2 xmlns=”http://www.w3.org/1999/xhtmlDefinicja honeypota xmlns=”http://www.w3.org/1999/xhtmlJedna z definicji honeypota pochodzi ze świata szpiegostwa, gdzie szpiedzy w stylu Mata Hari, którzy wykorzystują romantyczny związek jako sposób na kradzież sekretów, są określani jako zastawiający „pułapkę na miód” lub „honeypot”. Często wrogi szpieg zostaje skompromitowany przez pułapkę na miód, a następnie zmuszony do przekazania wszystkiego, co wie.
xmlns=”http://www.w3.org/1999/xhtmlW kategoriach bezpieczeństwa komputerowego, cyber honeypot działa w podobny sposób, zastawiając pułapkę na hakerów. To ofiarny system komputerowy, który ma przyciągać cyberataki, jak przynęta. Naśladuje on cel dla hakerów i wykorzystuje ich próby włamania do zdobycia informacji o cyberprzestępcach i sposobie ich działania lub do odwrócenia ich uwagi od innych celów. 2 xmlns=”http://www.w3.org/1999/xhtmlJak działają honeypoty xmlns=”http://www.w3.org/1999/xhtmlM honeypot wygląda jak prawdziwy system komputerowy, z aplikacjami i danymi, oszukując cyberprzestępców, że jest to legalny cel. Na przykład, honeypot może imitować system fakturowania klienta firmy – częsty cel ataków przestępców, którzy chcą znaleźć numery kart kredytowych. Kiedy już hakerzy znajdą się w sieci, mogą być śledzeni, a ich zachowanie oceniane w celu znalezienia wskazówek, jak zwiększyć bezpieczeństwo prawdziwej sieci. xmlns=”http://www.w3.org/1999/xhtmlHoneypoty stają się atrakcyjne dla atakujących poprzez celowe tworzenie luk w zabezpieczeniach. Na przykład, honeypot może posiadać porty, które reagują na skanowanie portów lub słabe hasła. Wrażliwe porty mogą być pozostawione otwarte, aby zachęcić atakujących do wejścia do środowiska honeypota, zamiast do bardziej bezpiecznej sieci na żywo. xmlns=”http://www.w3.org/1999/xhtmlA honeypot nie jest stworzony do rozwiązywania konkretnych problemów, jak firewall czy antywirus. Jest to raczej narzędzie informacyjne, które może pomóc w zrozumieniu istniejących zagrożeń dla firmy i wykryciu nowych. Dzięki informacjom uzyskanym z honeypotów można określić priorytety i skupić się na działaniach związanych z bezpieczeństwem. 2 xmlns=”http://www.w3.org/1999/xhtmlRóżne typy honeypotów i ich działanie xmlns=”http://www.w3.org/1999/xhtmlRóżne typy honeypotów mogą być wykorzystywane do identyfikacji różnych typów zagrożeń. Różne definicje honeypotów opierają się na typie zagrożenia, które jest adresowane. Wszystkie z nich mają swoje miejsce w dokładnej i skutecznej strategii cyberbezpieczeństwa. xmlns=”http://www.w3.org/1999/xhtmlPułapki e-mailowe lub pułapki spamowe umieszczają fałszywy adres e-mail w ukrytym miejscu, gdzie tylko automatyczny kombajn adresowy będzie w stanie go znaleźć. Ponieważ adres ten nie jest wykorzystywany do żadnych innych celów niż pułapka na spam, jest w 100% pewne, że każda przychodząca na niego poczta jest spamem. Wszystkie wiadomości, które zawierają taką samą treść jak te wysyłane do spam-pułapki mogą być automatycznie blokowane, a źródłowe IP nadawców mogą być dodawane do denylisty. xmlns=”http://www.w3.org/1999/xhtmlBaza danych wabików może zostać utworzona w celu monitorowania luk w oprogramowaniu i wykrywania ataków wykorzystujących niezabezpieczoną architekturę systemu lub wykorzystujących wstrzykiwanie SQL, wykorzystywanie usług SQL lub nadużywanie uprawnień. xmlns=”http://www.w3.org/1999/xhtmlA malware honeypot naśladuje aplikacje i interfejsy API oprogramowania w celu zaproszenia złośliwego oprogramowania do ataku. Charakterystyka złośliwego oprogramowania może być następnie przeanalizowana w celu opracowania oprogramowania antywirusowego lub usunięcia luk w API. xmlns=”http://www.w3.org/1999/xhtmlPająk honeypot ma na celu zastawienie pułapki na pająki poprzez tworzenie stron internetowych i linków dostępnych tylko dla nich. Wykrycie pająków może pomóc w nauce blokowania złośliwych botów, jak również pająków sieci reklamowych. xmlns=”http://www.w3.org/1999/xhtmlMonitorując ruch przychodzący do systemu honeypot, można ocenić: l xmlns=”http://www.w3.org/1999/xhtml
xmlns=”http://www.w3.org/1999/xhtmlInna definicja honeypota mówi o tym, czy honeypot jest miejscem o wysokiej czy niskiej interakcji.interakcyjny czy nisko-interakcyjny. Honeypoty o niskiej interakcji wykorzystują mniej zasobów i zbierają podstawowe informacje o poziomie i rodzaju zagrożenia oraz o tym, skąd ono pochodzi. Są łatwe i szybkie do skonfigurowania, zazwyczaj wystarczy kilka podstawowych symulacji protokołów TCP i IP oraz usług sieciowych. Jednak w honeypocie nie ma nic, co mogłoby zaangażować atakującego na bardzo długi czas i nie uzyskamy szczegółowych informacji na temat jego nawyków lub złożonych zagrożeń. xmlns=”http://www.w3.org/1999/xhtmlZ drugiej strony, honeypoty o wysokiej interakcji mają na celu skłonienie hakerów do spędzenia w nim jak największej ilości czasu, dostarczając wielu informacji na temat ich zamiarów i celów, a także wykorzystywanych przez nich luk i sposobów działania. Potraktuj to jako honeypot z dodatkowym „klejem” – bazami danych, systemami i procesami, które mogą zaangażować atakującego na znacznie dłużej. Umożliwia to badaczom śledzenie, gdzie w systemie znajdują się wrażliwe informacje, jakich narzędzi używają do eskalacji przywilejów lub jakich exploitów używają, aby skompromitować system.
xmlns=”http://www.w3.org/1999/xhtmlHigh-interaction honeypots są jednak zasobożerne. Ich założenie i monitorowanie jest trudniejsze i bardziej czasochłonne. Mogą również stwarzać ryzyko; jeżeli nie są zabezpieczone „honeywallem”, naprawdę zdeterminowany i przebiegły haker może wykorzystać honeypota high-interaction do atakowania innych hostów internetowych lub wysyłania spamu ze skompromitowanej maszyny. xmlns=”http://www.w3.org/1999/xhtmlOba typy honeypotów mają swoje miejsce w cyberbezpieczeństwie honeypotowym. Używając mieszanki obu rodzajów honeypotów, można udoskonalić podstawowe informacje o zagrożeniach, które pochodzą z honeypotów o niskiej interakcji, dodając informacje o zamiarach, komunikacji i exploitach z honeypotów o wysokiej interakcji. xmlns=”http://www.w3.org/1999/xhtmlDzięki wykorzystaniu cyber honeypotów do tworzenia ram inteligencji zagrożeń, firma może mieć pewność, że kieruje swoje wydatki na bezpieczeństwo cybernetyczne we właściwe miejsca i może zobaczyć, gdzie ma słabe punkty bezpieczeństwa. 2 xmlns=”http://www.w3.org/1999/xhtmlKorzyści z używania honeypotów xmlns=”http://www.w3.org/1999/xhtmlHoneypoty mogą być dobrym sposobem na ujawnienie luk w zabezpieczeniach głównych systemów. Na przykład, honeypot może pokazać wysoki poziom zagrożenia, jaki stanowią ataki na urządzenia IoT. Może również zasugerować sposoby, w jakie można poprawić bezpieczeństwo. xmlns=”http://www.w3.org/1999/xhtmlUżywanie honeypota ma kilka zalet w porównaniu z próbą wykrycia włamania w prawdziwym systemie. Na przykład, z definicji, honeypot nie powinien otrzymywać żadnego legalnego ruchu, więc każda zarejestrowana aktywność jest prawdopodobnie próbą włamania. xmlns=”http://www.w3.org/1999/xhtmlTo sprawia, że dużo łatwiej jest zauważyć wzorce, takie jak podobne adresy IP (lub adresy IP pochodzące z jednego kraju) używane do przeszukiwania sieci. Z drugiej strony, takie oznaki ataku można łatwo zgubić w szumie, gdy obserwuje się wysoki poziom legalnego ruchu w sieci bazowej. Dużą zaletą zabezpieczeń honeypotów jest to, że te złośliwe adresy mogą być jedynymi, które można zobaczyć, co znacznie ułatwia identyfikację ataku. xmlns=”http://www.w3.org/1999/xhtmlPonieważ honeypoty obsługują bardzo ograniczony ruch, są również zasobożerne. Nie stawiają dużych wymagań sprzętowych, możliwe jest założenie honeypota na starych komputerach, których już nie używamy. Jeśli chodzi o oprogramowanie, wiele gotowych honeypotów jest dostępnych w repozytoriach online, co dodatkowo zmniejsza nakład pracy własnej, niezbędny do uruchomienia honeypota. xmlns=”http://www.w3.org/1999/xhtmlHoneypoty mają niski współczynnik fałszywych pozytywów. Stanowi to wyraźny kontrast w stosunku do tradycyjnych systemów wykrywania włamań (IDS), które mogą generować wysoki poziom fałszywych alarmów. Również w tym przypadku pomaga to w ustaleniu priorytetów i utrzymuje zapotrzebowanie na zasoby honeypotów na niskim poziomie. (W rzeczywistości, wykorzystując dane zebrane przez honeypoty i korelując je z innymi logami systemowymi i logami firewalla, można skonfigurować IDS z bardziej trafnymi alarmami, aby generować mniej fałszywych alarmów. W ten sposób honeypoty mogą pomóc w udoskonaleniu innych systemów cyberbezpieczeństwa.)
xmlns=”http://www.w3.org/1999/xhtmlHoneypoty mogą dostarczyć wiarygodnych informacji na temat ewolucji zagrożeń. Dostarczają one informacji o wektorach ataków, exploitach i złośliwym oprogramowaniu – a w przypadku pułapek e-mailowych, o spamerach i atakach phishingowych. Hakerzy nieustannie udoskonalają swoje techniki włamań; cyber honeypot pomaga wykryć nowo pojawiające się zagrożenia i włamania. Dobre wykorzystanie honeypotów pomaga również wyeliminować martwe punkty. xmlns=”http://www.w3.org/1999/xhtmlHoneypoty są również doskonałym narzędziem szkoleniowym dla pracowników technicznych zajmujących się bezpieczeństwem. Honeypot to kontrolowane i bezpieczne środowisko, w którym można pokazać, jak działają napastnicy i zbadać różne rodzaje zagrożeń. Dzięki honeypotowi, pracownicy działu bezpieczeństwa nie będą rozpraszani przez rzeczywisty ruch w sieci – będą mogli w 100% skupić się na zagrożeniu. xmlns=”http://www.w3.org/1999/xhtmlHoneypoty mogą również wychwytywać zagrożenia wewnętrzne. Większość organizacji poświęca swój czas na obronę obwodu i zapewnienie, że osoby postronne i intruzi nie mogą się do niego dostać. Ale jeśli bronisz tylko obwodu, każdy haker, któremu udało się ominąć zaporę sieciową, ma carte blanche na wyrządzenie wszelkich szkód, jakie może wyrządzić teraz, gdy jest już w środku. xmlns=”http://www.w3.org/1999/xhtmlZapory sieciowe nie pomogą również w walce z zagrożeniem wewnętrznym – na przykład pracownikiem, który chce ukraść pliki przed odejściem z pracy. Honeypot może dostarczyć równie dobrych informacji o zagrożeniach wewnętrznych i pokazać luki w takich obszarach, jak uprawnienia, które pozwalają na wykorzystanie systemu przez osoby wewnątrz firmy. xmlns=”http://www.w3.org/1999/xhtmlWreszcie, zakładając honeypota, tak naprawdę postępujesz altruistycznie i pomagasz innym użytkownikom komputerów. Im dłużej hakerzy marnują swój wysiłek na honeypoty, tym mniej czasu mają na włamywanie się do systemów na żywo i wyrządzanie prawdziwych szkód – Tobie lub innym. 2 xmlns=”http://www.w3.org/1999/xhtmlNiebezpieczeństwa związane z honeypotami xmlns=”http://www.w3.org/1999/xhtmlChoć cyberbezpieczeństwo honeypotów pomoże nakreślić środowisko zagrożeń, honeypoty nie zobaczą wszystkiego, co się dzieje – tylko aktywność skierowaną na honeypota. Tylko dlatego, że dane zagrożenie nie zostało skierowane przeciwko honeypotowi, nie można zakładać, że nie istnieje; ważne jest, aby śledzić nowości w zakresie bezpieczeństwa IT, a nie tylko polegać na honeypotach, aby informować o zagrożeniach. xmlns=”http://www.w3.org/1999/xhtmlDobry, prawidłowo skonfigurowany honeypot będzie zwodził atakujących, aby uwierzyli, że uzyskali dostęp do prawdziwego systemu. Będzie miał te same komunikaty ostrzegawcze o logowaniu, te same pola danych, a nawet ten sam wygląd i loga, co prawdziwe systemy. Jeżeli jednak atakującemu uda się zidentyfikować go jako honeypot, może on przystąpić do ataku na inne systemy, pozostawiając honeypot nietknięty. xmlns=”http://www.w3.org/1999/xhtmlGdy honeypot zostanie już 'fingerprinted', atakujący może tworzyć ataki spoofed, aby odwrócić uwagę od prawdziwego exploita skierowanego przeciwko systemom produkcyjnym. Może również przekazywać złe informacje do honeypota. xmlns=”http://www.w3.org/1999/xhtmlCo gorsza, inteligentny atakujący może potencjalnie wykorzystać honeypota jako drogę do systemów. Dlatego właśnie honeypoty nigdy nie zastąpią odpowiednich zabezpieczeń, takich jak firewalle i inne systemy wykrywania włamań. Ponieważ honeypot może służyć jako platforma startowa do dalszych włamań, upewnij się, że wszystkie honeypoty są dobrze zabezpieczone. Honeywall” może zapewnić podstawowe bezpieczeństwo honeypota i uniemożliwić atakom skierowanym przeciwko niemu przedostanie się do systemu na żywo. xmlns=”http://www.w3.org/1999/xhtmlA honeypot powinien dostarczyć informacji, które pomogą ustalić priorytety działań związanych z bezpieczeństwem cybernetycznym – ale nie może zastąpić właściwego bezpieczeństwa cybernetycznego. Niezależnie od tego, ile honeypotów posiadasz, rozważ pakiet taki jak Kaspersky’s Endpoint Security Cloud, aby chronić swoje zasoby biznesowe. (Kaspersky wykorzystuje swoje własne honeypoty do wykrywania zagrożeń internetowych, więc nie musisz tego robić.) xmlns=”http://www.w3.org/1999/xhtmlOgółem, korzyści z używania honeypotów znacznie przewyższają ryzyko. Hakerzy są często postrzegani jako odległe, niewidzialne zagrożenie – ale używając honeypotów, można dokładnie zobaczyć, co robią, w czasie rzeczywistym, i wykorzystać te informacje, aby powstrzymać ich przed osiągnięciem tego, czego chcą. xmlns=”http://www.w3.org/1999/xhtmlPowiązane linki xmlns=”http://www.w3.org/1999/xhtmlIoT pod ostrzałem: Kaspersky wykrywa ponad 100 milionów ataków na urządzenia inteligentne w pierwszej połowie 2019 roku xmlns=”http://www.w3.org/1999/xhtmlJak szkodliwe oprogramowanie przenika do komputerów i systemów IT xmlns=”http://www.w3.org/1999/xhtmlWhat Is Browser Hijacking?