HFish/docs/1-4-scene.md

#### 常见蜜罐场景

  > **内网失陷检测场景**

  该场景是蜜罐在企业环境 **最常见** 的使用方法，用来捕捉内网已经失陷、勒索软件和恶意行为，重点在于 **敏捷准确**，具体可细分为 **内部办公场景** 和 **内部IDC场景**，

  **内部办公场景**：蜜罐被部署在企业内部办公网区，用于 **感知内网失陷主机、勒索软件扫描或恶意员工内网刺探行为** ，常见模板可设置为监听tcp/135、139、445和3389等服务。

  **内部服务器场景**：蜜罐被部署在企业内部服务器区，用于 **感知内网失陷和横向移动**，常见模板可以设置文模拟Web、MySQL、Redis、Elasticsearch、SSH、Telnet等服务。


  > **外网风险感知和情报生产场景**

  该场景一般是将节点部署在互联网区，用来感知互联网来自自动化蠕虫、竞争对手和境外的 **真实威胁**，甚至发现针对客户的 **0day攻击**，通过和具有情报生产能力的 **情报平台** 对接，可以稳定准确的**生产私有威胁情报**。

  另外，需要注意，该场景会捕捉到 **大量真实攻击行为** ，在部署蜜罐之前建议将蜜罐加入网络检测设备白名单中避免产生误报。

  > **云环境风险感知场景**

  由于云环境特殊性，云上 **匮乏** 流量检测类安全产品，此外企业防守者需要频繁切换查看本地安全设备的告警与云端有限安全设备的告警。

  而通过在云端部署蜜罐产品，应用蜜罐 **吸引部分攻击**，保护真实业务，并且企业防守者可以通过蜜罐感知到 **云上威胁的强度和方式**，不至于对安全现状一无所知，最后通过 **蜜罐产品的API** 和 **本地态势感知或检测设备** 打通，实现防守者通过一个平台 **统一管理**。


  > **员工账号密码资产遗失感知场景**

  员工账号密码资产遗失对于企业来说都是 **致命隐患**，安全团队如何感知是当下一个空白。

  企业可将常见的对外服务例如vpn.company.com或hr.company.com **替换成蜜罐**，通过监控试图登录的账号判断是否为 **内部员工账号**，并实时通知安全团队和该员工，敦促其尽快修改密码。


  > **企业安全意识培训场景**

  在企业安全工作中，员工 **安全意识问题** 常常被忽略，而对于攻击者，搜集员工信箱批量发送钓鱼或木马病毒链接只要有一个成功即可突破辛苦构建的企业安全防线。

  使用开源的钓鱼邮件工具和 **Web蜜罐自定义能力**，可以快速、低成本的组装 **企业安全意识培训平台**。