蜜罐与安全运营系统实践 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

企业安全

蜜罐与安全运营系统实践

2023-01-09 16:15:18

所属地北京

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

0x01 传统蜜罐

传统蜜罐在安全运营当中，起到防御与威胁发现的作用。蜜罐系统提供Web（WordPress等）服务模拟、及各种主机服务模拟，比如：ElasticSearch、FTP、Telnet、Redis等。

类似FTP、Telnet等高交互蜜罐，不只是开放各种协议服务的端口监听，还真实的模拟的服务用户的交互逻辑，当攻击者访问蜜罐仿真的服务，蜜罐系统会像真的用户访问FTP、Telnet服务一样，响应用户的操作。

0x02 反制与溯源

随时蜜罐技术迭代发展，从传统蜜罐、高交互蜜罐、发展具有成高阶形式功能的，具有反制溯源、欺骗防御、主动防御的综合服务仿真蜜罐信息系统。

构建安全防御系统，需要各种安全工具链提供支持，蜜罐系统是安全防御工具链中重要的工具，选用几款优秀的蜜罐系统，应用于安全运营实践过程，对防御工作很必要，蜜罐可以分别部署于内、外网环境当中，这一次介绍的是HFIsh。

在攻击的过程，蜜罐系统会接收攻击者的攻击输入信息，包括攻击用的系统及工具的信息，攻击者可能暴露的个人信息，可溯源反制的蜜罐系统，会根据这些信息，进行攻击者身份信息的关联溯源，根据攻击者系统工具的信息，实施基于对方可能存在漏洞的反制攻击。

如果攻击者可暴露给蜜罐系统的输入数据，不够充分有效，反制溯源就比较困难。

0x03 蜜罐与防御体系融合

HFish

以HFish构建的蜜罐系统为例，下面是HFish蜜罐系统在实践过程中，一个系统关联图。

1673252327_63bbcde704e28b4b57613.png!small

HFish是一个具备典型新型蜜罐特征的蜜罐系统，同时提供、低交互、高交互、反制溯源功能。

蜜罐系统属于安全系统中的一个子系统，在安全运营过程中，需要将蜜罐系统与整个安全防御体系进行融合，将蜜罐系统、TDP流量分析系统、SIEM事件管理系统、SOC运营系统进行协同，最后成为整SOC安全运营系统功能的一部分，与更多防御信息系统进行协防，比如HIDS系统等。

TDP：TDP和HFish同出一家，TDP是流量分析系统，同时提供HFish的接入功能，在HFish相对早期的版本，我们将HFish接入到TDP系统，尝试让HFish威胁日志接入数据库集群，并在某些安全活动使用。TDP对接HFish，接入数据是蜜罐威胁事件日志，并提供蜜罐结点的威胁的攻击统计、威胁事件告警检索功能。接入蜜罐日志后，并不将威胁日志中的IP与威胁情报进行关联，与威胁情报的关联，是在接入日志之前就完成了，所以需要在HFish中接入IP信誉库API。

1673252336_63bbcdf04cc7c355fe37e.png!small

IP信誉库：在实践的过程中，蜜罐系统与HIDS系统，在判定IP的威胁时，用了同一套IP信誉库，与TDP不同的是， TDP有本地的威胁情报库，会远程下拉同步威胁情报，所以也没有查询上限的限制，而其他系统需要通过API来完成IP研判工作，没有本地的威胁情报库，有API每天的调用上限次数限制。

0x04 事件管理与运营管理

SIEM：威胁事件管理系统用来处理，TDP接入的蜜罐威胁事件日志，由TDP转发给SIEM或者，由HFish直接发给SIEM，蜜罐威胁日志成为多条威胁数据管道处理中的一条支流处理分支，然后由SIEM与SOC进行后续的交互，进行威胁的收敛研判。

1673252342_63bbcdf625b240d969558.png!small

SOC：安全防御信息系统中，有众多的子系统，SIEM通过数据管道完成威胁事件的聚合管理、数据的中继外发、威胁事件数据提供，SOC的一项功能是，完成威胁事件的收敛工作，并建立收敛后的事件与响应流程的联系，产出可以是建立响应处理提案、各种形式的告警（邮件、群机器人等）、可视化统计、威胁定位检索等。

0x05 蜜罐联动实践

微步在运营HFish之后，HFish不断在升级，各防守单位人员，也加入使用的HFish蜜罐的用户中，配置要求低，上手快，还有可视化大屏幕，支持常见的蜜罐服务和一些比较新威胁服务模拟检测，与威胁情报社区联动，流量分析平台联动。HFish可以与SIP、X社区的联动，使用社区的威胁情报查询Key，进行威胁溯源，还可以与自家的流量威胁检测服务产品TDP进行联动。与TDP的联动最开始因数HFish的输出字段不确定，造成正则不确定，没法正确识别，HFish推送给TDP的告警，但后期这个问题都解决了。包括从本地数据库，迁移到使用云上MySQL也是没问题的，这样相当于分布式蜜罐的报警，可以聚合在TDP流量分析平台上，本地数据都放到云的MySQL上做集中管理。

1673251294_63bbc9de69b3cb2534849.png!small

添加X社区的威胁查询APIKey与IP信誉库进行关联。

1673251350_63bbca16f34e101130403.png!small

申请的API有又上的权限。

1673251395_63bbca43c682c34467aa0.png!small

大屏幕与TDP的4种视角不同，只有一种模式，但是看着还是很直观的。

1673251441_63bbca712b7abf6566c46.png!small

HFish支持分布式部署管理，支持与X社区联动，取威胁情报，支持与TDP流理分析平联动，关联攻击IP在内网的所有威胁事件，全流量网络连接分析，这些特性是别的单体蜜罐做不到的，提供的服务要比一般的蜜罐，不能与威胁情报联动，不能与流量分析平台联动相比，功能更丰富立体。下面是HFish提供的蜜罐服务，比之前模拟的服务要多很多，而且很接地气，基本覆盖了常见漏洞服务。 1673251550_63bbcade7c6f54a616635.png!small

1673251558_63bbcae622169bdadff47.png!small

1673251566_63bbcaee8ab2cd2745f10.png!small

1673251580_63bbcafc690c1e2555e72.png!small

1673251588_63bbcb04ab9bbaaffdbfb.png!small

HFish还提供威胁风险的检测识别能力，并且可以自己通过YARA，进行自定义检测规则的编写。 1673251639_63bbcb37c36ba57bb6fbc.png!small 1673251645_63bbcb3d9419a679bc691.png!small 1673251673_63bbcb593b87e781a2c84.png!small