2021年要过去了,在此记录下从2019年到2021年对蜜罐的理解,此内容仅为个人感受,不喜勿喷!
团队从2019年才开始尝试部署蜜罐,开始的在测试机中装着玩,到真实抓到黑客,最后到现在IDC和内网蜜罐覆盖率超过10%,有一些个人感悟。
【结论】
大型公司使用蜜罐的最佳场景是:情报生产、辅助进行威胁感知、通过定制蜜罐抓取针对自身的攻击;
中型公司使用蜜罐的最佳场景是:数据窃取、内网检测;
小型公司使用蜜罐的最佳场景是当轻量级、零维护、准确威胁检测使用;
【感受】
>对于小型公司
学弟在一家创业公司,几百个人,IT身兼数职,学弟一直对网络安全感兴趣,工作后碰到的几个安全事件也是向我咨询搞定的,
兼顾网络安全工作的学弟的诉求是:不花钱、部署简单、几乎不需要维护、告警准确。
学弟的痛点是:公司只在出口部署了防火墙,内部没有任何检测设备,公司当前阶段部可能采购专业安全产品,更不要想招聘安全人员,可以说是没钱没人没设备,网络不规范,
即使有安全产品,他也没能力长时间维护和深入分析告警,我给他推荐了tpot、cowire、hfish,最后就国产免费的hfish用的还可以。
>对于中型公司
也许因为自身就在中型公司的原因,我对这个阶段公司使用蜜罐的诉求理解更深刻,