【谛听】蜜罐自身安全性说明

一、背景-客户担忧

  自谛听 (D-Sensor) 伪装欺骗系统面市以来，得到金融、电力、政府、运营商、互联网等行业客户的高度认可，在企业网络安全运营中及网络安全攻防演练中能有效感知攻击者和“内鬼”对内网渗透和破坏行为，降低企业安全风险，减少或消除经济损失。同时在网络安全攻防演练中能有效溯源攻击者信息、甚至提供高级反制蜜罐，协助防守方得分。

  随着近年软件漏洞频发，甚至网络安全产品也被接二连三披露漏洞信息，由于蜜罐类产品存在系统漏洞、服务漏洞及部署在内网等特性，不少客户对蜜罐类产品安全尤为重视。例如：

• 希望管理节点能识别到对于自身的攻击，并及时告警，在自身被攻击时能立即采取有效措施阻断攻击
• 担心攻击者攻破探针宿主机后，利用探针宿主机攻击管理节点，进而危及内网的其他业务
• 担心攻击者成功入侵外网溯源蜜罐后，把蜜罐当成跳板，进而攻击管理节点甚至是内网的其他业务
• 担心攻击者从蜜罐的 Docker 容器中逃逸，获得管理节点服务器权限，并对管理网段的安全防护设备进行攻击

二、谛听的安全保障措施

  长亭科技在谛听软件开发及安装部署阶段均考虑到实际使用中的安全风险，并采用有效的规避措施保证谛听系统的安全性，目前规避措施包括以下方面。

2.1 管理节点自身安全

风险点：管理节点面临被攻击的风险
应对措施：

• 1、身份认证：硬件版设备只开放了必要的端口，必须通过密钥认证才能登录；软件系统支持配置允许登录的IP，支持证书认证、二步认证。
• 2、前后端分离：产品的前端页面和后端代码存放在不同容器，避免上传文件之类的漏洞。
• 3、代码审计：版本发布之前经过了多轮代码审计，避免了管理节点存在明显漏洞。
• 4、探针流量转发：探针监听到攻击者的攻击流量后，不会进行多余的分析和处理，直接转发到蜜罐中，避免攻击者通过探针开放的伪装服务攻破探针宿主机。
• 5、通信加密、模块隔离：探针节点与管理平台之间通过单向加密通信，通信范围仅限于探针节点和管理节点中的 Docker 容器（蜜罐），即使探针宿主机被攻破，攻击者的访问流量也被限制在管理节点内的蜜罐容器中，不会攻击到管理节点。

2.2 Docker 容器安全

风险点：
  蜜罐基于 Docker 容器运行，依赖于 Docker 虚拟化技术实现隔离，如果攻击者利用 Docker 漏洞逃逸出容器，可能会控制管理节点。
应对措施：

• 1、首先，Docker 经过多年应用和发展已具备足够成熟性，且为全球大量企业所采纳，包括大量大型金融机构，逃逸的难度非常高。虽然理论上所有虚拟化技术都会存在逃逸风险，但是目前为止，长亭科技还未发现可被利用的 Docker 的 0day 逃逸漏洞。
• 2、其次，谛听产品本身也针对 Docker 容器安全进行了加固：
    a、为了避免因操作系统内核漏洞造成 Docker 逃逸，产品交付时保证安装的操作系统内核版本在 Linux 3.10.0-514 以上，不存在脏牛等内核漏洞。
    b、为了避免由 Docker 软件设计缺陷造成 Docker 逃逸，产品将持续更新 Docker 版本，不存在 runc 等漏洞。
    c、为了避免由配置不当造成 Docker 逃逸，产品开发时始终限制蜜罐获得过多权限。
• 3、长亭专业的安全研究人员将持续关注包括 Docker 在内的各类型漏洞，有能力第一时间判断对产品是否存在影响，并做出快速的产品侧响应。
• 4、在攻击者逃逸之前，会有充足的时间做应急响应，因为触碰蜜罐已经产生了日志。
• 5、产品本身已实现 Docker 逃逸检测（20.10.001 以上版本）。
• 6、可以在谛听上部署牧云探针，来检测逃逸行为。

2.3 外网溯源蜜罐安全

风险点：
  一些蜜罐会暴露出注入、文件上传等漏洞，如果被攻击者利用，可能会拿下蜜罐并以此为跳板，进而控制管理节点。
应对措施：

• 1、产品底层限制蜜罐容器获取管理节点 root 用户权限，避免了管理平台的核心文件挂载到蜜罐容器内。
• 2、蜜罐和管理节点的管理程序不能直接通信，避免了蜜罐被当作跳板的风险。
• 3、在攻击者不能逃逸 Docker 容器的前提下，即便攻击者通过蜜罐服务的漏洞拿到权限，也仅仅是获得了 Docker 容器的权限，并不能拿到宿主机的权限，所以也利用不了宿主机的资源。
• 4、通过关闭蜜网访问外网的权限，可彻底切断蜜罐到其他网络的访问路径，将所有攻击行为都隔离到封闭的蜜网中，确保蜜罐不会被利用成为跳板。

2.4 其他安全加固措施

• 为预防正常用户访问对外发布的仿真 Web 蜜罐，在制作蜜罐时，可以要求设置 robots.txt 文件，屏蔽搜索引擎的爬虫，避免蜜罐被搜索引擎收录，使正常用户无法通过搜索网站搜索到蜜罐，只有攻击者通过深度扫描的方式才能发现。
• 用户的操作记录都会被审计，可以通过查看审计日志及时发现风险。
• 产品设计时已经关闭不必要的服务（如普通服务和 xinetd 服务），降低了安全风险。