对于网络安全来说,LastLine公司可以说保持最后的防线作为自己的使命。作为一家从事安全研究以及“为现有反病毒软件和防火墙提供补充保护技术”的公司,它采用了先发制人的模式,通过“对每天搜集的数百万可疑网址和二进制信息进行分析,获取网络犯罪行为的相关信息”,并将分析结果应用到安全策略的基础开发上。
在最近的研究工作中,公司遇到了如同《是统计信息还是人在撒谎?》一文中描述的事件。在对安全黑客的服务器进行攻击后,研究人员破解了相关密码,并进入一台用来进行非法恶意软件活动的“后台服务器”。结果却发现,被怀疑的服务器并不是象预期的那样,属于恶意软件的命令和控制系统。
安全研究人员和其它网络安全专家经常使用的研究方法就是“蜜罐”系统。所谓的蜜罐就是一台存在漏洞的假服务器。恶意安全黑客发现它的存在,并通过漏洞获取到控制权,而没有意识到这里并不存在有价值的东西,仅仅是一个诱饵。在他们这样做的时间,活动信息会被记录下来,系统管理员们就可以发现存在的漏洞;这种模式可以让系统管理员们收集网络法证数据和感兴趣的其它信息,并利用这些数据来追捕罪犯,巩固自己的防御措施,或两者兼而有之。
具有讽刺意味的是,这也就等于说,LastLine公司在服务器上发现的是:一个蜜罐系统。
关于该事件的讨论在几篇文章中出现过,举例来说,卡巴斯基实验室的“威胁日志”安全新闻服务就报告了该事件,题目为《攻击者现在开始使用蜜罐系统诱捕安全研究人员》。但是,仅仅依靠来自一起单独特定事件的证据并不能充分支持这样的结论。事实上,在这起事件中的蜜罐系统很可能是用来诱捕企图劫持该服务器的其它恶意安全黑客的。
没有更多信息的话,根本没有理由认为在这起事件中,蜜罐系统是专门用来诱捕安全研究人员的。当然,我们可以对现有信息进行深入详细的分析,这样做也是很有好处的。这种情况说明掌握了先进安全防范措施的恶意黑客也开始利用以其人之道还治其人之身的方法来保护自己了。