Kybernetická bezpečnosť nie je vždy prípadom, keď sa útočníci pokúšajú zaútočiť na nevinné obete a siete. Vďaka počítačovému systému návnady známemu ako „honeypot“ je táto úloha niekedy obrátená.
Hoci medovník môže vyvolať predstavu Medvedíka Pú, ktorý si dopraje obrovskú vaňu medu, vo svete kybernetickej bezpečnosti má inú konotáciu.
Ale čo je to vlastne honeypot a ako pomáha zmierniť kybernetické útoky? Existujú rôzne typy honeypotov a majú aj nejaké rizikové faktory? Poďme zistiť.
Čo je to Honeypot?
Honeypot je klamná technológia, ktorú používajú bezpečnostné tímy na zámerné zachytenie aktérov hrozby. Ako neoddeliteľná súčasť systému inteligencie a detekcie hrozieb funguje honeypot simuláciou kritické infraštruktúry, služby a konfigurácie, aby útočníci mohli interagovať s týmito falošnými IT aktíva.
Honeypoty sa vo všeobecnosti nasadzujú vedľa produkčných systémov, ktoré organizácia už používa a môžu byť a cenným prínosom pri získavaní ďalších informácií o správaní útočníkov a nástrojoch a taktikách, ktoré používajú na zabezpečenie bezpečnosti útokov.
Môže Honeypot pomôcť zmierniť kybernetické útoky?
Honeypot priťahuje škodlivé ciele do systému tým, že úmyselne ponecháva časť siete otvorenú pre aktérov hrozby. To umožňuje organizáciám vykonať kybernetický útok v kontrolovanom prostredí, aby zmerali potenciálne zraniteľné miesta v ich systéme.
Konečným cieľom honeypotu je zlepšiť bezpečnostnú pozíciu organizácie pomocou adaptívneho zabezpečenia. Ak je správne nakonfigurovaný, honeypot môže pomôcť zhromaždiť nasledujúce informácie:
- Pôvod útoku
- Správanie útočníka a jeho úroveň zručností
- Informácie o najzraniteľnejších cieľoch v rámci siete
- Techniky a taktiky používané útočníkmi
- Účinnosť existujúcich politík kybernetickej bezpečnosti pri zmierňovaní podobných útokov
Veľkou výhodou honeypotu je, že môžete previesť ľubovoľný súborový server, smerovač alebo počítačový zdroj v sieti na jeden. Okrem zhromažďovania informácií o narušeniach bezpečnosti môže honeypot tiež znížiť riziko falošných poplachov, pretože priťahuje iba skutočných počítačových zločincov.
Rôzne typy medovníčkov
Honeypoty sa dodávajú v rôznych prevedeniach a prevedeniach v závislosti od typu nasadenia. Niektoré z nich sme uviedli nižšie.
Honeypots podľa účelu
Honeypoty sú väčšinou klasifikované podľa účelov, ako je produkčný honeypot alebo výskumný honeypot.
Výroba Honeypot: Produkčný honeypot je najbežnejším typom a používa sa na zhromažďovanie spravodajských informácií týkajúcich sa kybernetických útokov v rámci produkčnej siete. Produkčný honeypot môže zhromažďovať atribúty, ako sú adresy IP, pokusy o narušenie údajov, dátumy, návštevnosť a objem.
Zatiaľ čo produkčné honeypoty sa dajú ľahko navrhnúť a nasadiť, nedokážu poskytnúť sofistikovanú inteligenciu, na rozdiel od svojich výskumných náprotivkov. Ako takých ich väčšinou zamestnávajú súkromné spoločnosti a dokonca aj významné osobnosti, ako sú celebrity a politické osobnosti.
Výskum Honeypot: Zložitejší typ honeypotu, výskumný honeypot, slúži na zhromažďovanie informácií o špecifických metódach a taktikách používaných útočníkmi. Používa sa tiež na odhaľovanie potenciálnych zraniteľností, ktoré existujú v systéme v súvislosti s taktikou útočníkov.
Výskumné honeypoty väčšinou používajú vládne subjekty, spravodajská komunita a výskumné organizácie na odhadnutie bezpečnostného rizika organizácie.
Honeypots podľa úrovní interakcie
Honeypoty možno tiež kategorizovať podľa atribútov. To jednoducho znamená priradenie návnady na základe úrovne jej interakcie.
Honeypoty s vysokou interakciou: Tieto honeypoty neobsahujú príliš veľa údajov. Nie sú navrhnuté tak, aby napodobňovali plnohodnotný produkčný systém, ale spúšťajú všetky služby, ktoré by prevádzkoval produkčný systém – ako napríklad plne funkčný OS. Tieto typy honeypotov umožňujú bezpečnostným tímom vidieť akcie a stratégie prenikajúcich útočníkov v reálnom čase.
Honeypoty s vysokou interakciou sú zvyčajne náročné na zdroje. To môže predstavovať problémy s údržbou, ale prehľad, ktorý ponúkajú, stojí za námahu.
Honeypoty s nízkou interakciou: Tieto honeypoty sú väčšinou nasadené v produkčných prostrediach. Tým, že bežia na obmedzenom počte služieb, slúžia ako body včasnej detekcie pre bezpečnostné tímy. Honeypoty s nízkou interakciou sú väčšinou nečinné a čakajú na nejakú aktivitu, aby vás mohli upozorniť.
Keďže týmto honeypotom chýbajú plne funkčné služby, kyberútočníci toho veľa nezostávajú. Ich nasadenie je však pomerne jednoduché. Typickým príkladom honeypotu s nízkou interakciou by bolo automatizované roboty ktoré vyhľadávajú zraniteľné miesta v internetovom prenose, ako sú roboty SSH, automatizované hrubé sily a roboty na kontrolu dezinfekcie vstupov.
Honeypots podľa typu aktivity
Honeypoty možno klasifikovať aj podľa typu činností, z ktorých vyvodzujú.
Škodlivý softvér Honeypots: Niekedy sa útočníci pokúšajú infikovať otvorené a zraniteľné systémy tak, že na nich umiestnia vzorku malvéru. Keďže IP adresy zraniteľných systémov nie sú na zozname hrozieb, je pre útočníkov jednoduchšie hostiť malvér.
Napríklad, honeypot možno použiť na imitáciu úložného zariadenia s univerzálnou sériovou zbernicou (USB). Ak je počítač napadnutý, honeypot oklame malvér, aby zaútočil na simulované USB. To umožňuje bezpečnostným tímom získať obrovské množstvo nových vzoriek malvéru od útočníkov.
Spam Honeypots: Tieto honeypoty priťahujú spamerov používaním otvorené proxy a poštové relé. Používajú sa na zhromažďovanie informácií o novom spame a spamoch založených na e-mailoch, pretože spameri vykonávajú testy prenosov pošty tak, že ich používajú na odosielanie e-mailov sami sebe.
Ak spameri úspešne posielajú veľké množstvo spamu, honeypot dokáže identifikovať spamerov test a zablokovať ho. Akékoľvek falošné otvorené SMTP prenosy môžu byť použité ako spamové prenosy, pretože môžu poskytnúť znalosti o súčasných trendoch spamu a identifikovať, kto používa organizačný prenos SMTP na odosielanie spamových e-mailov.
Klientske Honeypoty: Ako už názov napovedá, klientske honeypoty napodobňujú kritické časti prostredia klienta, aby pomohli s cielenejšími útokmi. Aj keď sa pre tieto typy honeypotov nepoužívajú žiadne údaje na čítanie, môžu spôsobiť, že akýkoľvek falošný hostiteľ bude vyzerať podobne ako legitímny hostiteľ.
Dobrým príkladom klientskeho honeypotu by bolo používanie údajov, ktoré je možné tlačiť prstom, ako sú informácie o operačnom systéme, otvorené porty a spustené služby.
Pri používaní medovníka postupujte opatrne
So všetkými svojimi úžasnými výhodami má honeypot potenciál na využitie. Honeypot s nízkou interakciou síce nemusí predstavovať žiadne bezpečnostné riziká, no z medu s vysokou interakciou sa niekedy môže stať riskantný experiment.
Honeypot spustený na skutočnom operačnom systéme so službami a programami môže byť komplikovaný na nasadenie a môže neúmyselne zvýšiť riziko preniknutia zvonku. Je to preto, že ak je honeypot nakonfigurovaný nesprávne, môžete nevedomky udeliť prístup hackerom k vašim citlivým informáciám.
Kybernetickí útočníci sú tiež zo dňa na deň múdrejší a môžu hľadať zle nakonfigurované honeypoty, aby uniesli pripojené systémy. Predtým, ako sa pustíte do používania honeypotu, majte na pamäti, že čím je honeypot jednoduchší, tým je riziko nižšie.
Vyžaduje sa „nulová“ interakcia používateľa, žiadne bezpečnostné opatrenia ani ostražitosť nemôžu odradiť útok s nulovým kliknutím. Poďme to preskúmať ďalej.
Prečítajte si ďalej
- Bezpečnosť
- Kyber ochrana
- Online bezpečnosť
- Bezpečnosť
Kinza je technologická novinárka s diplomom v oblasti počítačových sietí a mnohými IT certifikáciami. Predtým, ako sa pustila do technického písania, pracovala v telekomunikačnom priemysle. So špecializáciou v oblasti kybernetickej bezpečnosti a cloudových tém rada pomáha ľuďom pochopiť a oceniť technológie.
prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!
Kliknutím sem sa prihlásite na odber
