Киберсигурността не винаги е случай на нападателите, които се опитват да атакуват невинни жертви и мрежи. Благодарение на компютърната система за примамка, известна като "honeypot", тази роля понякога се обръща.

Макар че саксия с мед може да напомни образа на Мечо Пух, който се отдава на гигантска вана с мед, той има различно значение в света на киберсигурността.

Но какво точно е honeypot и как помага за смекчаване на кибератаките? Съществуват ли различни видове honeypots и идват ли с някои рискови фактори? Нека разберем.

Какво е Honeypot?

Honeypot е технология за измама, използвана от екипи по сигурността за умишлено улавяне на заплахи. Като неразделна част от системата за разузнаване и откриване на заплахи, honeypot работи чрез симулация критични инфраструктури, услуги и конфигурации, така че нападателите да могат да взаимодействат с тези фалшиви ИТ активи.

Honeypots обикновено се разполагат до производствени системи, които една организация вече използва и може да бъде ценен актив при научаването на повече за поведението на нападателите и инструментите и тактиките, които те използват за осигуряване на сигурност атаки.

instagram viewer

Може ли Honeypot да помогне за смекчаване на кибератаките?

Honeypot привлича злонамерени цели в системата, като умишлено оставя част от мрежата отворена за заплахите. Това позволява на организациите да извършват кибератака в контролирана среда, за да преценят потенциалните уязвимости в тяхната система.

Крайната цел на honeypot е да подобри позицията за сигурност на организацията чрез използване на адаптивна сигурност. Ако е конфигуриран правилно, honeypot може да помогне за събирането на следната информация:

  • Произходът на атака
  • Поведението на нападателя и неговото ниво на умения
  • Информация за най-уязвимите цели в мрежата
  • Техниките и тактиките, използвани от нападателите
  • Ефикасността на съществуващите политики за киберсигурност за смекчаване на подобни атаки

Голямо предимство на honeypot е, че можете да конвертирате всеки файлов сървър, рутер или компютърен ресурс в мрежата в такъв. Освен събирането на разузнавателна информация за нарушения на сигурността, honeypot може също да намали риска от фалшиви положителни резултати, тъй като привлича само истински киберпрестъпници.

Различните видове медни гърнета

Honeypots се предлагат в различни и дизайни, в зависимост от типа на внедряване. Изброихме някои от тях по-долу.

Саксии с мед по предназначение

Саксиите за мед се класифицират най-вече по цели като производствена медна саксия или изследователска саксия.

Производство Honeypot: Производственият honeypot е най-разпространеният тип и се използва за събиране на разузнавателна информация относно кибератаките в рамките на производствена мрежа. Производственият honeypot може да събира атрибути като IP адреси, опити за нарушаване на данните, дати, трафик и обем.

Въпреки че производствените honeypots са лесни за проектиране и внедряване, те не могат да предоставят усъвършенствана интелигентност, за разлика от техните изследователски колеги. Като такива те са наети предимно от частни компании и дори от високопоставени личности като известни личности и политически фигури.

Изследване Honeypot: По-сложен тип honeypot, изследователски honeypot е направен за събиране на информация за специфични методи и тактики, използвани от нападателите. Използва се и за разкриване на потенциалните уязвимости, които съществуват в системата във връзка с тактиките, прилагани от нападателите.

Изследователските honeypots се използват предимно от правителствени организации, разузнавателната общност и изследователски организации за оценка на риска за сигурността на организацията.

Honeypots по нива на взаимодействие

Honeypots също могат да бъдат категоризирани по атрибути. Това просто означава присвояване на примамката въз основа на нейното ниво на взаимодействие.

Honeypots с високо взаимодействие: Тези honeypots не съдържат твърде много данни. Те не са проектирани да имитират пълномащабна производствена система, но изпълняват всички услуги, които една производствена система би направила – като например напълно функционална ОС. Тези видове honeypots позволяват на екипите по сигурността да виждат действията и стратегиите на нахлуващите нападатели в реално време.

Honeypots с високо взаимодействие обикновено са ресурсоемки. Това може да създаде предизвикателства при поддръжката, но прозрението, което те предлагат, си заслужава усилията.

Honeypots с ниско взаимодействие: Тези honeypots се използват предимно в производствени среди. Като работят с ограничен брой услуги, те служат като точки за ранно откриване на екипите за сигурност. Honeypots с ниско взаимодействие са предимно неактивни и чакат да се случи някаква дейност, за да могат да ви предупредят.

Тъй като тези honeypots нямат напълно функционални услуги, не остава много за кибератакуващите да постигнат. Те обаче са сравнително лесни за внедряване. Типичен пример за honeypot с ниско взаимодействие би бил автоматизирани ботове които сканират за уязвимости в интернет трафика, като SSH ботове, автоматизирани груби сили и ботове за проверка на въвеждането.

Honeypots по вид дейност

Honeypots също могат да бъдат класифицирани въз основа на вида на дейностите, които те предполагат.

Зловреден софтуер Honeypots: Понякога нападателите се опитват да заразят отворени и уязвими системи, като хостват проба на злонамерен софтуер върху тях. Тъй като IP адресите на уязвимите системи не са в списък със заплахи, за нападателите е по-лесно да хостват зловреден софтуер.

Например, honeypot може да се използва за имитация на устройство за съхранение на универсална серийна шина (USB). Ако компютърът бъде атакуван, honeypot заблуждава злонамерения софтуер да атакува симулираното USB. Това позволява на екипите по сигурността да придобиват огромни количества нови проби от злонамерен софтуер от нападатели.

Спам Honeypots: Тези honeypots привличат спамъри чрез използване отворени проксита и пощенски релета. Те се използват за събиране на информация за нов спам и спам, базиран на имейл, тъй като спамърите извършват тестове на пощенските релета, като ги използват за изпращане на имейли до себе си.

Ако спамърите успешно изпращат големи количества спам, honeypot може да идентифицира теста на спамера и да го блокира. Всяко фалшиво отворено SMTP релета може да се използва като спам honeypots, тъй като те могат да предоставят знания за текущите тенденции за спам и да идентифицират кой използва SMTP релето на организацията за изпращане на спам имейли.

Клиентски Honeypots: Както подсказва името, клиентските honeypots имитират критичните части от средата на клиента, за да помогнат при по-целенасочени атаки. Въпреки че няма данни за четене, използвани за тези видове honeypots, те могат да направят всеки фалшив хост да изглежда подобен на легитимен.

Добър пример за клиентска honeypot би било използването на данни за отпечатване на пръсти, като информация за операционната система, отворени портове и работещи услуги.

Бъдете внимателни, когато използвате Honeypot

С всичките си прекрасни предимства, honeypot има потенциала да бъде използван. Докато honeypot с ниско взаимодействие може да не представлява никакви рискове за сигурността, високото ниво на взаимодействие понякога може да се превърне в рисков експеримент.

Honeypot, работещ на реална операционна система с услуги и програми, може да бъде сложен за внедряване и може неволно да увеличи риска от външно проникване. Това е така, защото ако honeypot е конфигуриран неправилно, в крайна сметка може да предоставите достъп на хакери до вашата чувствителна информация несъзнателно.

Освен това кибератакерите стават все по-умни с всеки изминал ден и могат да търсят лошо конфигурирани honeypots, за да отвлекат свързани системи. Преди да се впуснете в използването на honeypot, имайте предвид, че колкото по-прост е honeypot, толкова по-нисък е рискът.

Какво е атака с нулево щракване и какво я прави толкова опасна?

Изисквайки „нулево“ потребителско взаимодействие, никакви предпазни мерки за сигурност или бдителност не могат да възпрепятстват атака с нулево щракване. Нека да проучим допълнително.

Прочетете Следващото

Дялтуителектронна поща
Свързани теми
  • Сигурност
  • Кибер защита
  • Онлайн сигурност
  • Сигурност
За автора
Кинза Яшар (публикувани 70 статии)

Кинза е технологичен журналист с диплома по компютърни мрежи и множество ИТ сертификати под колана си. Работила е в телекомуникационната индустрия, преди да се впусне в технически писане. С ниша в киберсигурността и облачните теми, тя обича да помага на хората да разберат и оценят технологиите.

Още от Kinza Yasar

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!

Щракнете тук, за да се абонирате