honeypots su zamke koje su postavljene za otkrivanje pokušaja neovlaštenog korištenja informacijskih sustava s ciljem učenja od napada do daljnjeg poboljšanja računalne sigurnosti.
Tradicionalno, održavanje mrežne sigurnosti uključivalo je djelovanje oprezno, pomoću mrežnih obrambenih tehnika kao što su vatrozidi, sustavi za otkrivanje upada i šifriranje. No, trenutna situacija zahtijeva više proaktivne tehnike za otkrivanje, odbijanje i suzbijanje pokušaja nezakonitog korištenja informacijskih sustava. U takvom scenariju, korištenje honeypots je proaktivan i obećavajući pristup za borbu protiv prijetnji mrežnih sigurnosti.
Što je Honeypot
S obzirom na klasično područje računalne sigurnosti, računalo mora biti sigurno, ali u domeni honeypots, sigurnosne rupe se namjeravaju otvoriti. Honeypots se mogu definirati kao zamka koja je postavljena za otkrivanje pokušaja neovlaštenog korištenja informacijskih sustava. Honeypots uglavnom uključuju stolove za hakere i stručnjake za računalnu sigurnost. Glavna svrha Honeypot-a je otkrivanje i učenje od napada i daljnje korištenje informacija radi poboljšanja sigurnosti. Honeypotovi su odavno upotrebljavani za praćenje aktivnosti napadača i obranu od dolaznih prijetnji. Postoje dvije vrste honeypots:
- Istraživanje Honeypot - Istraživačka Honeypot koristi se za proučavanje taktike i tehnike uljeza. Koristi se kao post watcha kako biste vidjeli kako napadač radi pri kompromitiranju sustava.
- Proizvodnja Honeypot - Prvenstveno se koriste za otkrivanje i zaštitu organizacija. Glavna svrha proizvodnje honeypot je pomoći ublažavanju rizika u organizaciji.
Zašto postaviti Honeypots
Vrijednost honeypot je vagana od informacija koje se mogu dobiti od njega. Praćenje podataka koji ulaze i ostavlja honeypot omogućuje korisniku prikupljanje informacija koje inače nisu dostupne. Općenito, postoje dva popularna razloga za postavljanje Honeypot:
Dobit Razumijevanje
Shvatite kako hakeri proučavaju i pokušavaju dobiti pristup vašim sustavima. Cjelokupna ideja je da, budući da se vodi evidencija o aktivnostima krivca, može se stjecati razumijevanje metodologija napada kako bi bolje zaštitili svoje stvarne sustave proizvodnje.
Skupiti informacije
Prikupite forenzičke podatke koji su potrebni za pomoć pri zatvaranju ili progonu hakera. To je vrsta informacija koja je često potrebna kako bi se službenici za provedbu zakona dobili detalji koji su potrebni za procesuiranje.
Kako Honeypots osigurava računalne sustave
Honeypot je računalo povezano s mrežom. One se mogu koristiti za ispitivanje ranjivosti operacijskog sustava ili mreže. Ovisno o vrsti postavljanja, može se općenito ili posebice proučiti sigurnosne rupe. To se može koristiti za promatranje aktivnosti pojedinca koji je dobio pristup Honeypot.
Honeypots se uglavnom temelje na stvarnom poslužitelju, stvarnom operativnom sustavu, zajedno s podacima koji izgledaju kao stvarni. Jedna od glavnih razlika je mjesto stroja u odnosu na stvarne poslužitelje. Najvažnija aktivnost honeypot je uhvatiti podatke, sposobnost da se prijavite, upozoriti i uhvatiti sve što uljeza radi. Prikupljene informacije mogu se pokazati vrlo kritičnim prema napadaču.
High-Interaction vs Low-Interaction Honeypots
Honeypots visoke interakcije mogu biti potpuno ugroženi, dopuštajući neprijatelju da dobije puni pristup sustavu i koristi ga za pokretanje daljnjih mrežnih napada. Pomoću takvih honeypots, korisnici mogu saznati više o ciljanim napadima protiv njihovih sustava ili čak o napadima insider.
Nasuprot tome, honeypots s niskim interakcijama stavljaju samo usluge koje se ne mogu iskoristiti kako bi dobili potpun pristup honeypotu. To su ograničenije, ali su korisni za prikupljanje informacija na višoj razini.
Prednosti korištenja Honeypots
Prikupite stvarne podatke
Dok Honeypots prikuplja mali obujam podataka, ali gotovo sve ove podatke predstavlja pravi napad ili neovlaštenu aktivnost.
Smanjena lažno pozitivna
Većina tehnologija otkrivanja (IDS, IPS) velika je doza upozorenja lažna upozorenja, dok s Honeypots to ne vrijedi.
Isplativo
Honeypot samo komunicira s zlonamjernom aktivnošću i ne zahtijeva resurse visokih performansi.
Šifriranje
Uz honeypot, nije bitno ako napadač koristi šifriranje; aktivnost će i dalje biti zarobljena.
Jednostavan
Honeypots su vrlo jednostavni za razumijevanje, implementaciju i održavanje.
Honeypot je koncept, a ne alat koji se jednostavno može razmjestiti. Morate unaprijed znati što namjeravaju naučiti, a zatim se honeypot može prilagoditi na temelju njihovih specifičnih potreba. Postoje neke korisne informacije o sans.org ako trebate pročitati više o toj temi.
