CSEC-ov Tpot je honeypot sistem, razvijen kao open source od strane T-Coma. Honeypot imitira metu hakera i koristi pokušaj napada da bi naučio o njihovom djelovanju i kako ih preusmjeriti od stvarne mete.
Mi primamo i dajemo podatke od instaliranih Tpotova širom svijeta. Putem OpenCanary, s frontendom koji je razvio Jurica Banić, naš ekspert za infrastrukture - postavljamo mrežu honeypots u Bosni i Hercegovini.
CSEC je ponosan što aktivno djeluje u procesu postavljanja honeyneta, i tako asistira u prepoznavanju aktivnosti koje mogu biti nove prijetnje. Zato, ispravna cyber sigurnosna inicijativa može biti selektovana uz pomoć prikupljenih informacija.
Uz honeynet postavljen na više lokacija u Bosni i Hercegovini, korisnici mogu dobiti podatke na trenutnim opasnostima i prema tome razviti potrebne cyber sigurnosne mjere.
A sada, nešto više o samim honeypot sistemima…
Šta je honeypot?
Sistem Honeypota teško je definirati budući da je to tehnologija koja se stalno razvija te se nastavlja razvijati i koristi se u raznim sigurnosnim aspektima kao što su prevencija, detekcija i prikupljanje obavještajnih podataka. Ono što ih izdvaja je to što se ne bave određenim sigurnosnim problemima, već su generičke tehnologije. Honeypot je alat za istraživanje mreže i aplikacije, i otkrivanje upada.
(Techtarget)
Zbog gore navedenih razloga, mnoge definicije sistema dostupne su na internetu, ali treba izabrati onu koja najbolje opisuje sistem - Honeypot sistemu su dobro zaštićeni mrežni mamci dizajnirani za:
1. Otežavanje napadačima pronalaženje informacija u mreži
2. Rano upozorenje na nove vrste napada
3. Omogućavanje detaljne analize tokom i nakon napada
Honeypot zavarava hakere da pomisle da je to legitimna meta tako što izgleda kao pravi računalni sistem, zajedno s aplikacijama i podacima. Honeypot bi, na primjer, mogao oponašati poslovni sistem naplate klijentima, koji je često meta lopova koji traže podatke o kreditnoj kartici. Jednom kada su hakeri unutra, moguće im je ući u trag i analizirati njihovu aktivnost kako bi saznali kako zaštititi pravu mrežu.
Napadače privlače honeypotovi jer su namjerno dizajnirani sa sigurnosnim nedostacima. Honeypot može imati slabe lozinke ili portove koji reagiraju na skeniranje portova. Kako bi namamili napadače u honeypot okruženje umjesto u sigurniju živu mrežu, ranjivi portovi mogu ostati otvoreni.
Visoko interaktivni honeypot vs. nisko interaktivni honeypot
Glavna vrijednost honeypot sistema niske interakcije je njihova sposobnost određivanja, s obzirom da on bilježi sve podatke o svakom pokušaju skeniranja mreže. Također bilježi sve podatke koji se odnose na interakciju napadača kao što su izvorna i odredišna IP adresa, izvorni i odredišni broj porta i mnogi drugi parametri.
Visoko interaktivni honeypot sistem daje napadaču mogućnost interakcije s pravim operacijskim sistemom i nemaju nikakva ograničenja u interakciji koja nisko interaktivni honeypot ima.
Projektovanje, konfiguracija i održavanje visoko interaktivnih honeypot sistema zahtjeva dosta truda i vremena. Nadalje, ukoliko napadač kompromitira takav sistema i zadobije potpunu kontrolu nad njim, može ga iskoristiti za napade na druga računala.
Prednosti i mane korištenja honeypot sistema
Prednosti implementacije honeypota:
Stvarno prikupljanje podataka od napada i neovlaštenih aktivnosti
Pružanje analitičarima bogatog izvora korisnih informacija
Smanjenje broja lažno pozitivnih rezultata
Ne zahtijevaju resurse visokih performansi za obradu velike količine mrežnog prometa u potrazi za napadima
Isplativost
Zaobilaženje šifriranja jer honeypotovi hvataju šifrirane zlonamjerne aktivnosti
Nedostaci mogu biti sljedeći:
Ograničeni podaci, prikupljeni samo kada dođe do napada
Izolirana mreža jer svaka interakcija je napad usmjeren na honeypot mrežu
Iskusni hakeri mogu razlikovati sistem vaše organizacije od honeypot sistema
Sistemi vaše organizacije su u opasnosti jer se ipak povežu kako bi administratorima omogućili prikupljanje informacija koje sadrže
Honeynet
Na mreži dva ili više honeypota čine honeynet. Organizacije mogu pratiti kako napadač komunicira s jednim resursom ili mrežnom točkom, kao i kako se uljez kreće između tačaka na mreži i komunicira s više tačaka odjednom, s međusobno povezanom mrežom honeypotova.
(Techtarget)
Dakle, honeypotovi mogu pomoći organizacijama u održavanju koraka s threat landscape koji se neprestano mijenja dok se cyber prijetnje nastavljaju razvijati.
Iako je nemoguće predvidjeti i zaustaviti svaki napad, honeypotovi mogu pomoći organizaciji da bude spremna i vjerojatno su najbolji način da se uhvati napadač na djelu pružanjem korisnih informacija.
Comentarios