Honningkukker er feller som er satt til å oppdage forsøk på uautorisert bruk av informasjonssystemer, med sikte på å lære fra angrepene for å forbedre datamaskinens sikkerhet ytterligere.
Tradisjonelt har opprettholdt nettverkssikkerhet vært involvert i å handle vigilantly, ved hjelp av nettverksbaserte forsvarsmetoder som brannmurer, inntrengingsdeteksjonssystemer og kryptering. Men den nåværende situasjonen krever mer proaktive teknikker for å oppdage, avlede og motvirke forsøk på ulovlig bruk av informasjonssystemer. I slike situasjoner er bruken av honeypots en proaktiv og lovende tilnærming til å bekjempe nettverkssikkerhetstrusler.
Hva er en Honeypot
Med tanke på det klassiske feltet for datasikkerhet, må en datamaskin være sikker, men i domenet til Honningkukker, sikkerhetshullene er satt til å åpne med vilje. Honeypots kan defineres som en felle som er satt til å oppdage forsøk på uautorisert bruk av informasjonssystemer. Honeypots setter i hovedsak bordene til Hackers og datasikkerhetseksperter. Hovedformålet med en Honeypot er å oppdage og lære av angrepene og videre bruke informasjonen for å forbedre sikkerheten. Honeypots har lenge vært brukt til å spore angripernees aktivitet og forsvare seg mot kommende trusler. Det er to typer honeypots:
- Forskning Honeypot - En Research Honeypot brukes til å studere taktikken og teknikkene til inntrengerne. Den brukes som et klokkeslett for å se hvordan en angriper jobber når det går på kompromiss med et system.
- Produksjon Honeypot - Disse brukes primært til å gjenkjenne og beskytte organisasjoner. Hovedformålet med en produksjonshoneypot er å bidra til å redusere risikoen i en organisasjon.
Hvorfor sette opp Honeypots
Verdien av en honeypot er veid av informasjonen som kan hentes fra den. Overvåking av dataene som går inn i og forlater en honeypot, lar brukeren samle inn informasjon som ikke er tilgjengelig på annen måte. Vanligvis er det to populære grunner for å sette opp en Honeypot:
Forstå forståelse
Forstå hvordan hackere prøver og forsøker å få tilgang til systemene dine. Den overordnede ideen er at siden en oversikt over gjerningsmannens aktiviteter holdes, kan man få forståelse i angrepsmetodologiene for bedre å beskytte sine virkelige produksjonssystemer.
Samle inn informasjon
Samle rettsmedisinske opplysninger som er nødvendig for å hjelpe til i fengsel eller påtale av hackere. Dette er den typen informasjon som ofte trengs for å gi lovhåndhevelse tjenestemenn med de detaljer som trengs for å retsforfølge.
Hvordan Honeypots sikre datasystemer
En Honeypot er en datamaskin som er koblet til et nettverk. Disse kan brukes til å undersøke sikkerhetsproblemene til operativsystemet eller nettverket. Avhengig av type oppsett kan man studere sikkerhetshull generelt eller spesielt. Disse kan brukes til å observere aktiviteter av en person som har fått tilgang til Honeypot.
Honeypots er vanligvis basert på en ekte server, ekte operativsystem, sammen med data som ser ut som ekte. En av hovedforskjellene er maskinens plassering i forhold til de faktiske serverne. Den mest vitale aktiviteten til en honeypot er å fange opp dataene, evnen til å logge, varsle og fange alt det som inntrenger gjør. Samlet informasjon kan vise seg å være ganske kritisk mot angriperen.
High-Interaction vs Low-Interaction Honeypots
Honeypots med høy interaksjon kan kompromitteres helt, slik at fienden får full tilgang til systemet og bruker det til å lansere flere nettverksangrep. Ved hjelp av slike honeypots kan brukerne lære mer om målrettede angrep mot sine systemer eller til og med om insiderangrep.
I motsetning hevder lav-interaksjons honeypots bare tjenester som ikke kan utnyttes for å få full tilgang til honeypoten. Disse er mer begrenset, men er nyttige for å samle informasjon på et høyere nivå.
Fordeler ved bruk av Honeypots
Samle virkelige data
Mens Honeypots samler inn et lite volum data, men nesten alle disse dataene er et ekte angrep eller uautorisert aktivitet.
Redusert False Positive
Med de fleste gjenkjenningsteknologier (IDS, IPS) er en stor del av varslene falske advarsler, mens det med Honeypots ikke er sant.
Kostnadseffektiv
Honeypot interagerer bare med ondsinnet aktivitet og krever ikke høy ytelse ressurs.
kryptering
Med en honeypot spiller det ingen rolle om en angriper bruker kryptering; aktiviteten vil fremdeles bli tatt.
Enkel
Honeypots er veldig enkle å forstå, distribuere og vedlikeholde.
En Honeypot er et konsept og ikke et verktøy som enkelt kan distribueres. Man må vite i god tid hva de skal lære, og deretter kan honeypoten tilpasses basert på deres spesifikke behov. Det er noen nyttig informasjon om sans.org hvis du trenger å lese mer om emnet.
