誘捕網路系統(Honeynet)被稱作為積極的防禦,主要是透過模擬真實系統環境的方式,主動蒐集、誘捕駭客的活動行為、惡意程式等資訊,再透過分析之後增進資安防護的一種方式,1999年,國際間普遍開始此一計劃(Honeynet Project),全球共44個支會,為非營利組織,旨在促進資安進步、降低資安威脅與技術研究。
今年一年一度的盛會(The Honeynet Annual Workshop 2012)於Facebook總部也甫才結束,而今年主要幾大主軸,分別圍繞在Honeynet sinkhole 、IPv6的Honeynet及Honeycloud的Datafeeds資料中心應用。
The Honeynet Project台灣分會負責人蔡一郎說,sinkhole主要是透過一些實際的網路設備製造出網路環境,簡單比喻,可以說是網路的Sandbox,當honeynet發現可疑的異常名單後,透過sinkhole模擬一個真實的中繼站,更進一步的了解更多網路行為與資訊,目前有些國家已開始實作,但由於是針對性的監控,內含資訊更多,因此目前仍有相關的隱私權議題待討論,現在多是被ISP業者用來增進其自身的網路安全。
另外一個去年才剛開始發展的議題-Honeycloud Datafeeds,今年已經有一些成果。CERT是資安事件跟情報的集中地,而Honeycloud Datafeeds可以說就是惡意程式的分享平台,透過全球部署的Honeynet系統間合作與共享,如此龐大的互聯網,目前已蒐集超過1,200萬隻病毒樣本。為擔心遭到誤用或營利,目前僅提供會員間共享、研究,或提供與非營利用途,例如提供各政府、國安單位等最新惡意程式樣本,降低資安威脅。
<更多詳細的內容,將於資安人雜誌85期刊登。>