Cybersigurnost nije uvijek slučaj da napadači pokušavaju napasti nevine žrtve i mreže. Zahvaljujući računalnom sustavu za mamce poznatom kao "honeypot", ova uloga je ponekad obrnuta.
Dok bi lonac s medom mogao podsjetiti na sliku Winnieja Pooha koji se prepušta ogromnoj kadi s medom, u svijetu kibernetičke sigurnosti ima drugačiju konotaciju.
No, što je zapravo honeypot i kako pomaže u ublažavanju cyber-napada? Postoje li različite vrste honeypota i dolaze li s nekim čimbenicima rizika? Hajde da vidimo.
Što je Honeypot?
Honeypot je tehnologija prijevare koju koriste sigurnosni timovi kako bi namjerno uhvatili aktere prijetnje. Kao sastavni dio sustava za obavještavanje i otkrivanje prijetnji, honeypot radi simulacijom kritične infrastrukture, usluge i konfiguracije kako bi napadači mogli komunicirati s tim lažnim IT-om imovina.
Honeypots se općenito postavljaju uz proizvodne sustave koje organizacija već koristi i može biti a vrijedna prednost u učenju više o ponašanju napadača i alatima i taktikama koje koriste za provođenje sigurnosti napadi.
Može li Honeypot pomoći u ublažavanju kibernetičkih napada?
Honeypot privlači zlonamjerne mete u sustav namjerno ostavljajući dio mreže otvorenim za aktere prijetnje. To omogućuje organizacijama da provedu cyber napad u kontroliranom okruženju kako bi procijenile potencijalne ranjivosti u svom sustavu.
Konačni cilj honeypota je poboljšati sigurnosni položaj organizacije korištenje prilagodljive sigurnosti. Ako je ispravno konfiguriran, honeypot može pomoći u prikupljanju sljedećih informacija:
- Porijeklo napada
- Ponašanje napadača i razina njihove vještine
- Informacije o najranjivijim ciljevima unutar mreže
- Tehnike i taktike koje koriste napadači
- Učinkovitost postojećih politika kibernetičke sigurnosti u ublažavanju sličnih napada
Velika prednost honeypota je da možete pretvoriti bilo koji datotečni poslužitelj, usmjerivač ili računalni resurs preko mreže u jedan. Osim prikupljanja obavještajnih podataka o kršenjima sigurnosti, honeypot također može smanjiti rizik od lažnih pozitivnih rezultata jer privlači samo prave cyber kriminalce.
Različite vrste meda
Honeypots dolaze u različitim dizajnima, ovisno o vrsti implementacije. U nastavku smo naveli neke od njih.
Honeypots po namjeni
Honeypots se uglavnom klasificiraju prema namjenama kao što su proizvodni lonac za med ili istraživački medičar.
Proizvodnja Honeypot: Proizvodni honeypot najčešći je tip i koristi se za prikupljanje obavještajnih informacija o cyber napadima unutar proizvodne mreže. Produkcijski honeypot može prikupiti atribute kao što su IP adrese, pokušaji povrede podataka, datume, promet i volumen.
Iako je proizvodne medice lako dizajnirati i implementirati, ne mogu pružiti sofisticiranu inteligenciju, za razliku od svojih istraživačkih kolega. Kao takve, uglavnom ih zapošljavaju privatne tvrtke, pa čak i osobe visokog profila poput poznatih i političkih osoba.
Istražite Honeypot: Složeniji tip honeypota, istraživački honeypot napravljen je za prikupljanje informacija o specifičnim metodama i taktikama koje koriste napadači. Također se koristi za otkrivanje potencijalnih ranjivosti koje postoje unutar sustava u odnosu na taktike koje primjenjuju napadači.
Istraživačke honeypots uglavnom koriste državni subjekti, obavještajna zajednica i istraživačke organizacije za procjenu sigurnosnog rizika organizacije.
Honeypots prema razinama interakcije
Honeypots se također mogu kategorizirati prema atributima. To jednostavno znači dodjeljivanje mamaca na temelju njegove razine interakcije.
Honeypots visoke interakcije: Ovi medanici ne sadrže previše podataka. Nisu dizajnirani da oponašaju potpuni proizvodni sustav, ali pokreću sve usluge koje bi produkcijski sustav trebao—kao što je potpuno funkcionalan OS. Ove vrste honeypots omogućuju sigurnosnim timovima da vide radnje i strategije napadača koji se upadaju u stvarnom vremenu.
Honeypots visoke interakcije obično zahtijevaju velike resurse. To može predstavljati izazove u održavanju, ali uvid koji oni nude itekako je vrijedan truda.
Honeypots niske interakcije: Ovi se medovi uglavnom primjenjuju u proizvodnim okruženjima. Radeći na ograničenom broju usluga, oni služe kao točke za rano otkrivanje sigurnosnih timova. Honeypots s niskom interakcijom uglavnom miruju, čekaju da se dogodi neka aktivnost kako bi vas mogli upozoriti.
Budući da ovim honeypots nedostaju potpuno funkcionalne usluge, cybernapadačima ne preostaje mnogo toga da postignu. Međutim, prilično ih je lako implementirati. Tipičan primjer medenice niske interakcije bio bi automatizirani botovi koji skeniraju ranjivosti u internetskom prometu kao što su SSH botovi, automatizirane grube sile i botovi za provjeru unosa.
Honeypots prema vrsti aktivnosti
Honeypots se također mogu klasificirati na temelju vrste aktivnosti koje zaključuju.
Malware Honeypots: Ponekad napadači pokušavaju zaraziti otvorene i ranjive sustave hostirajući uzorak zlonamjernog softvera na njima. Budući da IP adrese ranjivih sustava nisu na popisu prijetnji, napadačima je lakše ugostiti zlonamjerni softver.
Na primjer, honeypot se može koristiti za imitaciju uređaja za pohranu univerzalne serijske sabirnice (USB). Ako je računalo napadnuto, honeypot zavarava zlonamjerni softver da napadne simulirani USB. To omogućuje sigurnosnim timovima da pribave ogromne količine novih uzoraka zlonamjernog softvera od napadača.
Spam Honeypots: Ovi honeypots privlače spamere korištenjem otvoreni proxyji i poštanski releji. Koriste se za prikupljanje informacija o novoj neželjenoj pošti i neželjenoj pošti temeljenoj na e-pošti budući da pošiljatelji neželjene pošte izvode testove na relejima pošte koristeći ih za slanje e-pošte sebi.
Ako pošiljatelji neželjene pošte uspješno pošalju velike količine neželjene pošte, honeypot može identificirati test pošiljatelja neželjene pošte i blokirati ga. Svi lažni otvoreni SMTP releji mogu se koristiti kao spam honeypots jer mogu pružiti znanje o trenutnim trendovima neželjene pošte i identificirati tko koristi SMTP relej organizacije za slanje neželjene e-pošte.
Honeypots klijenta: Kao što ime sugerira, klijentski honeypotovi imitiraju kritične dijelove klijentovog okruženja kako bi pomogli u ciljanijim napadima. Iako se za ove vrste honeypotova ne koriste podaci za čitanje, oni mogu učiniti da bilo koji lažni host izgleda sličan legitimnom.
Dobar primjer klijentskog honeypota bio bi korištenje podataka za ispis prstiju, kao što su informacije o operacijskom sustavu, otvoreni portovi i pokrenute usluge.
Budite oprezni kada koristite Honeypot
Uz sve svoje divne prednosti, lonac s medom ima potencijal da se iskoristi. Dok niska interakcija honeypot možda ne predstavlja nikakav sigurnosni rizik, visoka interakcija honeypot ponekad može postati rizičan eksperiment.
Honeypot koji radi na stvarnom operativnom sustavu s uslugama i programima može biti kompliciran za implementaciju i može nenamjerno povećati rizik od vanjskog upada. To je zato što ako je honeypot pogrešno konfiguriran, možda ćete na kraju nesvjesno odobriti pristup svojim osjetljivim podacima hakerima.
Također, cyber napadači iz dana u dan postaju sve pametniji i mogu loviti loše konfigurirane honeypotove kako bi oteli povezane sustave. Prije nego što se upustite u korištenje meda, imajte na umu da što je lonac jednostavniji, to je manji rizik.
Zahtijevajući "nultu" korisničku interakciju, nikakve mjere sigurnosti ili budnosti ne mogu spriječiti napad nultim klikom. Istražimo dalje.
Pročitajte dalje
- Sigurnost
- Cybersigurnost
- Sigurnost na mreži
- Sigurnost
Kinza je tehnološka novinarka s diplomom iz računalne mreže i brojnim IT certifikatima. Radila je u industriji telekomunikacija prije nego što se upustila u pisanje tehničkih tekstova. S nišom u kibernetičkoj sigurnosti i temama temeljenim na oblaku, ona uživa u pomaganju ljudima da razumiju i cijene tehnologiju.
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Kliknite ovdje za pretplatu