honeypots sú pasce, ktoré sú určené na odhalenie pokusov o neoprávnené používanie informačných systémov s cieľom učiť sa z útokov na ďalšie zlepšenie počítačovej bezpečnosti.
Tradične udržiavanie bezpečnosti sietí zahŕňa aktívne konanie, využívajúce obranné techniky založené na sieti, ako sú firewally, systémy detekcie narušení a šifrovanie. Súčasná situácia však vyžaduje viac proaktívnych techník na odhaľovanie, odvrátenie a boj proti pokusom o nelegálne používanie informačných systémov. V takomto prípade je použitie honeypots proaktívnym a sľubným prístupom k boju proti hrozbám bezpečnosti siete.
Čo je Honeypot
Vzhľadom na klasickú oblasť počítačovej bezpečnosti musí byť počítač bezpečný, ale v oblasti honeypots, bezpečnostné otvory sú nastavené na účelné otvorenie. Honeypoty môžu byť definované ako pasca, ktorá je nastavená tak, aby odhalila pokusy o neoprávnené použitie informačných systémov. Honeypots v podstate zapínajú tabuľky pre hackerov a odborníkov na bezpečnosť počítača. Hlavným cieľom Honeypotu je odhaliť a učiť sa z útokov a ďalej používať informácie na zvýšenie bezpečnosti. Honeypots sa už dlho používajú na sledovanie aktivít útočníkov a na obranu pred hrozbami. Existujú dva typy honeypots:
- Výskum Honeypot - Výskum Honeypot sa používa na štúdium taktiky a techník narušiteľov. Používa sa ako hodinkový príspevok, aby zistil, ako útočník pracuje pri kompromitácii systému.
- Výrobná honeypot - Používajú sa predovšetkým na detekciu a ochranu organizácií. Hlavným účelom produkcie honeypot je pomôcť zmierniť riziko v organizácii.
Prečo nastaviť Honeypots
Hodnota honeypotu sa váži informáciami, ktoré je možné získať z nej. Sledovanie údajov, ktoré vstupujú a opúšťajú honeypot umožňuje používateľovi získať informácie, ktoré nie sú inak k dispozícii. Vo všeobecnosti existujú dva populárne dôvody na vytvorenie Honeypotu:
Získajte porozumenie
Pochopte, ako hackeri skúmajú a pokúšajú sa získať prístup k vašim systémom. Celková myšlienka je, že od doby, keď sa vedie záznam o činnosti vinníka, je možné získať chápanie metodológie útokov, aby sa lepšie ochránili ich skutočné výrobné systémy.
Získať informácie
Získajte forenzné informácie, ktoré sú potrebné na pomoc pri zadržaní alebo stíhaní hackerov. Toto je druh informácií, ktoré sú často potrebné na to, aby poskytli úradníkom činným v trestnom konaní informácie potrebné na trestné stíhanie.
Ako Honeypots zabezpečujú počítačové systémy
Honeypot je počítač pripojený k sieti. Tieto môžu byť použité na preskúmanie zraniteľnosti operačného systému alebo siete. V závislosti od typu nastavenia je možné študovať bezpečnostné diery vo všeobecnosti alebo najmä. Tieto môžu byť použité na sledovanie činností jednotlivca, ktorý získal prístup k Honeypot.
Honeypoty sú zvyčajne založené na skutočnom serveri, skutočnom operačnom systéme spolu s údajmi, ktoré vyzerajú ako skutočné. Jedným z hlavných rozdielov je umiestnenie stroja vo vzťahu k skutočným serverom. Najdôležitejšou aktivitou honeypotu je zachytiť dáta, schopnosť prihlásiť, upozorniť a zachytiť všetko, čo narušiteľ robí. Zhromaždené informácie sa môžu ukázať ako veľmi kritické voči útočníkovi.
Honeypoty s vysokou interakciou a nízkou interakciou
Honeypoty s vysokou interakciou môžu byť úplne ohrozené, čo umožní nepriateľovi získať plný prístup k systému a použiť ho na spustenie ďalších sieťových útokov. Pomocou takýchto honeypotov sa môžu používatelia dozvedieť viac o cielených útokoch proti ich systémom alebo dokonca o útokoch s vnútornými informáciami.
Naproti tomu honeypoty s nízkou interakciou používajú iba služby, ktoré nemožno využiť, aby získali úplný prístup k honeypotu. Tieto sú obmedzenejšie, ale sú užitočné pre zhromažďovanie informácií na vyššej úrovni.
Výhody používania Honeypots
Zbierajte skutočné údaje
Honeypots zhromažďujú malý objem údajov, ale takmer všetky tieto údaje sú skutočným útokom alebo neoprávnenou činnosťou.
Znížené falošné pozitívne
Pri väčšine detekčných technológií (IDS, IPS) je veľká časť upozornení falošnými upozorneniami, zatiaľ čo pri Honeypotoch to neplatí.
Nákladovo efektívne
Honeypot jednoducho komunikuje so škodlivou aktivitou a nevyžaduje vysoko výkonný zdroj.
šifrovanie
S honeypotom nezáleží na tom, či útočník používa šifrovanie; aktivita bude stále zachytená.
prostý
Honeypoty sú veľmi jednoduché na pochopenie, nasadenie a údržbu.
Honeypot je koncept a nie nástroj, ktorý možno jednoducho nasadiť. Jeden potrebuje vedieť vopred, čo sa chcú učiť, a potom môže byť honeypot prispôsobený na základe ich špecifických potrieb. Na stránke sans.org nájdete niekoľko užitočných informácií, ak potrebujete viac na túto tému.