什么是蜜罐(计算)?

　　蜜罐定义

　　在网络安全蜜罐中，诱饵服务器或系统部署在您的组织实际用于生产的系统旁边。蜜罐的设计看起来像有吸引力的目标，它们被部署起来，使 IT 团队能够监控系统的安全响应，并将攻击者从其预期目标上重新定向。

　　有各种蜜罐，可以根据您的组织需求设置蜜罐。由于它们似乎是合法威胁，因此蜜罐就像陷阱，使您能够尽早识别攻击并做出适当的响应。这种蜜罐的含义指出了它们可用于引导攻击者远离您最重要的系统的一些方法。当攻击者落入诱饵时，您可以收集有关攻击类型以及攻击者正在使用的方法的关键情报。

　　当一个蜜罐看起来是一个合法的系统时，它效果最好。换句话说，它必须运行与实际生产系统相同的流程。它还应包含攻击者认为适合目标流程的诱饵文件。在许多情况下，最好将蜜罐放在防火墙后面，以保护贵组织的网络。这使您能够检查通过防火墙的威胁，并防止从受损的蜜罐中发起的攻击。随着攻击的到来，位于蜜罐和互联网之间的防火墙可以拦截它并消除数据。

　　蜜罐的工作原理是什么?

　　在许多方面，蜜罐看起来就像一个真正的计算机系统。它具有网络罪犯用来识别理想目标的应用程序和数据。例如，蜜罐可以假装是包含敏感消费者数据的系统，例如信用卡或个人身份信息。系统可以填充诱饵数据，这些数据可能会吸引想要窃取、使用或出售它的攻击者。随着攻击者入侵蜜罐，IT 团队可以观察攻击者的进展，注意他们部署的各种技术以及系统的防御如何保持或失败。然后，这可用于加强用于保护网络的整体防御。

　　蜜罐利用安全漏洞来诱骗攻击者。它们可能具有易受端口扫描影响的端口，这是一种用于弄清楚哪些端口在网络上开放的技术。端口打开可能会引诱攻击者，使安全团队能够观察他们如何处理攻击。

　　蜜罐技术与其他类型的安全措施不同，因为它并非旨在直接防止攻击。蜜罐的目的是优化组织的入侵检测系统 (IDS) 和威胁响应，以便更好地管理和预防攻击。

　　蜜罐主要有两种：生产和研究。生产蜜饯侧重于识别内部网络中的入侵，以及欺骗恶意行为者。生产蜜罐位于您真正的生产服务器旁边，并运行相同类型的服务。

　　另一方面，研究蜜罐会收集有关攻击的信息，不仅关注威胁在您的内部环境中的行为，还关注它们在更广阔的世界中的运作方式。以这种方式收集有关威胁的信息可以帮助管理员设计更强大的防御系统，并找出他们需要优先处理哪些补丁。然后，他们可以确保敏感系统拥有最新的安全措施，以防御因蜜罐诱饵而落下的攻击。

　　资料来源于网络，详情请点击：FortiAIOps IT 运营（https://www.fortinet.com/cn/products/fortiaiops）