Honeypots and Honeynets in Cybersecurity forklart

by
Tweet
Share
Share
Pin
0 Shares

Har du noen gang tenkt på å spille ut hackere i deres eget spill? Eller kanskje du er lei av å forsvare deg mot dårlige teknologifolk. I begge tilfeller er det på tide å vurdere å bruke honningkrukker og honningnetter.

Når du snakker om honningpotter, viser du til spesialdesignede datasystemer som lokker angripere og registrerer bevegelsene deres. Tenk på dette som et etterretningsinnsamlingssystem.

For tiden er det over 1,6 millioner nettsteder i dag. Hackere skanner kontinuerlig gjennom internettadresser for dårlig beskyttede systemer. En honningpotte er en bevisst sårbar mulig hackerdestinasjon som påkaller penetrering, men likevel fullt instrumentert. Hvis angriperen trenger inn i systemet ditt, lærer du hvordan de gjorde det og utstyrer deg selv med de siste utnyttelsene som er pålagt organisasjonen din.

Denne artikkelen bygger på honningpotter og honningnetter, og dykker ned i kjernen for å utdanne deg om dette cybersikkerhetsdomenet. På slutten bør du ha en solid forståelse av området og dets rolle i sikkerhet.

Honeypots tar sikte på å lure angriperen og lære oppførselen deres for å forbedre sikkerhetspolicyene dine. La oss dykke inn.

Hva er en honningpotte?

En honningkrukke er en sikkerhetsmekanisme som brukes til å sette feller for angripere. Så du kompromitterer med vilje et datasystem for å la hackeren utnytte sikkerhetssårbarheter. På din side er du opptatt av å studere angriperens mønstre og dermed bruke den nyervervede kunnskapen til å påvirke sikkerhetsarkitekturen til ditt digitale produkt.

Du kan bruke en honeypot til enhver datamaskinressurs, inkludert programvare, nettverk, filservere, rutere osv. Organisasjonens sikkerhetsteam kan bruke honeypots til å undersøke brudd på nettsikkerhet og samle informasjon om hvordan nettkriminalitet utføres.

I motsetning til tradisjonelle cybersikkerhetstiltak som tiltrekker seg legitim aktivitet, reduserer honningpotter risikoen for falske positiver. Honeypots varierer fra design til design. Imidlertid vil de alle begrense seg til å se legitime, sårbare ut og tiltrekke seg nettkriminelle.

Hvorfor trenger du honningpotter?

Honeypots i cybersikkerhet har to primære bruksområder, forskning og produksjon. Oftest vil honningpotter balansere utroting og innsamling av informasjon om nettkriminalitet før legitime mål blir angrepet, mens de fortsatt lokker angripere vekk fra virkelige mål.

Honeypots er effektive og kostnadsbesparende. Du trenger ikke lenger å bruke tid og ressurser på å jakte på hackere, men vente på at hackere skal angripe forfalskede mål. Følgelig kan du se angripere mens de tror de har penetrert systemet ditt og prøver å stjele informasjon.

Du kan bruke honeypots til å evaluere de siste angrepstrendene, kartlegge originale trusselkilder og definere sikkerhetspolicyer som reduserer fremtidige trusler.

Honeypots-design

Honeypots er klassifisert i henhold til deres mål og nivåer av interaksjon. Hvis du ser på målene med honningpotter, kan du se at det er to design: forskning og produksjonshonningpotter.

  Hvordan kan jeg se hvor Apple-ID-en min blir brukt?
  • Produksjon Honeypot: Utplassert i produksjon sammen med servere. Denne klassen fungerer som front-end-fellen.
  • Research Honeypot: Denne klassen er eksplisitt knyttet til forskere og brukes til å analysere hackerangrep og veilede om teknikker for å forhindre disse angrepene. De utdanner deg ved å inneholde data som du kan spore tilbake når de blir stjålet.

    • Deretter vil vi utforske typer honningpotter.

    Typer honningpotter

    Ulike honningpotter kan settes opp, hver med en grundig og effektiv sikkerhetsstrategi basert på trusselen du ønsker å identifisere. Her er en oversikt over tilgjengelige modeller.

    #1. E-postfeller

    Alternativt kjent som spamfeller. Denne typen plasserer falske e-postadresser på et skjult sted der bare automatiserte adressehøstere kan finne dem. Siden adressene ikke brukes til noen annen rolle enn i spamfellen, er du sikker på at all e-post som kommer til dem er spam.

    Alle meldinger med innhold som ligner på spamfellen kan automatisk blokkeres fra systemet, og avsenderens IP-adresse legges til avvisningslisten.

    #2. Decoy Database

    I denne metoden setter du opp en database for å overvåke programvaresårbarheter og angrep som utnytter usikre arkitekturer, SQL-injeksjoner, annen tjenesteutnyttelse og misbruk av privilegier.

    #3. Spider Honeypot

    Denne klassen fanger søkeroboter (edderkopper) ved å lage nettsteder og nettsider som kun er tilgjengelige for robotsøkeprogram. Hvis du kan oppdage robotsøkeprogrammer, kan du blokkere roboter og søkeroboter for annonsenettverk.

    #4. Malware Honeypot

    Denne modellen etterligner programvare og applikasjonsgrensesnitt (API) for å påkalle malware-angrep. Du kan analysere egenskapene til skadelig programvare for å utvikle anti-malware-programvare eller adressere sårbare API-endepunkter.

    Honeypots kan også sees i en annen dimensjon basert på interaksjonsnivåer. Her er en oversikt:

  • Honeypots med lav interaksjon: Denne klassen gir angriperen litt liten innsikt og nettverkskontroll. Det stimulerer ofte etterspurte angripertjenester. Denne teknikken er mindre risikabel siden den inkluderer det primære operativsystemet i arkitekturen. Selv om de trenger lite ressurser og er enkle å distribuere, er de lett identifiserbare av erfarne hackere og kan unngå dem.
  • Honeypots med middels interaksjon: Denne modellen tillater relativt mer interaksjon med hackere, i motsetning til de med lav interaksjon. De er utformet for å forvente visse aktiviteter og tilbyr spesielle svar utover hva den grunnleggende eller lave interaksjonen ville.
  • Honeypots med høy interaksjon: I dette tilfellet tilbyr du angriperen mange tjenester og aktiviteter. Ettersom hackeren bruker tid på å omgå sikkerhetssystemene dine, samler nettet informasjon om dem. Derfor involverer disse modellene sanntidsoperativsystemer og er risikable hvis hackeren identifiserer honningpotten din. Selv om disse honningkrukkene er dyre og komplekse å implementere, gir de et bredt spekter av informasjon om hackeren.

    • Hvordan fungerer honningpotter?

    Kilde: wikipedia.org

    Sammenlignet med andre cybersikkerhetstiltak, er honningpotter ikke en klar forsvarslinje, men et middel for å oppnå avansert sikkerhet på digitale produkter. På alle måter ligner en honningkrukke på et ekte datasystem og er lastet med applikasjoner og data som nettkriminelle anser som ideelle mål.

    Du kan for eksempel laste honningpotten med sensitive dummy-forbrukerdata som kredittkortnumre, personlig informasjon, transaksjonsdetaljer eller bankkontoinformasjon. I andre tilfeller kan honningpotten din ta etter en database med dummy-forretningshemmeligheter eller verdifull informasjon. Og enten du bruker kompromittert informasjon eller bilder, er ideen å lokke angripere som er interessert i å samle informasjon.

      Hvordan finne noen gratis etter telefonnummer

    Når hackeren bryter seg inn i honningpotten din for å få tilgang til lokkedataene, observerer IT-teamet deres prosedyremessige tilnærming til å bryte systemet mens de legger merke til de ulike teknikkene som brukes og systemets feil og styrker. Denne kunnskapen brukes deretter til å forbedre det overordnede forsvaret som styrker nettverket.

    For å lokke en hacker inn i systemet ditt, må du lage noen sårbarheter de kan utnytte. Du kan oppnå dette ved å avsløre sårbare porter som gir tilgang til systemet ditt. Dessverre er hackere også smarte nok til å identifisere honningpotter som avleder dem fra ekte mål. For å sikre at fellen din fungerer, må du bygge en attraktiv honningkrukke som vekker oppmerksomhet samtidig som den virker autentisk.

    Honeypot-begrensninger

    Honeypot sikkerhetssystemer er begrenset til å oppdage sikkerhetsbrudd i legitime systemer og identifiserer ikke angriperen. Det er også en forbundet risiko. Hvis angriperen lykkes med å utnytte honningpotten, kan de fortsette å hacke hele produksjonsnettverket ditt. Honeypoten din må isoleres på en vellykket måte for å forhindre risikoen for å utnytte produksjonssystemene dine.

    Som en forbedret løsning kan du kombinere honningpotter med andre teknologier for å skalere sikkerhetsoperasjonene dine. Du kan for eksempel bruke kanarifelle-strategien som hjelper til med å lekke informasjon ved å dele flere versjoner av sensitiv informasjon med varslere.

    Fordeler med Honeypot

  • Det hjelper med å oppgradere organisasjonens sikkerhet ved å spille defensivt, og fremheve systemenes smutthull.
  • Fremhever zero-day angrep og registrerer typen angrep med de tilsvarende mønstrene som brukes.
  • Avleder angripere fra ekte produksjonsnettverkssystemer.
  • Kostnadseffektiv med mindre hyppig vedlikehold.
  • Enkel å distribuere og jobbe med.

    • Deretter vil vi utforske noen av ulempene med Honeypot.

    Ulemper med Honeypot

  • Den manuelle innsatsen som kreves for å analysere trafikk og innsamlede data er uttømmende. Honeypots er et middel til å samle informasjon, ikke håndtere det.
  • Du er begrenset til kun å identifisere direkte angrep.
  • Risikerer å utsette angripere for andre nettverkssoner hvis honeypot-serveren blir kompromittert.
  • Det er tidkrevende å identifisere hackerens oppførsel.

    • Utforsk nå farene ved Honeypots.

    Farene ved Honeypots

    Mens honeypot cybersecurity-teknologien hjelper til med å spore trusselmiljøet, er de begrenset til å overvåke aktiviteter i honeypots alene; de overvåker ikke alle andre aspekter eller områder i systemene dine. En trussel kan eksistere, men ikke rettet mot honningkrukken. Denne driftsmodellen gir deg et annet ansvar for å overvåke andre systemdeler.

    I vellykkede honeypot-operasjoner lurer honeypots hackere at de har fått tilgang til det sentrale systemet. Men hvis de identifiserer honningkrukkene, kan de unngå at ditt virkelige system lar fellene være urørt.

    Honeypots vs. Cyber ​​Deception

    Cybersikkerhetsindustrien bruker ofte «honeypot» og «cyberbedrag» om hverandre. Imidlertid er det en nøkkelforskjell mellom de to domenene. Som du har sett, er honningpotter laget for å lokke angripere av sikkerhetsgrunner.

    I motsetning til dette er cyberbedrag en teknikk som bruker falske systemer, informasjon og tjenester for enten å villede angriperen eller fange dem. Begge tiltakene er nyttige i sikkerhetsfeltoperasjoner, men du kan vurdere bedrag som en aktiv forsvarsmetode.

      Hvordan sette opp en vedvarende Ubuntu USB

    Med mange selskaper som jobber med digitale produkter, bruker sikkerhetseksperter mye tid på å holde systemangrep fri. Du kan tenke deg å ha bygget et robust, trygt og pålitelig nettverk for din bedrift.

    Men kan du være sikker på at systemet ikke kan brytes? Er det svake punkter? Ville en utenforstående komme inn, og hvis de gjorde det, hva ville skje videre? Ikke bekymre deg mer; honningnetter er svaret.

    Hva er honningnett?

    Honeynets er lokkenettverk som inneholder samlinger av honningpotter i et høyt overvåket nettverk. De ligner ekte nettverk, har flere systemer og er vert på én eller noen få servere, som hver representerer et unikt miljø. For eksempel kan du ha Windows, en Mac og en Linux honeypot-maskin.

    Hvorfor trenger du honningnett?

    Honningnett kommer som honningkrukker med avanserte verdiøkende funksjoner. Du kan bruke honningnetter til å:

    • Avled inntrengere og samle en detaljert analyse av deres oppførsel og operasjonsmodeller eller mønstre.
    • Avslutt infiserte tilkoblinger.
    • Som en database som lagrer store logger over påloggingsøkter der du kan se angripernes intensjoner med nettverket ditt eller dets data.

    Hvordan fungerer honningnett?

    Hvis du vil bygge en realistisk hackerfelle, er du enig i at det ikke er en tur i parken. Honningnett er avhengig av en rekke elementer som fungerer sømløst sammen. Her er bestanddelene:

    • Honeypots: Spesialdesignede datasystemer som fanger hackere, andre ganger utplassert for forskning, og noen ganger som lokkefugler som lokker hackere fra verdifulle ressurser. Et nett dannes når mange potter kommer sammen.
    • Applikasjoner og tjenester: Du må overbevise hackeren om at de bryter seg inn i et gyldig og verdifullt miljø. Verdien må være krystallklar.
    • Ingen autorisert bruker eller aktivitet: Et ekte honningnett fanger bare hackere.
    • Honeywalls: Her sikter du på å studere et angrep. Systemet ditt må registrere trafikken som beveger seg gjennom honningnettet.

    Du lokker hackeren inn i en av dine honeynets, og når de prøver å bevege seg dypere inn i systemet ditt, begynner du forskningen din.

    Honeypots vs Honeynets

    Nedenfor er en oppsummering av forskjellene mellom honningpotter og honningnetter:

  • En honeypot er distribuert på en enkelt enhet, mens honeynet trenger flere enheter og virtuelle systemer.
  • Honeypots har lav hogstkapasitet, mens honningnetter har høy.
  • Maskinvarekapasiteten som trengs for honningpotten er lav og moderat, mens den for honningnettet er høy og trenger flere enheter.
  • Du er begrenset med honeypot-teknologiene, mens honeynets involverer flere teknologier som kryptering og trusselanalyseløsninger.
  • Honeypots har lav nøyaktighet, mens honningnetter har høy.

    • Siste ord

    Som du har sett er honningkrukker enkeltdatasystemer som ligner naturlige (ekte) systemer, mens honningkrukker er samlinger av honningkrukker. Begge er verdifulle verktøy for å oppdage angrep, samle inn angrepsdata og studere atferden til cybersikkerhetsangripere.

    Du har også lært om honningpottetyper og -design og deres roller i forretningsnisjen. Du er også klar over fordelene og tilhørende risikoer. Hvis du lurer på hva som overmanner den andre, er den verdifulle delen den største.

    Hvis du har bekymret deg for en kostnadseffektiv løsning for å identifisere ondsinnet aktivitet i nettverket ditt, bør du vurdere å bruke honeypots og honeynets. Hvis du vil lære hvordan hacket fungerer og det nåværende trussellandskapet, bør du vurdere å følge Honeynet-prosjektet nøye.

    Nå, sjekk ut introduksjonen til grunnleggende cybersikkerhet for nybegynnere.