Odpowiedź na zagrożenia
Zagrożenia IT, takie jak cyberataki, robaki czy wirusy, stanowią ważny problem dla każdego, kto łączy swoje systemy z Internetem. Firmy działające w cyberprzestrzeni – zwłaszcza korzystające z chmury - są podatne na różne tyle różnego rodzaju zagrożeń cybernetycznych, że potrzebne są wyspecjalizowane narzędzia, w tym służące do detekcji. Honeypoty to właśnie takie mechanizmy bezpieczeństwa, które mogą wykrywać różne typy ataków, niezależnie od tego, czy jest to serwer, router, chmura, sieć czy oprogramowanie.
Działanie honeypota
Honeypot to program, który przedstawia się jako fałszywy cel lub luka w systemie, który administrator chroni. W związku z tym jest to przynęta, pułapka dla potencjalnych hakerów, którzy myślą, że mogą wykorzystać słabe punkty w danym systemie.
Honeypot najczęściej wykorzystuje fałszywe luki w zabezpieczeniach, aby przyciągać hakerów i badać ich ataki. Administratorzy wykorzystują te dane do dalszej ochrony systemów i przetwarzanych w nich danych.
Niezależnie więc od tego, czy przedmiotem ochrony jest oprogramowanie, sieć, chmura czy poczta e-mail, honeypot może zostać wykorzystany do gromadzenia danych o atakach i indywidualnego dostosowywania wzmocnionej ochrony przed przyszłymi atakami. O ten indywidualizm tutaj przede wszystkim chodzi. Honeypoty stawia się bowiem na przykład wówczas gdy administratorzy odnotowują zwiększoną ilość prób sforsowania zabezpieczeń, pochodzących przypuszczalnie z jednego źródła.
Skoro niedźwiedź obwąchuje nam drzewo, garnek miodu pozwoli go zwabić i poznać jego zwyczaje.
Rodzaje honeypotów
Istnieją różne typy honeypotów, a poziom oferowanej przez nich ochrony systemów będzie inny. Każda firma ma też różne systemy i potrzeby w zakresie ich zabezpieczenia - w zależności od tych zmiennych tworzone są honeypoty. Dlatego też istnieją dwa ogólne typy honeypotów:
- Honeypoty produkcyjne - te honeypoty są pułapkami udającymi prawdziwe luki w zabezpieczeniach. Honeypoty produkcyjne służą do odbijania cyberzagrożeń ale jednocześnie analizują takie działania.
- Honeypoty badawcze - ten typ honeypotów jest używany do gromadzenia danych dotyczących stale ewoluującego cyberświata i nowych technologii wykorzystywanych do złośliwych ataków. Wykorzystują dane w celu dalszego śledzenia i analizy ataków. Nie spełniają więc bezpośredniej roli ochronnej konkretnego systemu.
To nie jest panaceum na całe zło
Generalnie można przyjąć, że hakerzy nie będą atakować Twoich prawdziwych systemów (tak intensywnie) jeśli używasz honeypotów. Bo jeżeli bardziej wprawni z nich zorientują się, że masz honeypota to znaczy się – jesteś przygotowany. Po co zostawiać ślady swojej działalności, lepiej znaleźć mniej czujną ofiarę. Honeypoty nie powinny być jednak jedynym rodzajem zabezpieczeń stosowanym w danym podmiocie do ochrony systemów i ważnych danych. Aby zapewnić bezpieczeństwo, honeypoty wykorzystują fałszywe luki w celu przechwytywania aktywności hakerów i to po prostu nie wystarcza - muszą też być w jakiś sposób połączone z samą organizacją. To może być fałszywa witryna Twojej organizacji lub po prostu fałszywa, zarejestrowana nazwa domeny. Alternatywną opcją („na bogato”) jest użycie chmury publicznej do hostowania honeypota. To oddziela Twoją prawdziwą sieć od ataków na konkretne luki w zabezpieczeniach i nie naraża na ryzyko prawdziwych poufnych danych lub haseł Twoich lub Twoich klientów.
Więcej o stosowaniu honeypotów w chmurze możesz poczytać tutaj. Warto też zerknąć na to czym jest honeynet.