Cybersikkerhed er ikke altid et tilfælde af, at angriberne forsøger at angribe uskyldige ofre og netværk. Takket være et lokkecomputersystem kendt som en "honeypot", er denne rolle nogle gange omvendt.
Selvom en honningkrukke kan bringe tankerne hen på billedet af Plys, der hengiver sig til en kæmpe balje honning, har den en anden konnotation i cybersikkerhedens verden.
Men hvad er en honeypot helt præcist, og hvordan hjælper den med at afbøde cyberangreb? Findes der forskellige typer honningpotter, og kommer de også med nogle risikofaktorer? Lad os finde ud af det.
Hvad er en Honeypot?
En honeypot er en bedrageriteknologi, der anvendes af sikkerhedsteams til bevidst at fange trusselsaktører. Som en integreret del af et trusselsefterretnings- og detektionssystem fungerer en honeypot ved at simulere kritiske infrastrukturer, tjenester og konfigurationer, så angribere kan interagere med disse falske it aktiver.
Honeypots er generelt installeret ved siden af produktionssystemer, som en organisation allerede bruger og kan være en et værdifuldt aktiv til at lære mere om angriberens adfærd og de værktøjer og taktikker, de bruger til at udføre sikkerhed angreb.
Kan en Honeypot hjælpe med at afbøde cyberangreb?
En honeypot tiltrækker ondsindede mål ind i systemet ved med vilje at lade en del af netværket være åben for trusselsaktører. Dette giver organisationer mulighed for at udføre et cyberangreb i et kontrolleret miljø for at måle potentielle sårbarheder i deres system.
Det ultimative mål med en honeypot er at forbedre en organisations sikkerhedsposition ved udnytte adaptiv sikkerhed. Hvis den er konfigureret korrekt, kan en honeypot hjælpe med at indsamle følgende oplysninger:
- Oprindelsen til et angreb
- Angriberens adfærd og deres færdighedsniveau
- Oplysninger om de mest sårbare mål i netværket
- Angribernes teknikker og taktik
- Effektiviteten af eksisterende cybersikkerhedspolitikker til at afbøde lignende angreb
En stor fordel ved en honeypot er, at du kan konvertere enhver filserver, router eller computerressource på tværs af netværket til én. Udover at indsamle efterretninger om sikkerhedsbrud, kan en honeypot også reducere risikoen for falske positiver, da den kun tiltrækker rigtige cyberkriminelle.
De forskellige typer honningkrukker
Honeypots kommer i forskellige designs, afhængigt af installationstypen. Vi har listet nogle af disse nedenfor.
Honningkrukker efter formål
Honeypots er for det meste klassificeret efter formål såsom en produktions-honningpotte eller en forskningshonningpotte.
Produktion Honeypot: En produktionshonningpotte er den mest almindelige type og bruges til at indsamle efterretningsoplysninger om cyberangreb inden for et produktionsnetværk. En produktions honningpotte kan samle attributter som IP-adresser, forsøg på databrud, datoer, trafik og volumen.
Selvom produktionshonningpotter er nemme at designe og installere, kan de ikke levere sofistikeret intelligens, i modsætning til deres forskningsmodstykker. Som sådan er de for det meste ansat af private virksomheder og endda højprofilerede personligheder som berømtheder og politiske personer.
Forskning Honeypot: En mere kompleks type honeypot, en research honeypot, er lavet for at indsamle information om specifikke metoder og taktikker, der bruges af angribere. Det bruges også til at afdække de potentielle sårbarheder, der eksisterer i et system i forhold til den taktik, der anvendes af angribere.
Forskningshonningpotter bruges for det meste af offentlige enheder, efterretningssamfundet og forskningsorganisationer til at vurdere en organisations sikkerhedsrisiko.
Honeypots efter niveauer af interaktion
Honeypots kan også kategoriseres efter attributter. Dette betyder simpelthen at tildele lokkemidlet baseret på dets interaktionsniveau.
Honeypots med høj interaktion: Disse honningkrukker rummer ikke for meget data. De er ikke designet til at efterligne et fuldskala produktionssystem, men de kører alle de tjenester, som et produktionssystem ville – såsom et fuldt funktionelt OS. Disse typer honeypots giver sikkerhedsteamene mulighed for at se handlinger og strategier for indtrængende angribere i realtid.
Honeypots med høj interaktion er typisk ressourcekrævende. Dette kan give vedligeholdelsesudfordringer, men den indsigt, de tilbyder, er besværet værd.
Honeypots med lav interaktion: Disse honningkrukker er for det meste udsat i produktionsmiljøer. Ved at køre på et begrænset antal tjenester fungerer de som tidlige detektionspunkter for sikkerhedsteams. Honeypots med lav interaktion er for det meste inaktive og venter på, at der sker noget aktivitet, så de kan advare dig.
Da disse honeypots mangler fuldt funktionelle tjenester, er der ikke meget tilbage for cyberangribere at opnå. De er dog ret nemme at implementere. Et typisk eksempel på en honeypot med lav interaktion ville være automatiserede bots der scanner for sårbarheder i internettrafik såsom SSH-bots, automatiserede brute forces og input-saneringskontrolrobotter.
Honeypots efter aktivitetstype
Honeypots kan også klassificeres baseret på den type aktiviteter, de udleder.
Malware Honeypots: Nogle gange forsøger angribere at inficere åbne og sårbare systemer ved at hoste en malwareprøve på dem. Da IP-adresserne på sårbare systemer ikke er på en trusselliste, er det lettere for angribere at hoste malware.
For eksempel kan en honeypot bruges til at efterligne en universal serial bus (USB) lagerenhed. Hvis en computer bliver angrebet, snyder honningpotten malwaren til at angribe den simulerede USB. Dette giver sikkerhedsteamene mulighed for at erhverve enorme mængder af nye malware-prøver fra angribere.
Spam Honeypots: Disse honeypots tiltrækker spammere ved at bruge åbne fuldmagter og mail relæer. De bruges til at indsamle oplysninger om ny spam og e-mail-baserede spams, da spammere udfører test på mail-relæer ved at bruge dem til at sende e-mails til sig selv.
Hvis spammere sender store mængder spam, kan honeypot identificere spammerens test og blokere den. Eventuelle falske åbne SMTP-relæer kan bruges som spam-honeypots, da de kan give viden om de aktuelle spamtrends og identificere, hvem der bruger organisationens SMTP-relæ til at sende spam-e-mails.
Kunde honningpotter: Som navnet antyder, imiterer klient honeypots de kritiske dele af en klients miljø for at hjælpe med mere målrettede angreb. Selvom der ikke bruges læsedata til disse typer honningpotter, kan de få enhver falsk vært til at ligne en legitim.
Et godt eksempel på en klient honeypot ville være at bruge fingerprintbare data, såsom operativsystemoplysninger, åbne porte og kørende tjenester.
Fortsæt med forsigtighed, når du bruger en honningkrukke
Med alle sine vidunderlige fordele har en honningkrukke potentialet til at blive udnyttet. Selvom en honeypot med lav interaktion måske ikke udgør nogen sikkerhedsrisici, kan en honeypot med høj interaktion nogle gange blive et risikabelt eksperiment.
En honeypot, der kører på et rigtigt operativsystem med tjenester og programmer, kan være kompliceret at implementere og kan utilsigtet øge risikoen for indtrængen udefra. Dette skyldes, at hvis honningpotten er konfigureret forkert, kan du ende med at give hackere adgang til dine følsomme oplysninger ubevidst.
Også cyberangribere bliver klogere dag for dag og kan gå på jagt efter dårligt konfigurerede honeypots til at kapre tilsluttede systemer. Inden du begiver dig ud i at bruge en honeypot, skal du huske på, at jo enklere honningpotten er, jo lavere er risikoen.
Kræver "nul" brugerinteraktion, ingen mængde sikkerhedsforanstaltninger eller årvågenhed kan afskrække et nul-klik-angreb. Lad os undersøge nærmere.
Læs Næste
- Sikkerhed
- Cybersikkerhed
- Online sikkerhed
- Sikkerhed
Kinza er en teknologijournalist med en grad i computernetværk og adskillige it-certificeringer bag sig. Hun arbejdede i telekommunikationsindustrien, før hun begav sig ud i teknisk skrivning. Med en niche inden for cybersikkerhed og cloud-baserede emner nyder hun at hjælpe folk med at forstå og værdsætte teknologi.
Abonner på vores nyhedsbrev
Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!
Klik her for at abonnere