Przedstawiamy Honeypot czyli cyber-garniec z miodem w Twojej sieci!
Honeypot to ciekawy sposób ochrony Twoich zasobów. To rozwiązanie zaprojektowane tak, aby przyciągnąć uwagę hakerów, aby skierować ich wysiłki na atakowanie „garnka miodu” – imitacji crown jewels Twojej organizacji. A nie systemu, w którym mogłyby spowodować poważne szkody.
Istnieje wiele typów honeypotów, które można zaimplementować. Jeśli chcesz, możesz skonfigurować fałszywy system z całą topologią sieci. Możesz mieć wiele różnych hostów, które będą obejmować szeroką gamę usług, a nawet różne systemy operacyjne. Każdego z tych hostów można skonfigurować inaczej.
Na każdym z nich można uruchomić szereg dowolnych usług i skonfigurować je tak, aby wyglądały tak, jakby działały pod różnymi systemami operacyjnymi. Jeśli chcesz, to do celów symulacji sieci możesz utworzyć dziesiątki tysięcy różnych hostów w swojej sieci LAN. Krótko mówiąc, możesz stworzyć solidną symulację dużego systemu, tak aby wyglądał na autentyczny i umożliwiał atak.
Przykładowo honeypot może naśladować system rozliczeniowy firmy, który jest częstym celem ataku przestępców, poszukujących numerów kart kredytowych.
Lista przykładowych funkcjonalności to:
- Symulacja wielu wirtualnych hostów jednocześnie.
- Identyfikacja cyberataków i przydzielanie hakerom pasywnego „odcisku palca”.
- Symulacja wielu stosów TCP/IP.
- Symulacja topologii sieci.
- Konfiguracja prawdziwych serwerów FTP i HTTP, a nawet aplikacje UNIX pod wirtualnymi adresami IP.
Honeypoty wydają się być łatwym punktem wejścia do sieci, aby odwrócić uwagę atakujących od innych części systemu. Stanowią celową lukę w zabezpieczeniach systemu, którą można zaatakować bez powodowania szkód. A głównym celem jest dostarczenie zespołom IT Security informacji o sposobie działania hakerów. W przeciwieństwie do większości rozwiązań ochrony zasobów, zaprojektowanych wyłącznie w celu powstrzymania zewnętrznych napastników, może on również identyfikować wewnętrzne zagrożenia i ataki.
Dodatkowo honeypoty mają niski odsetek false-positives. Dzięki czemu stają się wyraźnym przeciwieństwiem tradycyjnych systemów wykrywania włamań (IDS), które mogą generować wysoki poziom tych alertów. Pomaga to w ustalaniu priorytetów działań i utrzymuje zapotrzebowanie na zasoby na niskim poziomie.
Można również użyć wniosków wyciągniętych z analizy logów honeypota, aby poprawić konfigurację pozostałych systemów bezpieczeństwa IT.
Honeypot to system, który jest stosowany w jednym celu…aby zostać zaatakowanym. To system przeznaczony do hakowania, infekowania złośliwym oprogramowaniem i ogólnie wykorzystywania przez złośliwą trzecią stronę. Możesz się zastanawiać, dlaczego poświęcić swój czas, wysiłek i pieniądze na skonfigurowanie systemu, który przyciągnie hakerów? Dlaczego miałbyś celowo tworzyć system o osłabionej obronie, który zostanie wykorzystany? Po co w ogóle przyciągać zainteresowanie złośliwych stron trzecich?
Istnieją trzy bardzo dobre powody, dla których warto:
- Zmarnujesz czas hakera. Czas spędzony na atakowaniu bezpiecznego systemu to czas, który nie został poświęcony na hakowanie systemu, który zaszkodzi Twojej organizacji.
- Ustawiając honeypot, będziesz mógł zobaczyć, kto i jak atakuje Twój system. Wnioski stanowią punkt wyjścia do wyboru technologii ochrony przed zagrożeniami.
- Atak wykryty na honeypocie może ochronić Twoją organizację przed rzeczywistym atakiem.
Badacze zagrożeń już od wielu lat stosują honeypoty jako narzędzie analizy zachowań napastników. Są one nieocenionym źródłem wiedzy o tym, w jaki sposób systemy są atakowane, co jest ostatecznym celem i jakie są cechy wspólne z innymi atakami.
Ponieważ obsługują ograniczony ruch, nie mają wielkich wymagań sprzętowych można skonfigurować honeypot przy użyciu starszego sprzętu, odciążając główne zasoby operacyjne.
Mają też uzasadnienie biznesowe – analiza rzeczywistych ataków na wystawione systemy pomaga dokładnie oszacować, jakie technologie będą potrzebne do obrony i w jaki sposób ustrukturyzować budżet na cyberbezpieczeństwo.