Kybernetická bezpečnost není vždy případem útočníků, kteří se snaží zaútočit na nevinné oběti a sítě. Díky návnadovému počítačovému systému známému jako „honeypot“ je tato role někdy obrácena.

Zatímco honeypot může připomenout představu Medvídka Pú, který si dopřává obří vanu medu, ve světě kybernetické bezpečnosti má jinou konotaci.

Ale co přesně je honeypot a jak pomáhá zmírňovat kybernetické útoky? Existují různé typy honeypotů a mají také nějaké rizikové faktory? Pojďme to zjistit.

Co je Honeypot?

Honeypot je klamná technologie, kterou používají bezpečnostní týmy k záměrnému zachycení aktérů hrozeb. Jako nedílná součást systému inteligence a detekce hrozeb funguje honeypot simulací kritické infrastruktury, služby a konfigurace, aby útočníci mohli s těmito falešnými IT interagovat aktiva.

Honeypoty se obecně nasazují vedle produkčních systémů, které organizace již používá a mohou být cenným přínosem pro získání více informací o chování útočníků a nástrojích a taktikách, které používají k zabezpečení útoky.

instagram viewer

Může Honeypot pomoci zmírnit kybernetické útoky?

Honeypot přitahuje do systému škodlivé cíle tím, že záměrně ponechává část sítě otevřenou aktérům ohrožení. To umožňuje organizacím provést kybernetický útok v kontrolovaném prostředí, aby změřily potenciální zranitelnosti v jejich systému.

Konečným cílem honeypotu je zlepšit bezpečnostní pozici organizace využívající adaptivní zabezpečení. Pokud je správně nakonfigurován, může honeypot pomoci získat následující informace:

  • Původ útoku
  • Chování útočníka a jeho úroveň dovedností
  • Informace o nejzranitelnějších cílech v rámci sítě
  • Techniky a taktiky používané útočníky
  • Účinnost stávajících politik kybernetické bezpečnosti při zmírňování podobných útoků

Velkou výhodou honeypotu je, že můžete převést jakýkoli souborový server, router nebo počítačový prostředek v síti na jeden. Kromě shromažďování informací o narušení bezpečnosti může honeypot také snížit riziko falešných poplachů, protože přitahuje pouze skutečné kyberzločince.

Různé typy medovníků

Honeypoty se dodávají v různých provedeních v závislosti na typu nasazení. Některé z nich jsme uvedli níže.

Honeypots podle účelu

Honeypoty jsou většinou klasifikovány podle účelů, jako je produkční honeypot nebo výzkumný honeypot.

Výroba Honeypot: Produkční honeypot je nejběžnějším typem a používá se ke shromažďování zpravodajských informací týkajících se kybernetických útoků v rámci produkční sítě. Produkční honeypot může shromažďovat atributy jako IP adresy, pokusy o únik dat, data, provoz a objem.

Zatímco produkční honeypoty se snadno navrhují a nasazují, na rozdíl od svých výzkumných protějšků nedokážou poskytnout sofistikovanou inteligenci. Jako takoví jsou většinou zaměstnáni soukromými společnostmi a dokonce i významnými osobnostmi, jako jsou celebrity a politické osobnosti.

Výzkum Honeypot: Složitější typ honeypotu, výzkumný honeypot, slouží ke shromažďování informací o konkrétních metodách a taktikách používaných útočníky. Používá se také k odhalení potenciálních zranitelností, které existují v systému v souvislosti s taktikou útočníků.

Výzkumné honeypoty většinou používají vládní subjekty, zpravodajská komunita a výzkumné organizace k odhadu bezpečnostního rizika organizace.

Honeypots podle úrovní interakce

Honeypoty lze také kategorizovat podle atributů. To jednoduše znamená přiřazení návnady na základě úrovně její interakce.

Honeypoty s vysokou interakcí: Tyto honeypoty neobsahují příliš mnoho dat. Nejsou navrženy tak, aby napodobovaly plnohodnotný produkční systém, ale provozují všechny služby, které by provozoval produkční systém – například plně funkční OS. Tyto typy honeypotů umožňují bezpečnostním týmům vidět akce a strategie narušujících útočníků v reálném čase.

Honeypoty s vysokou interakcí jsou obvykle náročné na zdroje. To může představovat problémy s údržbou, ale přehled, který nabízejí, stojí za námahu.

Honeypoty s nízkou interakcí: Tyto honeypoty jsou většinou nasazovány v produkčních prostředích. Tím, že běží na omezeném počtu služeb, slouží bezpečnostním týmům jako body včasné detekce. Honeypoty s nízkou interakcí jsou většinou nečinné a čekají na nějakou aktivitu, aby vás mohly upozornit.

Vzhledem k tomu, že tyto honeypoty postrádají plně funkční služby, nezbývá kyberútočníkům mnoho, čeho by dosáhli. Jejich nasazení je však poměrně snadné. Typickým příkladem honeypotu s nízkou interakcí by bylo automatizované roboty které vyhledávají zranitelnosti v internetovém provozu, jako jsou roboti SSH, automatizované hrubé síly a roboti pro kontrolu dezinfekce vstupu.

Honeypots podle typu aktivity

Honeypoty lze také klasifikovat na základě typu činností, které odvozují.

Malware Honeypots: Útočníci se někdy pokoušejí infikovat otevřené a zranitelné systémy tím, že na nich hostují vzorek malwaru. Protože IP adresy zranitelných systémů nejsou na seznamu hrozeb, je pro útočníky snazší hostit malware.

Honeypot lze například použít k napodobení úložného zařízení s univerzální sériovou sběrnicí (USB). Pokud je počítač napaden, honeypot oklame malware, aby zaútočil na simulované USB. To bezpečnostním týmům umožňuje získat od útočníků obrovské množství nových vzorků malwaru.

Spam Honeypots: Tyto honeypoty přitahují spammery používáním otevřené proxy a poštovní relé. Používají se ke shromažďování informací o novém spamu a spamu založeném na e-mailech, protože spameři provádějí testy na přenosy pošty tím, že je používají k odesílání e-mailů sobě.

Pokud spammeři úspěšně rozesílají velké množství spamu, honeypot dokáže identifikovat test spamera a zablokovat jej. Jakékoli falešné otevřené přenosy SMTP lze použít jako „spam honeypots“, protože mohou poskytnout znalosti o aktuálních trendech spamu a identifikovat, kdo používá přenos SMTP organizace k odesílání spamových e-mailů.

Klientské Honeypoty: Jak název napovídá, klientské honeypoty napodobují kritické části klientského prostředí a pomáhají tak s cílenějšími útoky. I když se pro tyto typy honeypotů nepoužívají žádná čtená data, mohou způsobit, že jakýkoli falešný hostitel bude vypadat podobně jako legitimní.

Dobrým příkladem klientského honeypotu by bylo použití dat otiskovatelných prstem, jako jsou informace o operačním systému, otevřené porty a spuštěné služby.

Při používání konvice na med postupujte opatrně

Se všemi svými úžasnými výhodami má honeypot potenciál k využití. Zatímco Honeypot s nízkou interakcí nemusí představovat žádná bezpečnostní rizika, Honeypot s vysokou interakcí se někdy může stát riskantním experimentem.

Honeypot běžící na skutečném operačním systému se službami a programy může být komplikované nasadit a může neúmyslně zvýšit riziko vniknutí zvenčí. Je to proto, že pokud je honeypot nakonfigurován nesprávně, můžete nevědomky udělit přístup hackerům k vašim citlivým informacím.

Také kyberútočníci jsou den ode dne chytřejší a mohou lovit špatně nakonfigurované honeypoty, aby mohli unést připojené systémy. Než se pustíte do používání honeypotu, mějte na paměti, že čím jednodušší honeypot je, tím nižší je riziko.

Co je útok nulovým kliknutím a proč je tak nebezpečný?

Vyžaduje „nulovou“ interakci uživatele, žádná bezpečnostní opatření ani ostražitost nemohou odradit útok typu zero-click. Pojďme to prozkoumat dále.

Přečtěte si další

PodíltweetE-mailem
Související témata
  • Bezpečnostní
  • Kybernetická bezpečnost
  • Online bezpečnost
  • Bezpečnostní
O autorovi
Kinza Yasar (70 zveřejněných článků)

Kinza je technologická novinářka s diplomem v oboru počítačových sítí a řadou IT certifikací. Než se pustila do technického psaní, pracovala v telekomunikačním průmyslu. Se specializací na kybernetickou bezpečnost a cloudová témata ji baví pomáhat lidem pochopit a ocenit technologie.

Více od Kinzy Yasar

Přihlaste se k odběru našeho newsletteru

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!

Chcete-li se přihlásit k odběru, klikněte sem