Os honeypots referem-se a servidores ou sistemas “chamariz” que são implantados próximos aos sistemas que sua organização realmente usa para produção. Dessa forma, os honeypots são projetados para se parecerem com alvos atraentes e são implantados para permitir que as equipes de TI monitorem as respostas de segurança do sistema e redirecionem o invasor para longe do alvo pretendido.
Veja também o que é brute force!
Existem vários honeypots e podem ser configurados de acordo com as necessidades da sua organização. Por parecerem ameaças legítimas, os honeypots agem como uma armadilha, permitindo que você identifique os ataques com antecedência e monte uma resposta apropriada. O significado do honeypot aponta para algumas das maneiras pelas quais eles podem ser úteis ??para direcionar os invasores para longe de seus sistemas mais importantes. Enquanto o invasor cai na isca, você pode reunir informações cruciais sobre o tipo de ataque, bem como os métodos que o invasor está usando.
Um honeypot funciona melhor quando parece ser um sistema legítimo. Em outras palavras, ele deve executar os mesmos processos que seu sistema de produção real executaria. Além disso, ele também deve conter arquivos de engodo que o invasor verá como apropriados para os processos visados. Em muitos casos, é melhor colocar o honeypot atrás do firewall, protegendo a rede da sua organização. Isso permite que você examine as ameaças que passam pelo firewall e evita que ataques planejados sejam lançados de dentro de um honeypot comprometido. Assim, conforme o ataque prossegue, seu firewall, posicionado entre o honeypot e a internet, pode interceptá-lo e eliminar os dados.
Como funcionam os Honeypots?
Em muitos aspectos, um honeypot se parece com um sistema de PC genuíno. Dessa forma, ele contém os apps e os dados que os ciber criminosos usam para identificar um alvo ideal. Um honeypot pode, por exemplo, fingir ser um sistema que contém dados confidenciais do consumidor, como cartão de crédito ou informações de identificação pessoal. Além disso, o sistema pode ser preenchido com dados de “engodo” que podem atrair um invasor para roubar, usar ou vendê-los. Conforme o invasor invade o honeypot, a equipe de TI pode observar como o invasor procede, observando as várias técnicas que eles implantam e como as defesas do sistema se mantêm ou falham. Isso pode então ser útil para fortalecer as defesas gerais na hora de proteger a rede.
Honeypots usam vulnerabilidades de segurança para atrair invasores. Dessa forma, eles podem ter portas vulneráveis ??a uma varredura de porta, que é uma técnica para descobrir quais portas estão abertas em uma rede. Uma porta deixada aberta pode atrair um invasor, permitindo que a equipe de segurança observe como eles abordam o ataque.
O Honeypotting é diferente de outros tipos de medidas de segurança porque ele não foi feito para prevenir ataques de forma direta. Assim, o objetivo de um honeypot é refinar o sistema de detecção de intrusão (IDS) e a resposta a ameaças de uma organização para que esteja em uma posição melhor para gerenciar e prevenir ataques.
Dois tipos de honeypots
Existem dois tipos principais de honeypots: produção e pesquisa. Dessa forma, os honeypots de produção se concentram na identificação de comprometimentos em sua rede interna, bem como em enganar o agente malicioso. Além disso, os honeypots de produção são posicionados ao lado de seus servidores de produção genuínos e executam os mesmos tipos de serviços.
Por outro lado, os honeypots de pesquisa coletam informações sobre os ataques, concentrando-se não apenas em como as ameaças agem em seu ambiente interno, mas como operam no mundo mais amplo. Coletar informações sobre ameaças dessa forma pode ajudar os administradores a projetar sistemas de defesa mais fortes e descobrir quais patches eles precisam priorizar. Eles podem então garantir que os sistemas sensíveis tenham medidas de segurança atualizadas para se defender contra os ataques que caíram nas iscas do honeypot.
As complexidades dos Honeypots variam
Existem diferentes tipos de honeypots, cada um projetado para diferentes fins de produção ou pesquisa.
Honeypot puro
Um honeypot puro se refere a um sistema em grande escala rodando em vários servidores. Dessa forma, ele imita todo o sistema de produção. Dentro de um honeypot puro, estão os dados feitos para parecerem confidenciais, bem como informações “confidenciais” do usuário, que têm vários sensores usados ??para rastrear e observar a atividade do invasor.
Honeypot de alta interação
Um honeypot de alta interação é feito para fazer com que os invasores invistam o máximo de tempo possível dentro do honeypot. Isso dá à equipe de segurança mais oportunidades de observar os alvos e as intenções do invasor e mais chances de descobrir vulnerabilidades no sistema.
Um honeypot de alta interação pode ter sistemas, bancos de dados e processos extras nos quais o invasor tentará se infiltrar. Assim, os pesquisadores podem observar como o invasor procura informações, bem como quais informações eles preferem e como tentam aumentar os privilégios de acesso.
Honeypot de interação média
Os honeypots de interação intermediária imitam elementos da camada do app, mas não possuem um SO. Portanto, a sua missão é confundir um invasor ou paralisá-lo, para que a organização tenha mais tempo para determinar como reagir ao tipo de ataque em questão.
Honeypot de baixa interação
Os honeypots de baixa interação consomem menos recursos e reúnem informações rudimentares sobre o tipo de ameaça e de onde ela veio. Dessa forma, eles são “bem” simples de configurar e usam o protocolo de controle de transmissão (TCP), o protocolo da Internet (IP) e os serviços de rede. No entanto, não há nada dentro do honeypot para prender a atenção do invasor por um período de tempo considerável.
Diferentes tipos de Honeypots e como eles funcionam
Malware Honeypot
Os honeypots de malware usam vetores de ataque já conhecidos por atrair malware. Eles podem, por exemplo, imitar um dispositivo de armazenamento Universal Serial Bus (USB). Assim, se um PC receber um ataque, o honeypot engana o malware para atacar o USB emulado.
Honeypot de spam
Os honeypots de spam são projetados para atrair spammers usando proxies abertos e retransmissões de e-mail. Dessa forma, os spammers realizam testes em retransmissões de e-mail, usando-os para enviar um e-mail para si mesmos. Se forem bem-sucedidos, podem transmitir grandes quantidades de spam. Uma armadilha de spam pode identificar o teste de um spammer e, em seguida, bloquear o spam que ele tenta enviar.
Honeypot de banco de dados
Um honeypot de banco de dados é usado para fazer bancos de dados chamariz para atrair ataques específicos de banco de dados, como injeções de SQL, que gerenciam dados ilicitamente. Além disso, vale lembrar que esses tipos de honeypots podem ser implementados usando um firewall de banco de dados.
Honeypot do cliente
Os honeypots de cliente tentam atrair servidores maliciosos que os invasores usam ao invadir clientes. Dessa forma, eles se apresentam como um cliente para observar como um invasor faz modificações em um servidor durante o ataque. Os honeypots do cliente normalmente são executados em um ambiente virtualizado e possuem proteções de contenção para reduzir o risco de exposição aos pesquisadores.
Honeynet
Os honeynets consistem em uma rede de honeypots. Portanto, com diferentes tipos de honeypots formando uma honeynet, vários tipos de ataques podem ser estudados, como ataques distribuídos de negação de serviço (DDoS), ataques a uma rede de entrega de conteúdo (CDN) ou um ataque de ransomware. Embora uma honeynet seja usada para estudar diferentes tipos de ataques, ela contém todo o tráfego, tanto de entrada quanto de saída, para proteger o restante do sistema da organização.
Benefícios de um Honeypot
Os Honeypots apresentam várias vantagens que uma equipe de segurança pode aproveitar para melhorar a segurança da rede.
Quebrar a corrente de morte do atacante
Os invasores se movem pelo seu ambiente como predadores, varrendo sua rede e procurando vulnerabilidades. Enquanto eles estão à espreita, eles podem se envolver com o seu honeypot. Nesse ponto, você pode capturar o invasor e investigar seu comportamento. Além disso, os honeypots também interrompem a cadeia de destruição, estimulando os invasores a investir seu tempo na busca de informações inúteis no honeypot, em vez de alvos reais e sensíveis de valor.
Ajuda no teste dos processos de resposta a incidentes
Os honeypots são uma maneira eficiente de ver como sua equipe de segurança e o sistema reagirão a uma ameaça. Dessa forma, você pode usar um honeypot para avaliar a eficácia das respostas de sua equipe e abordar quaisquer deficiências nas políticas.
Manutenção simples e baixa
Os honeypots são ferramentas bem eficazes e fáceis de implementar para fornecer alertas e informações sobre o comportamento do invasor. Sua equipe de segurança pode implantar um honeypot e apenas esperar que um invasor interaja com ele. Assim, não há necessidade de monitorar de forma constante o ambiente de engodo e você não precisa armá-lo com informações sobre ameaças conhecidas para que seja uma ferramenta eficaz.
Gostou? O que achou? Deixe seu comentário. Além disso, não se esqueça de entrar no nosso grupo do Telegram. É só clicar em “Canal do Telegram” que está localizado no canto superior direito da página!
Comentários