Honeypots и Honeynets в киберсигурността обяснени

от

Мислили ли сте някога да надиграете хакерите в собствената им игра? Или може би сте се уморили да се защитавате срещу лоши технически момчета. И в двата случая е време да обмислите използването на honeypots и honeynets.

Когато говорите за honeypots, имате предвид специално проектирани компютърни системи, които примамват нападателите и записват ходовете им. Мислете за това като за система за събиране на разузнавателна информация.

В момента има над 1,6 милиона сайта днес. Хакерите непрекъснато сканират интернет адреси за лошо защитени системи. Honeypot е съзнателно уязвима възможна хакерска дестинация, която предизвиква проникване, но е напълно инструментирана. Ако нападателят проникне във вашата система, вие научавате как са го направили и се оборудвате с най-новите подвизи, наложени на вашата организация.

Тази статия се основава на honeypots и honeynets, навлизайки в същността им, за да ви запознае с този домейн на киберсигурността. До края трябва да имате солидно разбиране за района и неговата роля в сигурността.

Honeypots имат за цел да заблудят нападателя и да научат поведението му, за да подобрят вашите политики за сигурност. Нека се потопим.

Какво е Honeypot?

Honeypot е защитен механизъм, използван за поставяне на капани за нападатели. Така че, вие умишлено компрометирате компютърна система, за да позволите на хакера да използва уязвимостите в сигурността. От ваша страна, вие желаете да изучавате моделите на нападателя и по този начин да използвате новопридобитите знания, за да повлияете на архитектурата за сигурност на вашия цифров продукт.

Можете да приложите honeypot към всеки компютърен ресурс, включително софтуер, мрежи, файлови сървъри, рутери и т.н. Екипът по сигурността на вашата организация може да използва honeypots, за да разследва пробиви в киберсигурността, като събира информация за това как се извършват киберпрестъпленията.

За разлика от традиционните мерки за киберсигурност, които привличат законна дейност, honeypots намаляват риска от фалшиви положителни резултати. Саксиите за мед се различават от един дизайн до друг. Всички те обаче ще се стеснят до това да изглеждат легитимни, уязвими и да привличат киберпрестъпници.

Защо са ви необходими Honeypots?

Honeypots в киберсигурността имат две основни приложения, изследване и производство. Най-често honeypots ще балансират изкореняването и събирането на информация за киберпрестъпленията, преди законните цели да бъдат атакувани, като същевременно примамват нападателите далеч от истинските цели.

Honeypots са ефективни и спестяват разходи. Вече няма да е необходимо да харчите време и ресурси в търсене на хакери, а да чакате хакерите да атакуват фалшифицирани цели. Следователно можете да наблюдавате нападателите, докато си мислят, че са проникнали в системата ви и се опитват да откраднат информация.

Можете да използвате honeypots, за да оцените най-новите тенденции на атаки, да начертаете оригиналните източници на заплахи и да дефинирате политики за сигурност, смекчаващи бъдещи заплахи.

Дизайни на саксии с мед

Honeypots се класифицират според техните цели и нива на взаимодействие. Ако погледнете целите на медените съдове, можете да видите, че има два дизайна: изследователски и производствени медни съдове.

  Как да правите по-добри снимки с Live View на вашия фотоапарат
  • Производство Honeypot: Внедрено в производство заедно със сървъри. Този клас действа като преден капан.
  • Research Honeypot: Този клас е изрично обвързан с изследователи и се използва за анализиране на хакерски атаки и насочване към техники за предотвратяване на тези атаки. Те ви обучават, като съдържат данни, които можете да проследите обратно, когато бъдат откраднати.

    • След това ще разгледаме видовете саксии с мед.

    Видове саксии с мед

    Могат да се настроят различни honeypots, всеки със задълбочена и ефективна стратегия за сигурност, базирана на заплахата, която искате да идентифицирате. Ето разбивка на наличните модели.

    #1. Имейл капани

    Алтернативно известен като капани за спам. Този тип поставя фалшиви имейл адреси на скрито място, където само автоматизирани устройства за събиране на адреси могат да ги намерят. Тъй като адресите не се използват за никаква друга роля освен в капана за спам, вие сте сигурни, че всеки имейл, който идва до тях, е спам.

    Всички съобщения със съдържание, наподобяващо това на капана за нежелана поща, могат да бъдат автоматично блокирани от системата и IP адресът на подателя да бъде добавен към списъка за отказ.

    #2. База данни на примамка

    При този метод вие настройвате база данни за наблюдение на софтуерни уязвимости и атаки, експлоатиращи несигурни архитектури, SQL инжекции, други експлоатирани услуги и злоупотреба с привилегии.

    #3. Паяк Honeypot

    Този клас улавя уеб роботи (паяци), като създава достъпни само за роботи уебсайтове и уеб страници. Ако можете да откриете роботи, можете да блокирате ботове и роботи в рекламни мрежи.

    #4. Honeypot за зловреден софтуер

    Този модел имитира софтуерни програми и приложни интерфейси (API), за да предизвика атаки на зловреден софтуер. Можете да анализирате характеристиките на злонамерения софтуер, за да разработите софтуер срещу злонамерен софтуер или да адресирате уязвими крайни точки на API.

    Honeypots също могат да се разглеждат в друго измерение въз основа на нивата на взаимодействие. Ето разбивка:

  • Honeypots с ниско взаимодействие: Този клас дава на атакуващия някои малки прозрения и мрежов контрол. Стимулира често търсените услуги от атакуващите. Тази техника е по-малко рискована, тъй като включва основната операционна система в своята архитектура. Въпреки че се нуждаят от малко ресурси и са лесни за внедряване, те лесно се разпознават от опитни хакери и могат да ги избегнат.
  • Honeypots със средно взаимодействие: Този модел позволява относително повече взаимодействие с хакери, за разлика от тези с ниско взаимодействие. Те са проектирани да очакват определени дейности и да предложат специфични отговори извън това, което би направило основното или ниско взаимодействие.
  • Honeypots с високо взаимодействие: В този случай вие предлагате на нападателя много услуги и дейности. Тъй като хакерът отнема време, за да заобиколи вашите системи за сигурност, мрежата събира информация за тях. Следователно тези модели включват операционни системи в реално време и са рисковани, ако хакерът идентифицира вашия honeypot. Въпреки че тези honeypots са скъпи и сложни за изпълнение, те предоставят широк обхват от информация за хакера.

    • Как работят Honeypots?

    Източник: wikipedia.org

    В сравнение с други мерки за защита на киберсигурността, honeypots не са ясна защитна линия, а средство за постигане на разширена сигурност на цифровите продукти. Във всички отношения honeypot прилича на истинска компютърна система и е зареден с приложения и данни, които киберпрестъпниците смятат за идеални цели.

      Как да използвате скритата функция на Chrome „Изпращане на раздел към себе си“.

    Например, можете да заредите своя honeypot с чувствителни фиктивни потребителски данни като номера на кредитни карти, лична информация, подробности за транзакция или информация за банкова сметка. В други случаи вашият honeypot може да поеме база данни с фиктивни търговски тайни или ценна информация. И независимо дали използвате компрометирана информация или снимки, идеята е да привлечете нападатели, които се интересуват от събиране на информация.

    Докато хакерът прониква във вашия honeypot, за да получи достъп до данните за примамка, вашият екип за информационни технологии (ИТ) наблюдава техния процедурен подход за нарушаване на системата, като същевременно отбелязва различните използвани техники и неуспехите и силните страни на системата. След това това знание се използва за подобряване на цялостната защита, укрепвайки мрежата.

    За да примамите хакер във вашата система, трябва да създадете някои уязвимости, които той може да използва. Можете да постигнете това, като разкриете уязвими портове, които осигуряват достъп до вашата система. За съжаление, хакерите също така са достатъчно умни, за да идентифицират хищници, които ги отклоняват от реални цели. За да сте сигурни, че вашият капан работи, трябва да изградите атрактивен меден съд, който привлича вниманието, като същевременно изглежда автентичен.

    Ограничения на Honeypot

    Системите за сигурност на Honeypot са ограничени до откриване на пробиви в сигурността в законни системи и не идентифицират нападателя. Съществува и свързан риск. Ако нападателят успешно използва honeypot, той може да продължи да хакне цялата ви производствена мрежа. Вашият honeypot трябва да бъде успешно изолиран, за да се предотврати рискът от експлоатация на производствените ви системи.

    Като подобрено решение можете да комбинирате honeypots с други технологии, за да мащабирате вашите операции по сигурността. Например, можете да използвате стратегията за прихващане на канарчета, която помага за изтичане на информация чрез споделяне на множество версии на чувствителна информация с подателите на сигнали.

    Предимства на Honeypot

  • Той помага да надстроите сигурността на вашата организация, като играете отбранително, подчертавайки вратичките на вашите системи.
  • Подчертава атаките от нулевия ден и записва вида на атаките със съответните използвани модели.
  • Отклонява нападателите от реални производствени мрежови системи.
  • Рентабилен с по-рядка поддръжка.
  • Лесен за внедряване и работа.

    • След това ще разгледаме някои от недостатъците на Honeypot.

    Недостатъци на Honeypot

  • Ръчните усилия, необходими за анализиране на трафика и събраните данни, са изчерпателни. Honeypots са средство за събиране на информация, а не за работа с нея.
  • Ограничени сте да идентифицирате само директни атаки.
  • Рискове от излагане на нападателите на други мрежови зони, ако сървърът на honeypot е компрометиран.
  • Идентифицирането на поведението на хакера отнема много време.

    • Сега проучете опасностите от Honeypots.

    Опасности от Honeypots

    Докато технологията за киберсигурност на honeypot помага за проследяване на заплахата, те са ограничени до наблюдение на дейностите само в honeypots; те не наблюдават всеки друг аспект или област във вашите системи. Възможно е да съществува заплаха, но да не е насочена към кошчето с мед. Този модел на работа ви оставя друга отговорност за наблюдение на други части на системата.

    При успешни honeypot операции, honeypots заблуждават хакерите, че имат достъп до централната система. Въпреки това, ако идентифицират неговите медоносни съдове, те биха могли да предотвратят вашата истинска система, оставяйки капаните недокоснати.

    Honeypots срещу Cyber ​​Deception

    Индустрията за киберсигурност често използва взаимозаменяеми „honeypot“ и „кибер измама“. Има обаче ключова разлика между двата домейна. Както видяхте, honeypots са предназначени да примамват нападатели от съображения за сигурност.

      Какво е това и как работи?

    За разлика от това, киберизмамата е техника, използваща фалшиви системи, информация и услуги, за да подведе нападателя или да го хване в капан. И двете мерки са полезни в полеви операции за сигурност, но можете да считате измамата за метод на активна защита.

    Тъй като много компании работят с цифрови продукти, професионалистите по сигурността прекарват значително време, за да предпазят системите си от атаки. Можете да си представите, че сте изградили здрава, безопасна и надеждна мрежа за вашата компания.

    Можете ли обаче да сте сигурни, че системата не може да бъде пробита? Има ли слаби места? Би ли влязъл външен човек и ако влезе, какво ще се случи след това? Не се тревожете повече; honeynets са отговорът.

    Какво представляват Honeynets?

    Honeynets са мрежи за примамка, съдържащи колекции от honeypots в силно наблюдавана мрежа. Те приличат на реални мрежи, имат множество системи и се хостват на един или няколко сървъра, всеки от които представлява уникална среда. Например, можете да имате Windows, Mac и Linux honeypot машина.

    Защо имате нужда от Honeynets?

    Honeynets идват като honeypots с разширени функции с добавена стойност. Можете да използвате honeynets за:

    • Отклонете нарушителите и съберете подробен анализ на тяхното поведение и модели или модели на работа.
    • Прекратете заразените връзки.
    • Като база данни, която съхранява големи регистрационни файлове на сесии за влизане, от които можете да видите намеренията на нападателите с вашата мрежа или нейните данни.

    Как работят Honeynets?

    Ако искате да създадете реалистичен капан за хакери, съгласете се, че това не е разходка в парка. Honeynets разчитат на серия от елементи, които работят безпроблемно заедно. Ето и съставните части:

    • Honeypots: Специално проектирани компютърни системи, които улавят хакери, друг път използвани за изследване и понякога като примамки, които примамват хакери от ценни ресурси. Когато много саксии се съберат, се образува мрежа.
    • Приложения и услуги: Трябва да убедите хакера, че прониква в валидна и полезна среда. Стойността трябва да е кристално ясна.
    • Няма оторизиран потребител или дейност: Истинската honeynet улавя само хакери.
    • Honeywalls: Тук се стремите да изучавате атака. Вашата система трябва да записва трафика, преминаващ през honeynet.

    Вие примамвате хакера в една от вашите honeynet и докато те се опитват да проникнат по-дълбоко във вашата система, вие започвате вашето проучване.

    Honeypots срещу Honeynets

    По-долу е обобщено разликите между honeypots и honeynets:

  • Honeypot се разполага на едно устройство, докато honeynet се нуждае от множество устройства и виртуални системи.
  • Honeypots имат нисък капацитет за регистриране, докато honeynets имат висок.
  • Хардуерният капацитет, необходим за honeypot, е нисък и умерен, докато този на honeynet е висок и се нуждае от множество устройства.
  • Вие сте ограничени с технологиите honeypot, докато honeynets включва множество технологии като криптиране и решения за анализ на заплахи.
  • Honeypots имат ниска точност, докато honeynets имат висока.

    • Заключителни думи

    Както видяхте, honeypots са единични компютърни системи, наподобяващи естествени (реални) системи, докато honeynets са колекции от honeypots. И двете са ценни инструменти за откриване на атаки, събиране на данни за атаки и изучаване на поведението на нападателите на киберсигурността.

    Научихте също така за видовете и дизайна на саксии за мед и техните роли в бизнес нишата. Освен това сте наясно с ползите и свързаните с това рискове. Ако се чудите кое надделява над другото, ценната част е по-голямата.

    Ако сте се притеснявали за рентабилно решение за идентифициране на злонамерена дейност във вашата мрежа, помислете за използването на honeypots и honeynets. Ако искате да научите как работи хакът и текущия пейзаж на заплахите, помислете дали да следвате внимателно проекта Honeynet.

    Сега вижте въведението в основите на киберсигурността за начинаещи.