Сајбер безбедност није увек случај да нападачи покушавају да нападну невине жртве и мреже. Захваљујући компјутерском систему за мамце познатом као "хонеипот", ова улога је понекад обрнута.
Док би лонац за мед могао да подсети на слику Винија Пуа који се препушта огромној кади са медом, то има другачију конотацију у свету сајбер безбедности.
Али шта је заправо хонеипот и како помаже у ублажавању сајбер-напада? Да ли постоје различите врсте меда и да ли они такође долазе са неким факторима ризика? Хајде да сазнамо.
Шта је Хонеипот?
Хонеипот је технологија преваре коју користе безбедносни тимови да намерно заробе актере претњи. Као саставни део система за обавештавање и откривање претњи, хонеипот ради симулацијом критичне инфраструктуре, услуге и конфигурације како би нападачи могли да комуницирају са овим лажним ИТ-ом средства.
Хонеипотс се генерално постављају поред производних система које организација већ користи и може бити а вредна предност у учењу више о понашању нападача и алатима и тактикама које користе за спровођење безбедности напада.
Може ли Хонеипот помоћи у ублажавању сајбер напада?
Хонеипот привлачи злонамерне мете у систем тако што намерно оставља део мреже отвореним за актере претњи. Ово омогућава организацијама да изведу сајбер напад у контролисаном окружењу како би процениле потенцијалне рањивости у свом систему.
Крајњи циљ хонеипот-а је да унапреди безбедносни положај организације користећи адаптивну сигурност. Ако је правилно конфигурисан, хонеипот може помоћи у прикупљању следећих информација:
- Порекло напада
- Понашање нападача и ниво њихове вештине
- Информације о најрањивијим циљевима унутар мреже
- Технике и тактике које користе нападачи
- Ефикасност постојећих политика сајбер безбедности у ублажавању сличних напада
Велика предност хонеипот-а је што можете конвертовати било који сервер датотека, рутер или рачунарски ресурс широм мреже у један. Осим прикупљања обавештајних података о нарушавању безбедности, хонеипот такође може да смањи ризик од лажних позитивних резултата јер привлачи само праве сајбер криминалце.
Различите врсте меда
Хонеипотс долазе у различитим дизајнима, у зависности од типа примене. У наставку смо навели неке од њих.
Хонеипотс по намени
Лонци се углавном класификују према намени као што су производни меди или истраживачки меди.
Продукција Хонеипот: Производни хонеипот је најчешћи тип и користи се за прикупљање обавештајних информација у вези са сајбер нападима унутар производне мреже. Продукцијски хонеипот може прикупити атрибуте као што су ИП адресе, покушаји повреде података, датуми, саобраћај и обим.
Док је производне медице лако дизајнирати и применити, они не могу да обезбеде софистицирану интелигенцију, за разлику од својих истраживачких колега. Као такве, углавном их запошљавају приватне компаније, па чак и личности високог профила попут познатих и политичких личности.
Истражите Хонеипот: Сложенији тип меденице, истраживачки медијум је направљен да прикупи информације о специфичним методама и тактикама које користе нападачи. Такође се користи за откривање потенцијалних рањивости које постоје у систему у односу на тактике које примењују нападачи.
Истраживачке медице углавном користе владини субјекти, обавештајна заједница и истраживачке организације за процену безбедносног ризика организације.
Хонеипотс према нивоима интеракције
Хонеипотс се такође могу категорисати по атрибутима. Ово једноставно значи додељивање мамаца на основу његовог нивоа интеракције.
Хонеипотс високе интеракције: Ови меданици не садрже превише података. Они нису дизајнирани да имитирају комплетан производни систем, али покрећу све услуге које би производни систем имао—као што је потпуно функционалан ОС. Овакви типови меда омогућавају тимовима за безбедност да виде акције и стратегије нападача који се упадају у реалном времену.
Хонеипотс са високом интеракцијом обично захтевају велике ресурсе. Ово може представљати изазове за одржавање, али увид који они нуде је вредан труда.
Хонеипотс са малом интеракцијом: Ови хонеипотс се углавном користе у производним окружењима. Радећи на ограниченом броју услуга, они служе као тачке за рано откривање за безбедносне тимове. Хонеипотс са ниским степеном интеракције углавном мирују и чекају да се догоди нека активност како би вас могли упозорити.
С обзиром да овим хонеипотс недостају потпуно функционалне услуге, сајбер нападачима није остало много тога да постигну. Међутим, прилично их је лако применити. Типичан пример меденице са малом интеракцијом би био аутоматизовани ботови који скенирају рањивости у интернет саобраћају као што су ССХ ботови, аутоматизоване грубе силе и ботови за проверу уноса.
Хонеипотс према врсти активности
Хонеипотс се такође могу класификовати на основу врсте активности за које закључују.
Малвер Хонеипотс: Понекад нападачи покушавају да заразе отворене и рањиве системе тако што на њима хостују узорак злонамерног софтвера. Пошто ИП адресе рањивих система нису на листи претњи, нападачима је лакше да хостују малвер.
На пример, хонеипот се може користити за имитацију уређаја за складиштење универзалне серијске магистрале (УСБ). Ако је рачунар нападнут, хонеипот превари малвер да нападне симулирани УСБ. Ово омогућава тимовима за безбедност да прибаве огромне количине нових узорака малвера од нападача.
Спам Хонеипотс: Ови хонеипотс привлаче спамере коришћењем отворени пуномоћници и поштански релеји. Користе се за прикупљање информација о новој нежељеној пошти и нежељеној пошти заснованој на е-пошти, пошто пошиљаоци нежељене поште врше тестове на релејима поште користећи их за слање е-поште себи.
Ако пошиљаоци нежељене поште успешно пошаљу велике количине нежељене поште, хонеипот може идентификовати тест спамера и блокирати га. Сви лажни отворени СМТП релеји могу се користити као спам хонеипотс јер могу пружити знање о тренутним трендовима нежељене поште и идентификовати ко користи СМТП релеј организације за слање нежељене е-поште.
Хонеипотс клијента: Као што име сугерише, клијентски хонеипотови имитирају критичне делове клијентовог окружења како би помогли у циљанијим нападима. Иако нема података за читање који се користе за ове врсте хонеипота, они могу учинити да било који лажни хост изгледа сличан легитимном.
Добар пример клијентског хонеипота би био коришћење података за штампање прстију, као што су информације о оперативном систему, отворени портови и покренути сервиси.
Будите опрезни када користите Хонеипот
Уз све своје дивне предности, медени лонац има потенцијал да се искористи. Док ниска интеракција хонеипот можда не представља никакав безбедносни ризик, висока интеракција хонеипот понекад може постати ризичан експеримент.
Хонеипот који ради на стварном оперативном систему са услугама и програмима може бити компликован за примену и може ненамерно повећати ризик од спољног упада. То је зато што ако је хонеипот погрешно конфигурисан, можда ћете на крају несвесно дозволити приступ вашим осетљивим информацијама хакерима.
Такође, сајбер нападачи из дана у дан постају све паметнији и могу ловити лоше конфигурисане медијуме да би отели повезане системе. Пре него што се упустите у употребу меда, имајте на уму да што је лонац једноставнији, то је мањи ризик.
Захтева "нулту" интеракцију корисника, никакве мере предострожности или будности не могу спречити напад нултим кликом. Хајде да истражујемо даље.
Реад Нект
- Безбедност
- Сајбер безбедност
- Онлине безбедност
- Безбедност
Кинза је технолошки новинар са дипломом из рачунарске мреже и бројним ИТ сертификатима за њом. Радила је у индустрији телекомуникација пре него што се упустила у техничко писање. Са нишом у сајбер-безбедности и темама заснованим на облаку, она ужива у помагању људима да разумеју и цене технологију.
Претплатите се на наш билтен
Придружите се нашем билтену за техничке савете, рецензије, бесплатне е-књиге и ексклузивне понуде!
Кликните овде да бисте се претплатили