11月22日，网络安全公司Palo Alto Networks旗下威胁情报团队Unit 42公布了一份研究报告，报告中指出，该团队研究人员设置的320个蜜罐，其中的80%在24小时内被攻陷，而所有蜜罐都在一周内被攻陷。

蜜罐是一种诱捕攻击者的陷阱，通过模拟易受攻击的计算机，吸引、诱骗互联网上的非法攻击，藉此收集攻击者的数据、分析攻击者的工具和方法，从而进一步了解所面临的安全威胁、增强安全防护能力。

蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻击者的实际行为也就容易多了。

SSH、Samba、Postgres和RDP四类协议均匀部署于整个蜜罐基础设施。2021年7月，研究人员将320个蜜罐部署于北美（NA）、亚太地区（APAC）和欧洲（EU）。

如下为所有蜜罐的平均首次攻陷时间：

可以看到，对于SSH蜜罐，首次攻陷的平均时间为3小时。而Unit 42还观察到，有一个攻击者在短短30秒内攻破了80个Postgres蜜罐中的96%。

实验结果非常令人担忧，我们知道一般在发布新的安全更新时，普通人可能会在数天甚至更长时间完成更新，而威胁行为者只需要数小时就可完成攻击。

下图为在一个蜜罐上两次入侵的平均间隔时间：

互联网上易受攻击的计算机经常会被多个攻击者争夺，为了独占受害者的资源，攻击者通常会删除其他攻击者留下的恶意软件或后门。

研究发现85%的攻击者IP都是在一天内观察到的，大部分攻击者不会在随后的攻击中重复使用相同的IP。这种IP变化意味着第三层防火墙对威胁行为者效果有限。

根据这份研究报告，当配置错误、易受攻击的服务暴露在网络上时，攻击者只需很短的时间就能发现并破坏该服务。这项研究再次验证了不安全暴露的风险，提醒大家要迅速修补安全问题。