TeaPot日志分析-关于Shadowserver网络安全蜜网建设的思考

今天TeaPot捕获到来自Shadowserver安全探测项目的域名解析检测，深入了解后发现该组织在网络安全态势分析方面的相关思路跟我不谋而合，同时在一些细节上受益匪浅，特此记录下。
一、Shadowserver及周边
梳理TeaPot域名解析蜜罐日志，发现有关于一个特殊域名的解析：http://dnsscan.shadowserver.org，解析源为184.105.139.67、184.105.247.200、65.49.20.66。登陆网站发现这是一个商业运作的网络资产探测及安全态势分析的组织。网站介绍，Shadowserver是一家美国注册的免税非盈利组织，网址：https://www.shadowserver.org/。该组织向全球173个国家和地区的网络安全管理机构提供免费安全态势报告。内容主要包括全球40亿IP地址扫描结果、15亿恶意样本行为态势，以及后面重点谈到的蜜罐网络监测结果。
二、重点项目
1、SISSDEN项目
由欧盟发起资助，该组织于2016至2019年参与实施名为SISSDEN（Secure Information Sharing Sensor Delivery event Network）的网络安全监测计划，项目预算634万欧元，其中491万欧来自欧盟。

项目网址：https://sissden.eu/。在该博客中详细介绍了本项目使用的网络蜜罐部署规模、方式、类型。其中包括该组织在全球部署981个网络监听和流量转发探针，将捕获的攻击流量转发到后方的沙箱集群中实施进一步攻击诱捕和数据分析。在该项目中，使用了13款网络开源的蜜罐软件，比如我们熟知的cowrie、Honeypy等，累计捕获2亿次攻击事件。



博客上还介绍了该项目发布的一些论文、报告内容、研究方法等，很有参考学习价值。
2、非洲和亚太安全分析项目
2021年2月，该组织获得了FCDO（英国外交、联邦和发展办公室）资助（金额不详），用于专门开展针对非洲和亚太地区的网络安全态势监测。其主要内容为对上述地区983万IP地址开展资产探测，通过部署在上述地区的85个蜜罐节点捕获网络攻击行为，作为对项目的推广，相关报告将部分与蜜罐节点部署地区开展共享。
三、学习借鉴
Shadowserver组织的相关运作很有学习和借鉴价值。
一是技术理念。
我认为网络安全态势分析主要分为三大部分：网络资产探测、风险隐患探测、攻击事件探测。国内在网络资产普查、漏洞隐患检测方面投入比较大，应该说比国外先进团队没有代差甚至更有优势，比如资产普查过程中的目标单位配合、针对漏洞隐患检测的实战攻防演练等。但在事件探测方面国内理念依然不行，对网络安全事件的主流检测思路依然高度依赖网络流量分析和主机层扫描，这种做法的缺陷是成本极高、缺漏很大、误报很高，难以全面开展安全态势分析。而在Shadowserver的运作经验中，其已经开展类型丰富的蜜网组建和数据分析，这一点是国内所缺乏而且难以推动的，相比而言这种方式成本很低、误报很低，而且可以开展异地远程安全分析，这是流量分析不好实现的。
二是运作理念。
Shadowserver蜜罐网络的特点是部署简单而且成本很低，他们通过在前端部署流量转发探针的方式，极大节约了部署成本，国内一个蜜罐二十万，出于各种原因很少有人考虑使用流量转发的方式节省成本。应该有商业公司私下在做，拿到台面上说可能就影响赚钱了。
三是推广理念。
Shadowserver整合了上百个国家和地区开展网络共享，协助其共同搭建蜜罐网络、开展数据分析，其中很重要的原因应该是他们在给每个社区成员的报告中，单独加入了针对该成员的定向数据分析报告。这种思想与“网络安全为人民、网络安全靠人民”的理念比较相似，也是我们要不断学习的。
四是不足之处
虽然有值得借鉴的地方，但我们也看到该机构和相关项目的弊端：一是单纯依赖蜜网实施态势分析仍然有所不足，在这方面，TeaPot加入了对域名解析的支持和记录，在基础理念方面比其要丰富很多；二是Shadowserver的项目报价确实太贵，毕竟就这方面来说，TeaPot一分钱也不要，因为没人给。