当工厂网络连接到外部世界时,很难知道病毒或入侵者已经超越了防火墙和其他保护技术。一种查明入侵者是否以及何时在探测网络的方法是使用一个蜜罐。
这些孤立的计算机在网络上处于不受保护的空闲状态,很容易成为入侵者的目标。蜜罐除了监视可疑活动外没有其他功能,所以任何时候访问它们,都是未经授权的来源。
设置蜜罐只需要一台便宜的Windows个人电脑(PC)。设置和监控是使蜜罐工作的关键方面。在工厂网络中,这些pc应该被设置成一个典型的节点。
“在制造业,你必须模仿生产机器。原理总是一样的——假装环境,提供一个诱饵。如果有人攻击,你会知道它,并对攻击的级别有一些了解,”Thorsten Holz说,他是一名德国博士生,著有《虚拟蜜罐:从僵尸网络跟踪到入侵检测》一书。
当它被探测时,PC应该像典型的机器一样响应。这有助于确保入侵者不会意识到这是一个设置的诱饵,以提醒操作员入侵正在发生。易用性是该技术的一个关键优点。Holz说:“用一个普通的Windows系统来模拟TCP/IP堆栈,您可以收集统计信息,而无需进行很少的维护。
其他人同意这种技术可以提供有价值的信息。“对于那些有安全意识的人来说,蜜罐和蜜网是很棒的工具,可以让它们成为他们方法的一部分。通过观察人们如何攻击东西,你可以了解趋势是如何变化的,人们如何攻击不同的端口,”加拿大不列颠哥伦比亚省温哥华Wurldtech安全技术公司的专业服务副总裁Bryan Singer说。
然而,他指出用户不应该产生错误的安全感。“它们的相关性是有限的。入侵检测不会阻止任何事情,它只是计算某人可能试图进入的次数,”辛格说。
对于Holz的警告没有异议,他还经营着一个讨论病毒、入侵和其他相关问题的互联网博客。虽然“蜜罐”会在系统可能受到攻击时发出警报,但它们的作用也仅此而已。“你仍然需要知道如何保护自己,”霍尔兹说。
尽管它们的作用相当有限,但许多观察人士认为,作为安全策略的一部分,蜜罐可以发挥关键作用。“这是一件简单、经济的事情,尽管你需要有人监控机器,知道在检测到东西时如何反应。我们推荐给那些担心发现不应该出现的活动的人,”斯塔格斯说。
要了解这篇侧边栏的主要故事——“网络安全成为焦点”——请访问//www.myenum.com/view-3915