Kas yra Honeypot? Ar tai gali padėti sumažinti kibernetines atakas?

Kibernetinis saugumas ne visada yra atvejis, kai užpuolikai bando užpulti nekaltas aukas ir tinklus. Dėl apgaulės kompiuterinės sistemos, vadinamos „medaus puodu“, šis vaidmuo kartais pasikeičia.

Nors medaus puodas gali priminti Mikės Pūkuotuko, besimėgaujančio milžinišku medaus kubilu, įvaizdį, kibernetinio saugumo pasaulyje jis turi kitokią reikšmę.

Bet kas tiksliai yra medaus puodas ir kaip jis padeda sušvelninti kibernetines atakas? Ar yra įvairių rūšių medaus puodų ir ar jie taip pat turi tam tikrų rizikos veiksnių? Išsiaiškinkime.

Kas yra Honeypot?

Medaus puodas yra apgaulės technologija, kurią naudoja apsaugos komandos, siekdamos tyčia sugauti grėsmės veikėjus. Kaip neatskiriama grėsmių žvalgybos ir aptikimo sistemos dalis, medaus puodas veikia imituodamas kritinės infrastruktūros, paslaugų ir konfigūracijų, kad užpuolikai galėtų sąveikauti su šiais klaidingais IT turto.

Medaus puodukai paprastai yra naudojami šalia gamybos sistemų, kurias organizacija jau naudoja ir gali būti a vertingas turtas norint sužinoti daugiau apie užpuolikų elgesį ir įrankius bei taktiką, kuriuos jie naudoja saugumui užtikrinti išpuolių.

Ar „Honeypot“ gali padėti sumažinti kibernetines atakas?

Medaus puodas pritraukia kenkėjiškus taikinius į sistemą, tyčia palikdamas tinklo dalį atvirą grėsmės veikėjams. Tai leidžia organizacijoms vykdyti kibernetinę ataką kontroliuojamoje aplinkoje, kad būtų galima įvertinti galimus savo sistemos pažeidžiamumus.

Galutinis medaus puodo tikslas yra pagerinti organizacijos saugumą naudojant prisitaikančią apsaugą. Tinkamai sukonfigūruotas medaus puodas gali padėti surinkti šią informaciją:

• Atakos kilmė
• Užpuoliko elgesys ir jų įgūdžių lygis
• Informacija apie labiausiai pažeidžiamus taikinius tinkle
• Puolėjų naudojamos technikos ir taktikos
• Esamos kibernetinio saugumo politikos veiksmingumas mažinant panašias atakas

Didelis „Honeypot“ privalumas yra tas, kad galite konvertuoti bet kurį failų serverį, maršruto parinktuvą ar kompiuterio išteklius tinkle į vieną. Be žvalgybos informacijos apie saugumo pažeidimus rinkimo, medaus puodas taip pat gali sumažinti klaidingų teigiamų rezultatų riziką, nes jis pritraukia tik tikrus kibernetinius nusikaltėlius.

Įvairūs medaus puodų tipai

Medaus puodų yra įvairių ir dizaino, atsižvelgiant į diegimo tipą. Kai kuriuos iš jų išvardijome žemiau.

Medaus puodukai pagal paskirtį

Medaus vazonai dažniausiai skirstomi pagal paskirtį, pavyzdžiui, gamybinis medaus vazonas arba tiriamasis medaus vazonas.

Gamyba Honeypot: Gamybinis medaus puodas yra labiausiai paplitęs tipas ir naudojamas rinkti žvalgybos informaciją apie kibernetines atakas gamybos tinkle. Gamybinis medaus puodas gali rinkti tokius atributus kaip IP adresai, bandymai pažeisti duomenis, datos, srautas ir apimtis.

Nors gamybinius medaus puodus lengva suprojektuoti ir įdiegti, jie negali suteikti sudėtingos informacijos, priešingai nei jų tyrimų kolegos. Iš esmės juos dažniausiai įdarbina privačios įmonės ir net aukšto lygio asmenybės, tokios kaip įžymybės ir politiniai veikėjai.

Tyrinėkite Honeypot: Sudėtingesnis medaus puodo tipas, tiriamasis medaus puodas, skirtas rinkti informaciją apie konkrečius užpuolikų naudojamus metodus ir taktiką. Jis taip pat naudojamas siekiant atskleisti galimus sistemos pažeidžiamumus, susijusius su užpuolikų taikoma taktika.

Tyrimų medaus puodus dažniausiai naudoja vyriausybės subjektai, žvalgybos bendruomenė ir tyrimų organizacijos, siekdamos įvertinti organizacijos saugumo riziką.

Medaus puodukai pagal sąveikos lygius

Medaus puodus taip pat galima suskirstyti pagal atributus. Tai tiesiog reiškia, kad masalas turi būti priskirtas pagal jo sąveikos lygį.

Didelės sąveikos medaus puodukai: Šiuose medaus puoduose nėra per daug duomenų. Jie nėra sukurti taip, kad imituotų viso masto gamybos sistemą, tačiau jie teikia visas paslaugas, kurias teiktų gamybos sistema, pvz., visiškai veikiančią OS. Šio tipo medaus puodukai leidžia saugos komandoms realiu laiku matyti įsibrovėlių veiksmus ir strategijas.

Didelės sąveikos medaus puodams paprastai reikia daug išteklių. Dėl to gali kilti priežiūros problemų, tačiau jų siūloma įžvalga verta pastangų.

Mažos sąveikos medaus puodukai: Šie medaus puodai dažniausiai naudojami gamybos aplinkoje. Veikiant ribotam paslaugų skaičiui, jie yra saugos komandų ankstyvo aptikimo taškai. Mažai sąveikaujantys medaus puodukai dažniausiai neveikia ir laukia, kol prasidės kokia nors veikla, kad galėtų jus įspėti.

Kadangi šiems medaus puodams trūksta visiškai veikiančių paslaugų, kibernetinių atakų vykdytojams belieka daug ką pasiekti. Tačiau juos gana lengva įdiegti. Tipiškas mažai sąveikaujančio medaus puodo pavyzdys būtų automatizuoti robotai kurie ieško interneto srauto pažeidžiamumų, tokių kaip SSH robotai, automatizuotos žiaurios pajėgos ir įvesties valymo tikrinimo robotai.

Medaus puodukai pagal veiklos tipą

Medaus puodus taip pat galima klasifikuoti pagal tai, kokia veikla jie daro išvadą.

Kenkėjiškos programos „Honeypots“: Kartais užpuolikai bando užkrėsti atviras ir pažeidžiamas sistemas, priglobdami jose kenkėjiškų programų pavyzdį. Kadangi pažeidžiamų sistemų IP adresai nėra grėsmių sąraše, užpuolikams lengviau priglobti kenkėjiškas programas.

Pavyzdžiui, medaus puodą galima naudoti imituojant universaliosios nuosekliosios magistralės (USB) atminties įrenginį. Jei kompiuteris patenka į ataką, „Howedpot“ apgauna kenkėjišką programą ir atakuoja imituojamą USB. Tai leidžia saugos komandoms iš užpuolikų gauti daugybę naujų kenkėjiškų programų pavyzdžių.

Spam Honeypots: Šie medaus puodukai pritraukia šiukšlių siuntėjus atidaryti tarpinius serverius ir pašto relės. Jie naudojami informacijai apie naują ir el. paštu pagrįstą šlamštą rinkti, nes el. pašto siuntėjai atlieka el. pašto siuntų testus, siųsdami el. laiškus sau.

Jei nepageidaujamo pašto siuntėjai sėkmingai išsiunčia didelius kiekius el. pašto šiukšlių, „Honeypot“ gali nustatyti el. pašto siuntėjo testą ir jį užblokuoti. Bet kokios netikros atviros SMTP perdavimo priemonės gali būti naudojamos kaip el. pašto šiukšlės, nes jos gali suteikti žinių apie dabartines šiukšlių tendencijas ir nustatyti, kas naudoja organizacijos SMTP relę siųsdamas el. pašto šiukšles.

Klientų medaus puodukai: Kaip rodo pavadinimas, klientų medaus puodukai imituoja svarbias kliento aplinkos dalis, kad padėtų vykdyti tikslingesnes atakas. Nors nėra nuskaitomų duomenų, naudojamų šio tipo medaus puodams, bet koks netikras kompiuteris gali atrodyti panašus į teisėtą.

Geras kliento „Housepot“ pavyzdys būtų pirštu atspausdinamų duomenų, tokių kaip operacinės sistemos informacija, atviri prievadai ir veikiančios paslaugos, naudojimas.

Naudodami medaus puodą elkitės atsargiai

Su visais nuostabiais privalumais medaus puodą galima išnaudoti. Nors mažai sąveikaujantis medaus puodas gali nekelti jokios rizikos saugumui, didelės sąveikos medaus puodas kartais gali tapti rizikingu eksperimentu.

Tikroje operacinėje sistemoje su paslaugomis ir programomis veikiantį medaus puodą gali būti sudėtinga įdiegti ir jis gali netyčia padidinti išorinio įsibrovimo riziką. Taip yra todėl, kad neteisingai sukonfigūravus medaus puodą, įsilaužėliams galite nesąmoningai suteikti prieigą prie jūsų neskelbtinos informacijos.

Be to, kibernetiniai užpuolikai kiekvieną dieną darosi vis protingesni ir gali ieškoti blogai sukonfigūruotų medaus puodų, kad užgrobtų prijungtas sistemas. Prieš pradėdami naudoti medaus puodą, atminkite, kad kuo paprastesnis medaus vazonas, tuo mažesnė rizika.

Kas yra nulinio paspaudimo ataka ir kodėl ji tokia pavojinga?

Nereikalaujantis „nulinės“ vartotojo sąveikos, jokios atsargumo priemonės ar budrumas negali atgrasyti nuo nulinio paspaudimo atakos. Panagrinėkime toliau.

Skaitykite toliau

Apie autorių