Honeypot a honeynet je obousečná zbraň

Honeypot a honeynet je server nebo dokonce celá síť fungující jako návnada, která by hackera měla zaujmout a na nějakou dobu i zaměstnat.

Jedná se tedy o specifickou formu bezpečnostního opatření, které v sobě ale skrývá i určitá rizika.

Je tomu tak proto, že organizace, která tuto infrastrukturu provozuje, ji zpravidla vytváří podle své skutečné infrastruktury. A jestli v ní útočník najde nějakou zranitelnost, může ji použít i proti skutečné infrastruktuře.

Organizace proto musí kromě skutečné infrastruktury sledovat i tuto podvrhnutou, aby zjistila, jaké techniky útočník používá a lépe pak dokázala zabezpečit svoji skutečnou infrastrukturu. Což samozřejmě zvedá náklady, protože budete muset spravovat, aktualizovat, patchovat a monitorovat infrastruktury dvě.

Aby honeypot a honeynet nebyl útočníkem odhalen, tak musí běžet na přibližně stejně výkonném hardware. Útočník by totiž mohl pojmout podezření, když by zjistil, že na daném serveru je příliš málo paměti, procesoru, diskového prostoru, že odezvy jsou příliš dlouhé nebo naopak příliš rychlé. Anebo dokonce, že kromě něj danou infrastrukturu nikdo jiný nevyužívá. Takže byste měli v honeynetu generovat i nějaký provoz odpovídající realitě.

Rovněž se na těchto serverech musí nacházet i nějaká data, protože útočník prostě data o určitém objemu na daném serveru očekává. To však znamená, že ta data budete muset vyrobit a budou muset vypadat dost věrohodně. A nejpozději v této fázi útoku může útočník odhalit, že uvízl v honeypotu, protože např. v databázi útočník nenalezne záznam, o kterém ví, že by tam měl být.

Provozovatel honeypotu musí soustavně vyhodnocovat události, ke kterým v této infrastruktuře dochází, aby mohl včas přijmout patřičná opatření. V opačném případě hrozí, že útočník znalosti, které hackováním honeynetu získal, použije při útoku na skutečnou infrastrukturu. A tím, jak je honeynet podobný skutečné infrastruktuře, toto riziko roste.

A pokud útočník neodhalí, že celou dobu hackoval honeypot, tak může informace o zranitelnostech ve vaší infrastruktuře zveřejnit. Vy samozřejmě budete tvrdit, že to byl honeypot, ve kterém hacker tyto zranitelnosti objevil, ale tomu nemusí každý uvěřit a vaše dobré jméno může být i tak poškozeno.

Otázka, je proti komu by pak takovýto honeypot měl být vlastně postaven. Script kiddies asi nebudou řešit, zda se jedná o honeynet nebo reálnou infrastrukturu, ale z jejich útoku se zase nic nenaučíte a skuteční hackeři zase mohou existenci honeynetu odhalit a v útoku dál pokračovat nebudou anebo se naopak mohou pokusit váš honeynet zneužít k útoku na jiný cíl, či jinak a vaše organizace a servery se pak mohou dostat na blacklist.

Je otázka, zda má smysl, aby honeypot obsahoval nějakou známou zranitelnost, která by měla útočníka zaujmout. Protože pokud to bude známá zranitelnost, tak ji útočník sice nejspíš zneužije, ale použije k tomu již známé techniky, což pro vás bude mít jen minimální přínos. Budete jen vědět, že i vaší infrastrukturu útočníci skenují a hledají známé zranitelnosti. Ale s tím si u plošně vedených útoků můžete být jisti i bez honeypotů.

Koneckonců, ono často ani není nutné tam nějaké zranitelnosti záměrně ponechávat, občas stačí systémy přesunout do nějakého mizerně zabezpečeného cloudu. A nespoléhal bych se v tomto případě na to, že útočník v domnění, že takovou díru může obsahovat jen honeypot, útoku zanechá.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Honeypot a honeynet je obousečná zbraň” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: