網路架構異動及系統異動進行。這也是很容易被忽視的一點,否則可能誘捕都在白做工。清理現場當然也是一種方式,但重點是不被查覺為關鍵,除了一點例外,「被查覺」也是誘捕計畫之一。

誘捕系統導入的一開始,也許並無法察覺真正問題,需要不斷進行調校的,就像入侵偵測系統一樣,調校、調校、再調校。沒有人是天生的獵人,所以,你的要務是學習成為好的獵人,現實上,真正的問題是「企業或單位並沒有養成專業資安人員的計畫或方式」。還是需要以此文「要做好資訊安全,人才是最重要的一環」與大家共勉。

4 則留言:

trifire 提到...

大大的網頁沒有各式推的按鈕真是可惜啊。

Crane_Ku 提到...

嗨!!基本上我是希望有好的一個閱讀空間,不至於被一些旁支所干擾,所以也沒放些廣告之類的,希望大家可以消化哩...

江湖一片葉 提到...

好文章!!在台灣還沒有看過針對honey pots這麼廣泛的文章!!

謝謝您!!

Crane_Ku 提到...

謝謝大大的鼓勵~~ㄎㄎ