Honeypots og honeynets i cybersikkerhed forklaret

Af
Tweet
Share
Share
Pin

Har du nogensinde tænkt på at udspille hackere i deres eget spil? Eller måske er du træt af at forsvare dig mod dårlige teknikere. I begge tilfælde er det tid til at overveje at bruge honeypots og honeynets.

Når man taler om honeypots, henviser man til specialdesignede computersystemer, der lokker angribere og registrerer deres bevægelser. Tænk på dette som et efterretningsindsamlingssystem.

I øjeblikket er der over 1,6 millioner websteder i dag. Hackere scanner løbende internetadresser for dårligt beskyttede systemer. En honeypot er en bevidst sårbar mulig hackerdestination, der påberåber sig penetration, men alligevel fuldt instrumenteret. Hvis angriberen trænger ind i dit system, lærer du, hvordan de gjorde det, og du udstyrer dig selv med de seneste udnyttelser, som er pålagt din organisation.

Denne artikel bygger på honeypots og honeynets og dykker ned i dens kerne for at uddanne dig om dette cybersikkerhedsdomæne. Til sidst bør du have en solid forståelse af området og dets rolle i sikkerhed.

Honeypots har til formål at bedrage angriberen og lære deres adfærd at forbedre dine sikkerhedspolitikker. Lad os dykke ind.

Hvad er en Honeypot?

En honeypot er en sikkerhedsmekanisme, der bruges til at sætte fælder for angribere. Så du kompromitterer med vilje et computersystem for at tillade hackeren at udnytte sikkerhedssårbarheder. På din side er du opsat på at studere angriberens mønstre og dermed bruge den nyerhvervede viden til at påvirke sikkerhedsarkitekturen i dit digitale produkt.

Du kan anvende en honeypot til enhver computerressource, herunder software, netværk, filservere, routere osv. Din organisations sikkerhedsteam kan bruge honeypots til at undersøge cybersikkerhedsbrud og indsamle oplysninger om, hvordan cyberkriminalitet udføres.

I modsætning til traditionelle cybersikkerhedsforanstaltninger, der tiltrækker legitim aktivitet, reducerer honningpotter risikoen for falske positiver. Honeypots varierer fra et design til et andet. De vil dog alle indsnævre sig til at se legitime, sårbare ud og tiltrække cyberkriminelle.

Hvorfor har du brug for honningpotter?

Honeypots i cybersikkerhed har to primære anvendelser, forskning og produktion. Oftest vil honeypots balancere udryddelse og indsamling af information om cyberkriminalitet, før legitime mål angribes, mens de stadig lokker angribere væk fra rigtige mål.

Honeypots er effektive og omkostningsbesparende. Du behøver ikke længere at bruge tid og ressourcer på at jage hackere, men afvente hackere for at angribe forfalskede mål. Derfor kan du se angribere, mens de tror, ​​de har trængt ind i dit system og forsøger at stjæle information.

Du kan bruge honeypots til at evaluere de seneste angrebstrends, kortlægge originale trusselskilder og definere sikkerhedspolitikker, der afbøder fremtidige trusler.

Honeypots design

Honeypots er klassificeret efter deres formål og niveauer af interaktion. Hvis man ser på formålene med honningpotter, kan man se, at der er to designs: forsknings- og produktionshonningpotter.

  Ret Dolphin Traversal Server-forbindelsesfejl
  • Produktion Honeypot: Implementeret i produktion sammen med servere. Denne klasse fungerer som front-end-fælden.
  • Research Honeypot: Denne klasse er eksplicit knyttet til forskere og bruges til at analysere hackerangreb og vejlede om teknikker til at forhindre disse angreb. De uddanner dig ved at indeholde data, som du kan spore tilbage, når de bliver stjålet.

    • Dernæst vil vi udforske typer af honningkrukker.

    Typer af honningkrukker

    Der kan opsættes forskellige honeypots, hver med en grundig og effektiv sikkerhedsstrategi baseret på den trussel, du ønsker at identificere. Her er en oversigt over de tilgængelige modeller.

    #1. E-mail fælder

    Alternativt kendt som spamfælder. Denne type placerer falske e-mailadresser på et skjult sted, hvor kun automatiserede adressehøstere kan finde dem. Da adresserne ikke bruges til nogen anden rolle end i spamfælden, er du sikker på, at enhver e-mail, der kommer til dem, er spam.

    Alle meddelelser med indhold, der ligner spamfældens indhold, kan automatisk blokeres fra systemet, og afsenderens IP-adresse tilføjes til afvisningslisten.

    #2. Lokkedatabase

    I denne metode opsætter du en database til at overvåge softwaresårbarheder og angreb, der udnytter usikre arkitekturer, SQL-injektioner, anden serviceudnyttelse og misbrug af privilegier.

    #3. Spider Honeypot

    Denne klasse fanger webcrawlere (edderkopper) ved at oprette websteder og websider, der kun er tilgængelige for crawler. Hvis du kan finde crawlere, kan du blokere bots og annoncenetværkscrawlere.

    #4. Malware Honeypot

    Denne model efterligner softwareprogrammer og applikationsgrænseflader (API’er) for at påkalde malware-angreb. Du kan analysere malware-egenskaberne for at udvikle anti-malware-software eller adressere sårbare API-endepunkter.

    Honeypots kan også ses i en anden dimension baseret på interaktionsniveauer. Her er en opdeling:

  • Honeypots med lav interaktion: Denne klasse giver angriberen nogle små indsigter og netværkskontrol. Det stimulerer ofte efterspurgte angribertjenester. Denne teknik er mindre risikabel, da den inkluderer det primære operativsystem i sin arkitektur. Selvom de har brug for få ressourcer og er nemme at implementere, er de let at identificere af erfarne hackere og kan undgå dem.
  • Medium interaktion honeypots: Denne model tillader relativt mere interaktion med hackere, i modsætning til lav interaktion. De er designet til at forvente bestemte aktiviteter og tilbyde særlige svar ud over, hvad den grundlæggende eller lave interaktion ville.
  • Honeypots med høj interaktion: I dette tilfælde tilbyder du angriberen mange tjenester og aktiviteter. Da hackeren tager tid på at omgå dine sikkerhedssystemer, indsamler nettet information om dem. Derfor involverer disse modeller realtidsoperativsystemer og er risikable, hvis hackeren identificerer din honeypot. Selvom disse honeypots er dyre og komplekse at implementere, giver de en bred vifte af information om hackeren.

    • Hvordan virker honningpotter?

    Kilde: wikipedia.org

    Sammenlignet med andre cybersikkerhedsforsvarsforanstaltninger er honeypots ikke en klar forsvarslinje, men et middel til at opnå avanceret sikkerhed på digitale produkter. På alle måder ligner en honeypot et ægte computersystem og er fyldt med applikationer og data, som cyberkriminelle anser for ideelle mål.

    For eksempel kan du indlæse din honeypot med følsomme dummy forbrugerdata såsom kreditkortnumre, personlige oplysninger, transaktionsoplysninger eller bankkontooplysninger. I andre tilfælde kan din honeypot søge efter en database med dummy-forretningshemmeligheder eller værdifuld information. Og uanset om du bruger kompromitteret information eller billeder, er ideen at lokke angribere, der er interesserede i at indsamle oplysninger.

      Sådan opretter du en kalender i Google Sheets

    Efterhånden som hackeren bryder ind i din honeypot for at få adgang til lokkedataene, observerer dit informationsteknologihold (IT) deres proceduremæssige tilgang til at bryde systemet, mens de noterer de forskellige anvendte teknikker og systemets fejl og styrker. Denne viden bruges derefter til at forbedre det overordnede forsvar, der styrker netværket.

    For at lokke en hacker ind i dit system, skal du oprette nogle sårbarheder, de kan udnytte. Du kan opnå dette ved at afsløre sårbare porte, der giver adgang til dit system. Desværre er hackere også smarte nok til at identificere honningpotter, der afleder dem fra rigtige mål. For at sikre, at din fælde virker, skal du bygge en attraktiv honningpotte, der tiltrækker opmærksomhed, mens den virker autentisk.

    Honeypot-begrænsninger

    Honeypot-sikkerhedssystemer er begrænset til at opdage sikkerhedsbrud i legitime systemer og identificerer ikke angriberen. Der er også en forbundet risiko. Hvis angriberen med succes udnytter honeypot, kan de fortsætte med at hacke hele dit produktionsnetværk. Din honningkrukke skal isoleres med succes for at forhindre risikoen ved at udnytte dine produktionssystemer.

    Som en forbedret løsning kan du kombinere honeypots med andre teknologier for at skalere dine sikkerhedsoperationer. For eksempel kan du bruge strategien for kanariefælder, der hjælper med at lække information ved at dele flere versioner af følsom information med whistleblowere.

    Fordele ved Honeypot

  • Det hjælper med at opgradere din organisations sikkerhed ved at spille defensivt og fremhæve dine systems smuthuller.
  • Fremhæver zero-day-angreb og registrerer typen af ​​angreb med de tilsvarende anvendte mønstre.
  • Afleder angribere fra rigtige produktionsnetværkssystemer.
  • Omkostningseffektiv med mindre hyppig vedligeholdelse.
  • Nem at implementere og arbejde med.

    • Dernæst vil vi udforske nogle af ulemperne ved Honeypot.

    Ulemper ved Honeypot

  • Den manuelle indsats, der kræves for at analysere trafik og indsamlede data, er udtømmende. Honeypots er et middel til at indsamle oplysninger, ikke at håndtere det.
  • Du er begrænset til kun at identificere direkte angreb.
  • Risikerer at udsætte angribere for andre netværkszoner, hvis honeypotens server kompromitteres.
  • Det er tidskrævende at identificere hackerens adfærd.

    • Udforsk nu farerne ved Honeypots.

    Farerne ved Honeypots

    Mens honeypot-cybersikkerhedsteknologien hjælper med at spore trusselsmiljøet, er de begrænset til at overvåge aktiviteter i honeypots alene; de overvåger ikke alle andre aspekter eller områder i dine systemer. En trussel kan eksistere, men ikke rettet mod honningpotten. Denne driftsmodel efterlader dig med et andet ansvar for at overvåge andre systemdele.

    I vellykkede honeypot-operationer bedrager honeypots hackere, at de har adgang til det centrale system. Men hvis de identificerer dens honningkrukker, kan de afværge dit rigtige system og efterlade fælderne uberørte.

    Honeypots vs. Cyber ​​Deception

    Cybersikkerhedsindustrien bruger ofte “honeypot” og “cyberbedrag” i flæng. Der er dog en væsentlig forskel mellem de to domæner. Som du har set, er honeypots designet til at lokke angribere af sikkerhedsmæssige årsager.

    I modsætning hertil er cyberbedrag en teknik, der bruger falske systemer, informationer og tjenester til enten at vildlede angriberen eller fange dem. Begge foranstaltninger er nyttige i sikkerhedsoperationer i felten, men du kan betragte bedrag som en aktiv forsvarsmetode.

      Sådan bruger du AirPlay med en Mac

    Med mange virksomheder, der arbejder med digitale produkter, bruger sikkerhedsprofessionelle meget tid på at holde deres systemangreb fri. Du kan forestille dig at have bygget et robust, sikkert og pålideligt netværk til din virksomhed.

    Men kan du være sikker på, at systemet ikke kan brydes? Er der svage punkter? Ville en outsider komme ind, og hvis de gjorde, hvad ville der så ske? Vær ikke bekymret mere; honningnets er svaret.

    Hvad er honningnet?

    Honningnet er lokkenetværk, der indeholder samlinger af honningkrukker i et stærkt overvåget netværk. De ligner rigtige netværk, har flere systemer og hostes på en eller nogle få servere, der hver repræsenterer et unikt miljø. For eksempel kan du have Windows, en Mac og en Linux honeypot-maskine.

    Hvorfor har du brug for honningnet?

    Honningnet kommer som honningkrukker med avancerede værdiskabende funktioner. Du kan bruge honeynets til at:

    • Afled ubudne gæster og indsaml en detaljeret analyse af deres adfærd og operationsmodeller eller mønstre.
    • Afslut inficerede forbindelser.
    • Som en database, der gemmer store logs over login-sessioner, hvorfra du kan se angriberes hensigter med dit netværk eller dets data.

    Hvordan virker honningnet?

    Hvis du vil bygge en realistisk hackerfælde, er du enig i, at det ikke er en tur i parken. Honeynets er afhængige af en række elementer, der arbejder problemfrit sammen. Her er de bestanddele:

    • Honeypots: Specielt designede computersystemer, der fanger hackere, andre gange indsat til forskning og lejlighedsvis som lokkemidler, der lokker hackere fra værdifulde ressourcer. Et net dannes, når mange potter samles.
    • Applikationer og tjenester: Du skal overbevise hackeren om, at de bryder ind i et gyldigt og værdifuldt miljø. Værdien skal være krystalklar.
    • Ingen autoriseret bruger eller aktivitet: Et ægte honeynet fanger kun hackere.
    • Honeywalls: Her sigter du efter at studere et angreb. Dit system skal registrere den trafik, der bevæger sig gennem honningnettet.

    Du lokker hackeren ind i en af ​​dine honeynets, og da de forsøger at bevæge sig dybere ind i dit system, begynder du din research.

    Honeypots vs. Honeynets

    Nedenfor er en oversigt over forskellene mellem honeypots og honeynets:

  • En honeypot er installeret på en enkelt enhed, mens honeynet har brug for flere enheder og virtuelle systemer.
  • Honeypots har en lav skovningskapacitet, mens honningnets har en høj.
  • Den nødvendige hardwarekapacitet til honningpotten er lav og moderat, mens honningnettets kapacitet er høj og har brug for flere enheder.
  • Du er begrænset med honeypot-teknologierne, mens honeynets involverer flere teknologier som kryptering og trusselsanalyseløsninger.
  • Honeypots har lav nøjagtighed, mens honeynets har høj.

    • Afsluttende ord

    Som du har set, er honeypots enkelte computersystemer, der ligner naturlige (rigtige) systemer, mens honeynets er samlinger af honeypots. Begge er værdifulde værktøjer til at opdage angreb, indsamle angrebsdata og studere adfærden hos cybersikkerhedsangribere.

    Du har også lært om honeypot-typer og -design og deres roller i forretningsnichen. Du er også opmærksom på fordelene og de dermed forbundne risici. Hvis du spekulerer på, hvad der overmander den anden, er den værdifulde del den største.

    Hvis du har bekymret dig om en omkostningseffektiv løsning til at identificere ondsindet aktivitet i dit netværk, kan du overveje at bruge honeypots og honeynets. Hvis du vil lære, hvordan hacket fungerer og det aktuelle trusselslandskab, kan du overveje at følge Honeynet-projektet skarpt.

    Tjek nu introduktionen til grundlæggende cybersikkerhed for begyndere.