Honeypots on püünised, mis on seatud katses avastama infosüsteemide mis tahes lubamatu kasutamise eesmärgiga õppida rünnakutest arvutiturbe edasiseks parandamiseks.
Traditsiooniliselt on võrguturvalisuse säilitamine valvavalt toiminud, kasutades võrgupõhiseid kaitsemeetodeid, nagu tulemüürid, sissetungimise avastamise süsteemid ja krüptimine. Kuid praegune olukord nõuab ennetavaid meetodeid infosüsteemide ebaseadusliku kasutamise katsete avastamiseks, kõrvalekaldumiseks ja neutraliseerimiseks. Sellises olukorras on honeypoti kasutamine proaktiivne ja paljutõotav lähenemine, et võidelda võrgu turvalisuse ohtude vastu.
Mis on honeypot?
Arvuti turvalisuse klassikalise valdkonna arvates peab arvuti olema turvaline, kuid selle domeenis peab olema turvaline Honeypots, on turvaaugud seatud eesmärgipäraselt avatuks. Honeypot saab määratleda lõksutena, mis on seatud katsete avastamiseks infosüsteemide igasuguse volitamata kasutamise korral. Honeypot lülitavad sisuliselt tabeleid häkkeritele ja arvuti turvalisuse ekspertidele. Honeypot peamine eesmärk on rünnakute avastamine ja õppimine ning turvalisuse parandamiseks teabe kasutamine. Honeypot on juba ammu kasutatud ründaja tegevuse jälgimiseks ja tulevaste ohtude eest kaitsmiseks. On kaks tüüpi honeypots:
- Research Honeypot - Teaduslikku honeypott kasutatakse sissetungijate taktikate ja tehnikate uurimiseks. Seda kasutatakse jälgimispostiga, et näha, kuidas ründaja töötab süsteemi ohustamisel.
- Tootmine honeypot - neid kasutatakse peamiselt organisatsioonide avastamiseks ja kaitsmiseks. Tootmise honeypot peamine eesmärk on aidata organisatsiooni riski leevendada.
Miks seadistada Honeypotti
Honeypot väärtust kaalutakse sellelt saadud informatsioonist. Honeypot sisenevate ja sealt lahkuvate andmete seire võimaldab kasutajal koguda teavet, mis muidu pole saadaval. Üldiselt on Honeypot seadistamisel kaks populaarset põhjust:
Gain Understanding
Mõistke, kuidas häkkerid proovivad ja püüavad teie süsteemidele juurde pääseda. Üldine idee on see, et kuna süüdlaste tegevusi säilitatakse, saab rünnakute metoodikatest aru saada, et oma tegelikke tootmissüsteeme paremini kaitsta.
Informatsiooni koguma
Koguge kohtuekspertiisi teavet, mis on vajalik häkkerite hävitamiseks või nende eest vastutusele võtmiseks. See on selline teave, mida sageli vajab õiguskaitseametnikele süüdistuste esitamiseks vajalikke andmeid.
Kuidas Honeypot kaitseb arvutisüsteeme
Honeypot on võrku ühendatud arvuti. Neid saab kasutada opsüsteemi või võrgu haavatavuste uurimiseks. Sõltuvalt seadistuse tüübist on võimalik üldiselt või eriti turvalisuse auke uurida. Neid saab kasutada selleks, et jälgida üksikisiku tegevust, kellel on juurdepääs Honeypot'ile.
Honeypotid põhinevad üldjuhul tõelisel serveril, tõelisel operatsioonisüsteemil ja andmetega, mis näevad välja nagu reaalne. Üks peamisi erinevusi on masina asukoht tegelike serverite suhtes. Honeypoti kõige olulisem tegevus on andmete hõivamine, võime logida, hoiatada ja lüüa kõik, mida sissetungija teeb. Kogutud teave võib olla ründaja jaoks üsna kriitiline.
Kõrge vastastikmõju ja madala koostoimega honeypots
Kõrge interaktiivsusega honeypots võib täielikult ohtu segi ajada, võimaldades vaenlul saada täielikku juurdepääsu süsteemile ja seda kasutada edasiste võrgurünnakute käivitamiseks. Selliste honeypottide abil saavad kasutajad rohkem teada saada sihitud rünnakud nende süsteemide vastu või isegi siseringitehingud.
Seevastu madala koostoimega honeypotid pannakse ainult teenustele, mida ei saa kasutada, et täielik juurdepääs honeypot. Need on piiratumad, kuid kasulikud teabe kogumiseks kõrgemal tasemel.
Honeypoti kasutamise eelised
Koguge pärisandmeid
Kuigi Honeypot kogub väikseid andmeid, kuid peaaegu kõik need andmed on tõeline rünnak või volitamata tegevus.
Vähendatud valepositiivne
Enamiku avastamistehnoloogiate (IDS, IPS) puhul on suur hulk teateid olevat valede hoiatuste, samas kui Honeypotiga see ei kehti.
Kuluefektiivne
Honeypot suhtleb ainult pahatahtliku tegevusega ja ei vaja suure jõudlusega ressurssi.
Krüptimine
Mis honeypot, ei ole oluline, kas ründaja kasutab krüptimist; tegevus jääb siiski kinni.
Lihtne
Honeypot on väga lihtne mõista, juurutada ja hooldada.
Honeypot on idee, mitte vahend, mida saab lihtsalt kasutusele võtta. Üks peab teadma varakult, mida nad kavatsevad õppida, ja seejärel saab honeypot kohandada vastavalt nende konkreetsetele vajadustele. Sans.org on kasulikku teavet, kui peate teema kohta rohkem lugema.
