蜜罐技術不是一個新概念，威脅情報概念的流行已有數(shù)年時間，在過去三年RSA信息安全大會演講關鍵詞可以看出，“Threat”和“Intelligence”正成為大家關注的焦點。進入2017年以來，威脅情報呈現(xiàn)爆發(fā)式的增長，各類威脅情報公司及情報共享平臺掀起蓋頭走到大家面前。 斯皮爾伯格在2002年執(zhí)導的少數(shù)派報告一戲中，利用人工智能預測并抑制未發(fā)生的潛在犯罪，盡管離現(xiàn)實仍有一段距離，但相關理念在企業(yè)安全領域中正得到流行。

　　YY安全中心在與黑產(chǎn)持續(xù)對抗的經(jīng)驗中，深刻領會到威脅情報潛在的巨大價值，打造圍繞自身業(yè)務的威脅情報體系?！秾O子兵法》有云“知己知彼，百戰(zhàn)不殆 ”，對情報的重視古已有之，YY安全中心在打造情報體系的實際操作中，發(fā)現(xiàn)企業(yè)安全情報與傳統(tǒng)軍事情報方法論差異較大，具體表現(xiàn)包括：

　　1. 收集力度的差異：國家或政府機關作為行政機構，具有一般企業(yè)不可比擬的資源;相較而言，企業(yè)收集手段相對匱乏，也缺乏協(xié)同單位或機構的支持;

　　2. 收集渠道的差異：傳統(tǒng)情報由于針對目標明確，可采用包括但限于線上/線下，技術 /非技術等多種渠道方式，如常見的“線人”、“臥底”等手段;而企業(yè)由于各種條件所限，防御目標不明確，多以網(wǎng)絡技術手段方式獲取為主;

　　3. 分析方法的差異：由于企業(yè)主要通過線上技術的方式獲取情報，如何自動、智能化分析海量線上信息成為企業(yè)安全情報的主要課題。

　　圖：蜜網(wǎng)部署

　　前面談到，基于企業(yè)信息安全防護自身特點，往往無法預先定義攻擊者輪廓特征，正向情報收集將面臨效益少、命中率低的問題，且缺乏足夠的惡意樣本比對分析。通過部署蜜網(wǎng)可以有效解決上述問題。YY安全中心蜜網(wǎng)系統(tǒng)在開放網(wǎng)絡下部署啟用多臺蜜罐，每臺蜜罐當中部署數(shù)種服務，如http, ftp, dns, ssh等，該類服務通常內(nèi)嵌有明顯漏洞，如匿名登錄或知名的0day漏洞等，誘導黑客攻擊者利用，并通過fake腳本與攻擊者進行一定程度的交互。在安全內(nèi)網(wǎng)中搭建蜜罐統(tǒng)一管理和分析，實時或異步的方式分析蜜罐日志，提取威脅情報并與已有安全體系對接，更新有關策略與知識庫，形成一個關于安全策略持續(xù)更新學習的閉環(huán)。

　　圖：蜜罐收集IP

　　圖：YY安全中心IP畫像服務檢索結果

　　圖：黑產(chǎn)IP針對不同服務、端口攻擊連接記錄

　　圖：收集的惡意文件樣本

　　圖：多引擎檢測判斷

　　隨著YY安全中心蜜罐網(wǎng)絡的試運行，攻擊樣本的逐步積累，成本效益比值得肯定，收集了數(shù)量可觀的惡意IP及惡意文件樣本，在入侵防御體系，機器人(300024) 外掛對抗體系已經(jīng)取得了很大的價值，進一步結合機器學習方法，有望更高效率自動生成攔截策略及審計策略。要進一步發(fā)揮威脅情報的作用，蜜網(wǎng)仍有許多優(yōu)化工作可持續(xù)開展：

　　蜜罐的選取應具有代表性，包括選取不同地理位置、不同運營商等;

　　Banner多使用有吸引力的名稱及術語，如userdata、traderecord等;

　　打造高交互性的UI，如希望獲取自身業(yè)務0day還需要搭建仿真業(yè)務系統(tǒng)

　　最后，蜜罐傳達的是一個概念，而不僅是一個系統(tǒng)，埋點的思想可以應用在多個維度，多個層次，如真實系統(tǒng)當中引入“蜜表”、“蜜鏈接”等。