Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov

Prínos honeypotov pre výskum, spoločnosti a jednotlivcov

Upozornenie: Text je licenčne chránený a nie je ho možné nijakým spôsobom ďalej modifikovať, používať a šíriť bez písomného súhlasu autora.

Prevzaté z bakalárskej práce: Matej Zuzčák: Možnosti využití honeypotů a honeynetů při detekci síťových útoků a ochrane sítí LAN

Honeypoty umožňujú výskumníkom analyzovať a skúmať útoky, či nové, alebo špecifické techniky využívané pri týchto útokoch. Sofistikované útoky je možné odhaliť najmä za pomoci honepotov s vysokou mierou interakcie. Skúsený útočník totiž pomerne ľahko a jednoducho zistí, že systém, v prostredí ktorého sa pohybuje je s vysokou pravdepodobnosťou emulovaný. Pri vysoko-interaktívnych honeypotoch hrozí riziko ich zneužitia. To by mohlo viesť k následným právnym problémom vo vzťahu k jeho prevádzkovateľovi. Preto použitie honeypotov s vysokou mierou interakcie, týkajúce sa primárne výskumných účelov, musí byť veľmi starostlivo monitorované a prijaté musia byť všetky opatrenia zamedzujúce reálne zneužitie takéhoto systému. Rovnako je potrebné zaoberať sa i právnymi náležitosťami.

Užšie profilované média občas prinášajú správy o zapojení honeypotov do botnetu, či o využití honeypotu na cielený útok. Toto je najhorší scenár každého správcu honeypotu, kde ide o jeho zlyhanie, keďže nedokázal zabrániť zneužitiu tohto systému. Útočníkom je fenomén honeypotov veľmi dobre známy. V lepšom prípade po identifikácií systému, ako honeypotu – tento systém ignorujú. V horšom sa pokúsia o jeho cielené zneužitie, prípadne vyradenie. Občas však dochádza i k iným - bizarnejším situáciám. Jeden bezpečnostný tím napríklad pozoruje aktivitu iného výskumného tímu v domnienke, že ide o reálnych útočníkov.

Honeypoty sa používajú i v korporátnej sfére. Mnohí sieťoví administrátori zvyčajne túto technológiu ľahkomyseľne odmietajú. V prvom rade s ním spájajú mnoho obáv a rizík. Avšak prevádzkovatelia honeypotu schopní zaistiť jeho fungovanie vzhľadom na sieť a možnosti danej organizácie, môžu spustením tohto nástroja veľa získať.

Honeypot môže v sieti organizácie v prvom rade slúžiť z vonkajšieho pohľadu ako cieľ, ktorý odláka potenciálnych útočníkov od iných skutočne dôležitých cieľov nachádzajúcich sa v danej sieti. Toto pravidlo platí najmä vo vzťahu k automatizovaným útokom, ako je aktivita sieťových červov. Sťažiť a zmiasť však môže i cielený útok, alebo aktivitu potenciálneho profesionálnejšieho útočníka.

Ďalším dôvodom prečo sa v organizácií zaoberať nasadením honeypotu je lokálna sieť. V súčasnosti sa pomerne často objavujú problémy s aplikovaním bezpečnostnej politiky a jej vynucovanie u radových zamestnancov. Podobne sa rozmáha i z bezpečnostného hľadiska problematický fenomén BYOD. Honeypot v tomto smere pomôže identifikovať potenciálne hrozby vo vnútri lokálnej siete. Napríklad môže ísť o červa, ktorý sa vyhol detekčným mechanizmom pre nerešpektovanie, alebo výnimočné zlyhanie bezpečnostnej politiky a bezpečnostných prvkov. Môže však tiež ísť o zlomyseľného zamestnanca, ktorý vyvíja nekalé aktivity. Toto všetko dokáže identifikovať práve honeypot.

Ďalšou oblasťou nasadenia honeypotov sú bezdrôtové siete, tam poslúžia na identifikáciu pokusov o narušenie jej bezpečnosti, či o prehľad potenciálnych útokov. Tieto činnosti je možné realizovať a automatizovať i pokročilými monitorovacími zariadeniami, ktoré však stoja nemalé finančné prostriedky a v podstate sa funkčne prekrývajú s možnosťami honeypotov.

Pre jednotlivcov, kde možno zahrnúť najmä laikov, je problematika honeypotov v súčasnosti v drvivej väčšine prípadov neznámym a nejasným pojmom. Avšak po istej dávke popularizácie v tejto oblasti môže verejnosť priniesť obohatenie zbieraných dát, predovšetkým tým, že poskytne priestor pre určitý typ sondy. Táto služba sa následne účastníkom vráti v podobe zlepšenej ochrany ich vlastných sieti. Na podobnom princípe pracujú napr. služby veľmi podobné honeypotom ako DenyHOSTS, či Dshield, ale i v blízkej budúcnosti i ďalší zaujímavý český projekt Turris. V minulosti umožňoval zapojenie sa jednotlivcov projekt honey@home spadajúci pod NoAH.

Autor: Matej Zuzčák


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info