honeypots olyan csapdák, amelyek célja az információs rendszerek jogosulatlan felhasználására irányuló kísérletek felderítése, annak érdekében, hogy megtanulják a támadásoktól a számítógépes biztonság további javítását.
Hagyományosan a hálózatbiztonság fenntartása magában foglalja a figyelmet éberen, hálózati alapú védelmi technikák, például tűzfalak, behatolásérzékelő rendszerek és titkosítás használatával. De a jelenlegi helyzet még proaktívabb technikákat követel az információs rendszerek illegális használatára irányuló kísérletek felderítése, eltorzítása és ellensúlyozása érdekében. Ilyen esetekben a honeypotok alkalmazása proaktív és ígéretes megközelítés a hálózati biztonsági fenyegetések leküzdésére.
Mi a Honeypot?
Figyelembe véve a számítógépes biztonság klasszikus területét, a számítógépnek biztonságosnak kell lennie, de a honeypots, a biztonsági lyukak szándékosan nyitottak. A honeypotok olyan csapdaként definiálhatók, amelyek az információs rendszerek jogosulatlan használatára irányuló kísérletek felderítésére szolgálnak. A Honeypots lényegében bekapcsolja a hackerek és a számítógépes biztonsági szakértők asztalait. A Honeypot legfontosabb célja a támadások felderítése és megtanulása, valamint az információ továbbfejlesztése a biztonság javítása érdekében. Honeypotokat már régóta használják a támadók tevékenységének megfigyelésére és a jövőbeli fenyegetések ellen. Kétféle honeypots létezik:
- Kutatási Honeypot - A Research Honeypotot használják a betolakodók taktikájára és technikáira. Óraszámként használják, hogy megtudja, hogyan működik egy támadó egy rendszer veszélyeztetésekor.
- Termelés Honeypot - Ezeket elsősorban a felderítéshez és a szervezetek védelméhez használják. A termelési honeypot legfontosabb célja, hogy segítse a kockázatok enyhítését egy szervezetben.
Miért állított be Honeypots-ot?
A honeypot értékét az általa beszerezhető információ mérlegeli. A honeypotba belépő és onnan távozó adatok felügyelete lehetővé teszi a felhasználó számára, hogy más információkat gyűjtsön. Általában két népszerű ok van a Honeypot létrehozására:
A megértés megszerzése
Megérteni, hogy a hackerek hogyan próbálják megkísérelni a rendszerükhöz való hozzáférést. Az általános elképzelés az, hogy mivel a tettes tevékenységének rekordja megmarad, a támadási módszerekről megismerhetjük a valóságos termelési rendszereik jobb védelmét.
Információgyűjtés
Gyűjtsön össze olyan igazságügyi információkat, amelyek szükségesek a hackerek elfogadásában vagy üldözésében. Ez az a fajta információ, amelyre gyakran szükség van ahhoz, hogy a bűnüldözési tisztviselők rendelkezzenek a büntetőeljáráshoz szükséges adatokkal.
Hogyan működnek a Honeypots a számítógépes rendszerek?
A Honeypot egy számítógéphez csatlakozó számítógép. Ezeket használhatja az operációs rendszer vagy a hálózat sérülékenységének megvizsgálására. A telepítés fajtájától függően általában vagy különösképpen a biztonsági lyukakat vizsgálhatjuk. Ezeket felhasználhatják egy olyan személy tevékenységének megfigyelésére, amely hozzáférést kapott a Honeypothoz.
A honeypotok általában egy valódi kiszolgálón, valós operációs rendszeren alapulnak, valódi adatokkal együtt. Az egyik fő különbség a gép helye a tényleges szerverekhez képest. A honeypot legfontosabb tevékenysége az adatok rögzítése, a naplózás, a riasztás és a behatolók mindent elfogó képessége. Az összegyűjtött információk elég kritikusnak bizonyulhatnak a támadó ellen.
Nagy interakciójú és alacsony interakciójú honeypotok
A nagy interakciójú honeypotok teljes mértékben veszélyeztethetők, így az ellenség teljes hozzáférést nyerhet a rendszerhez, és további hálózati támadások indítására használható. Az ilyen honeypotok segítségével a felhasználók többet tudhatnak meg a rendszerük ellen irányuló célzott támadásokról, vagy akár a bennfentes támadásokról.
Ezzel szemben az alacsony interakciójú honeypotok csak olyan szolgáltatásokat helyeznek el, amelyeket nem lehet kihasználni ahhoz, hogy teljes hozzáférést kapjanak a honeypothoz. Ezek korlátozottabbak, de hasznosak az információk magasabb szintű összegyűjtéséhez.
A Honeypots használatának előnyei
Gyűjtsd össze a valós adatokat
Míg a Honeypots kis mennyiségű adatot gyűjt össze, de szinte az összes adat valódi támadás vagy illetéktelen tevékenység.
Csökkentett hamis pozitív
A legtöbb felderítési technológiával (IDS, IPS) a figyelmeztetések nagy része hamis figyelmeztetések, míg a Honeypots esetében ez nem áll fenn.
Költséghatékony
A Honeypot csak a rosszindulatú tevékenységgel áll kapcsolatban, és nem igényel nagy teljesítményű erőforrásokat.
Encryption
Honeypottal nem számít, hogy egy támadó titkosítást használ-e; a tevékenység még mindig elfogható.
Egyszerű
A honeypotok nagyon egyszerűek megérteni, telepíteni és karbantartani.
A Honeypot egy koncepció, nem olyan eszköz, amely egyszerűen telepíthető. Előre kell tudni előre, hogy mit akarnak tanulni, majd a honeypot testreszabható saját igényeik alapján. Van néhány hasznos információ a sans.org-ról, ha többet szeretne olvasni a témáról.
