对“蜜罐”的一些看法

“密罐”是什么？这里我引用了百度百科的定义。“蜜罐”本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

在这次网络安全攻防演练活动中，有一个特征非常明显，这就是网络安全的非对称性。一方面对于攻击方而言，只要能找到一个弱点，就有可能达成攻陷网络的目的。另一方面，防守方也在广泛利用非对称性，构建攻击方不了解的内网环境，进而诱骗攻击方暴露攻击行为。而“蜜罐”产品的出现正是基于防守方的非对称思维，并且在实际应用中取得了不错的效果。

可是昨天，某电信公司披露，因为其使用的“蜜罐”产品存在漏洞，攻击方攻陷“蜜罐”以后直接进入了它的内网。这则消息，导致很多公司开始讨论使用蜜罐产品的安全性，甚至少数公司直接关停了自己的“蜜罐”。

针对这则消息，我觉得有两点需要澄清。

一、没有任何产品是绝对安全的，包括“蜜罐”

很多厂商会吹嘘自己的网络安全产品，我们自己给领导呈交报告时也会报喜不报忧。但无论吹得怎么天花乱坠，无论看起来如何无懈可击，我们必须清醒的意识到：网络安全风险一直存在，信息系统越是复杂，安全漏洞越是不可避免。

“蜜罐”产品也是一样，新型的“蜜罐”产品往往整合了蜜数据库、蜜网站、蜜域名、蜜文件等一系列功能，诱骗性和实用性不断增强。而与此同时，“蜜罐”的复杂性导致安全漏洞不可避免，我们绝不能因为漏洞而对“蜜罐”进行全盘否定，而是应该思考为什么会出现这款产品，它对网络安全防护工作是否有帮助，这才是我们部署“蜜罐”的初心。

二、安全产品的部署比购买更重要

部分企业的领导会有这样的错觉，只要把所有安全产品都买上，就没有安全问题了。所以他们宁可花几千万买一个“态势感知”，也不愿花几万请一个安全工程师。

回过头来看某电信公司的“蜜罐”部署，我们可以看到，这种将“蜜罐”和内网部署到一起的方式是多么荒谬，黑客在拿下“蜜罐”后，也直接拿下了内网。示意拓扑如下。

错误的蜜罐部署示意图

正确的“蜜罐”部署其实很简单，只要遵守一个原则：蜜罐绝不要和内网相连，蜜罐也要做访问控制策略。只要增加一根网张、一个防火墙就可以解决问题，它的成败真正缺少的是靠谱的工程师。

建议的蜜罐部署示意图

所以我坚持认为，“蜜罐”产品仍会是未来一段时间里安全产品的重要组成部分。这次争议也告诉我们，网络安全防护工作应该始终在路上，需要随着攻击手段的发展而升级，如果我们始终站在原地不动，那么只会变得不堪一击。