Hva er en honningpotte? Kan det bidra til å redusere cyberangrep?

Cybersikkerhet er ikke alltid et tilfelle av angripere som prøver å angripe uskyldige ofre og nettverk. Takket være et lokkedatasystem kjent som en "honeypot", blir denne rollen noen ganger snudd.

Selv om en honningkrukke kan bringe tankene til bildet av Ole Brumm som hengir seg til en gigantisk balje med honning, har den en annen konnotasjon i cybersikkerhetens verden.

Men hva er egentlig en honningkrukke, og hvordan bidrar den til å dempe cyberangrep? Finnes det forskjellige typer honningkrukker, og kommer de også med noen risikofaktorer? La oss finne det ut.

Hva er en honningpotte?

En honningkrukke er en bedragerteknologi som brukes av sikkerhetsteam for å fange trusselaktører med vilje. Som en integrert del av et trusseletterretnings- og deteksjonssystem fungerer en honningkrukke ved å simulere kritiske infrastrukturer, tjenester og konfigurasjoner slik at angripere kan samhandle med denne falske IT-en eiendeler.

Honeypots er vanligvis utplassert ved siden av produksjonssystemer som en organisasjon allerede bruker og kan være en verdifull ressurs for å lære mer om angriperens atferd og verktøyene og taktikkene de bruker for å utføre sikkerhet angrep.

Kan en Honeypot bidra til å dempe cyberangrep?

En honningkrukke tiltrekker ondsinnede mål inn i systemet ved å med vilje la en del av nettverket være åpen for trusselaktører. Dette lar organisasjoner utføre et nettangrep i et kontrollert miljø for å måle potensielle sårbarheter i systemet deres.

Det endelige målet med en honningkrukke er å forbedre en organisasjons sikkerhetsstilling ved å bruke adaptiv sikkerhet. Hvis den er riktig konfigurert, kan en honningkrukke hjelpe til med å samle inn følgende informasjon:

• Opprinnelsen til et angrep
• Angriperens oppførsel og deres ferdighetsnivå
• Informasjon om de mest sårbare målene i nettverket
• Teknikkene og taktikkene brukt av angriperne
• Effektiviteten til eksisterende nettsikkerhetspolitikk for å dempe lignende angrep

En stor fordel med en honeypot er at du kan konvertere hvilken som helst filserver, ruter eller datamaskinressurs på tvers av nettverket til én. I tillegg til å samle etterretning om sikkerhetsbrudd, kan en honningpotte også redusere risikoen for falske positiver siden den bare tiltrekker seg ekte nettkriminelle.

De forskjellige typene honningkrukker

Honeypots kommer i forskjellige utforminger, avhengig av utplasseringstypen. Vi har listet opp noen av disse nedenfor.

Honeypots etter formål

Honeypots er for det meste klassifisert etter formål som en produksjonshonningkrukke eller en forskningshonningkrukke.

Produksjon Honeypot: En produksjonshonningkrukke er den vanligste typen og brukes til å samle etterretningsinformasjon om nettangrep innenfor et produksjonsnettverk. En produksjonshonningkrukke kan samle attributter som IP-adresser, forsøk på datainnbrudd, datoer, trafikk og volum.

Selv om produksjonshonningpotter er enkle å designe og distribuere, kan de ikke gi sofistikert intelligens, i motsetning til forskningskollegene. Som sådan er de for det meste ansatt av private selskaper og til og med høyprofilerte personligheter som kjendiser og politiske skikkelser.

Forskning Honeypot: En mer kompleks type honningpotte, en forskningshonningpotte er laget for å samle informasjon om spesifikke metoder og taktikker brukt av angripere. Den brukes også til å avdekke de potensielle sårbarhetene som finnes i et system i forhold til taktikken som brukes av angripere.

Forskningshonningpotter brukes for det meste av offentlige enheter, etterretningsmiljøet og forskningsorganisasjoner for å estimere en organisasjons sikkerhetsrisiko.

Honeypots etter nivåer av interaksjon

Honeypots kan også kategoriseres etter attributter. Dette betyr ganske enkelt å tildele lokkemidlet basert på interaksjonsnivået.

Honeypots med høy interaksjon: Disse honningkrukkene inneholder ikke for mye data. De er ikke designet for å etterligne et fullskala produksjonssystem, men de kjører alle tjenestene som et produksjonssystem ville gjort – for eksempel et fullt funksjonelt operativsystem. Disse typer honningpotter lar sikkerhetsteamene se handlingene og strategiene til inntrengende angripere i sanntid.

Honeypots med høy interaksjon er vanligvis ressurskrevende. Dette kan by på vedlikeholdsutfordringer, men innsikten de gir er vel verdt innsatsen.

Honeypots med lav interaksjon: Disse honningkrukkene er for det meste utplassert i produksjonsmiljøer. Ved å kjøre på et begrenset antall tjenester, fungerer de som tidlig deteksjonspunkter for sikkerhetsteam. Honningpotter med lav interaksjon er for det meste inaktive og venter på at det skal skje noe aktivitet slik at de kan varsle deg.

Siden disse honningpottene mangler fullt funksjonelle tjenester, er det ikke mye igjen for nettangripere å oppnå. Imidlertid er de ganske enkle å distribuere. Et typisk eksempel på en honningkrukke med lav interaksjon vil være automatiserte roboter som søker etter sårbarheter i internetttrafikk, for eksempel SSH-bots, automatiserte brute forces og roboter for hygieniseringskontroll.

Honeypots etter aktivitetstype

Honeypots kan også klassifiseres basert på typen aktiviteter de utleder.

Malware honningpotter: Noen ganger prøver angripere å infisere åpne og sårbare systemer ved å være vert for en skadelig programvareprøve på dem. Siden IP-adressene til sårbare systemer ikke er på en trusselliste, er det lettere for angripere å være vert for skadelig programvare.

For eksempel kan en honningkrukke brukes til å imitere en universal serial bus (USB) lagringsenhet. Hvis en datamaskin blir angrepet, lurer honningpotten skadevaren til å angripe den simulerte USB-en. Dette lar sikkerhetsteamene skaffe enorme mengder nye skadevareprøver fra angripere.

Spam Honeypots: Disse honningpottene tiltrekker seg spammere ved å bruke åpne fullmakter og postreléer. De brukes til å samle informasjon om ny spam og e-postbasert spam siden spammere utfører tester på e-postreléer ved å bruke dem til å sende e-post til seg selv.

Hvis spammere sender store mengder spam, kan honningpotten identifisere spammerens test og blokkere den. Eventuelle falske åpne SMTP-reléer kan brukes som spam-honeypots da de kan gi kunnskap om de nåværende spamtrendene og identifisere hvem som bruker organisasjonens SMTP-relé for å sende spam-e-postene.

Kunde honningpotter: Som navnet antyder, imiterer klienthoneypots de kritiske delene av en klients miljø for å hjelpe med mer målrettede angrep. Selv om det ikke er noen lesedata som brukes for denne typen honningpotter, kan de få enhver falsk vert til å se ut som en legitim.

Et godt eksempel på en klient-honeypot vil være å bruke fingerutskrivbare data, for eksempel operativsysteminformasjon, åpne porter og kjørende tjenester.

Vær forsiktig når du bruker en honningkrukke

Med alle sine fantastiske fordeler har en honningkrukke potensialet til å bli utnyttet. Selv om en honningpotte med lav interaksjon kanskje ikke utgjør noen sikkerhetsrisiko, kan en honningpotte med høy interaksjon noen ganger bli et risikabelt eksperiment.

En honningkrukke som kjører på et ekte operativsystem med tjenester og programmer kan være komplisert å distribuere og kan utilsiktet øke risikoen for inntrenging utenfra. Dette er fordi hvis honningpotten er konfigurert feil, kan du ende opp med å gi hackere tilgang til sensitiv informasjon uten å vite det.

Dessuten blir nettangripere flinkere for hver dag som går og kan lete etter dårlig konfigurerte honningpotter for å kapre tilkoblede systemer. Før du begir deg ut i å bruke en honningkrukke, husk at jo enklere honningkrukken er, jo lavere er risikoen.

Hva er et nullklikksangrep og hva gjør det så farlig?

Krever "null" brukerinteraksjon, ingen mengde sikkerhetstiltak eller årvåkenhet kan avskrekke et null-klikk-angrep. La oss utforske videre.

Les Neste

Om forfatteren