Honeypots là những cái bẫy được thiết lập để phát hiện những nỗ lực tại bất kỳ hệ thống thông tin sử dụng trái phép nào, với một cái nhìn để học hỏi từ các cuộc tấn công để cải thiện hơn nữa an ninh máy tính.
Theo truyền thống, việc duy trì an ninh mạng đã liên quan đến hành động thận trọng, sử dụng các kỹ thuật phòng thủ dựa trên mạng như tường lửa, hệ thống phát hiện xâm nhập và mã hóa. Nhưng tình hình hiện tại đòi hỏi nhiều kỹ thuật chủ động hơn để phát hiện, làm chệch hướng và chống lại những nỗ lực sử dụng bất hợp pháp các hệ thống thông tin. Trong kịch bản như vậy, việc sử dụng honeypots là một cách tiếp cận chủ động và đầy hứa hẹn để chống lại các mối đe dọa an ninh mạng.
Honeypot là gì
Xem xét lĩnh vực bảo mật máy tính cổ điển, máy tính cần phải được bảo mật, nhưng trong miền Honeypots, các lỗ hổng bảo mật được thiết lập để mở trên mục đích. Honeypots có thể được định nghĩa là một cái bẫy được thiết lập để phát hiện những nỗ lực tại bất kỳ hệ thống thông tin sử dụng trái phép nào. Honeypots về cơ bản bật các bảng cho các hacker và các chuyên gia bảo mật máy tính. Mục đích chính của Honeypot là phát hiện và học hỏi từ các cuộc tấn công và sử dụng thêm thông tin để cải thiện an ninh. Honeypots từ lâu đã được sử dụng để theo dõi hoạt động của kẻ tấn công và bảo vệ chống lại các mối đe dọa sắp tới. Có hai loại honeypots:
- Nghiên cứu Honeypot - Một Honeypot nghiên cứu được sử dụng để nghiên cứu về các chiến thuật và kỹ thuật của những kẻ xâm nhập. Nó được sử dụng như một bài xem để xem làm thế nào một kẻ tấn công đang làm việc khi ảnh hưởng đến một hệ thống.
- Honeypot sản xuất - Chúng chủ yếu được sử dụng để phát hiện và bảo vệ các tổ chức. Mục đích chính của honeypot sản xuất là giúp giảm thiểu rủi ro trong một tổ chức.
Tại sao thiết lập Honeypots
Giá trị của một honeypot được cân nhắc bởi các thông tin có thể thu được từ nó. Theo dõi dữ liệu nhập vào và để lại một honeypot cho phép người dùng thu thập thông tin không có sẵn. Nói chung, có hai lý do phổ biến để thiết lập Honeypot:
Tìm hiểu
Hiểu cách tin tặc thăm dò và tìm cách truy cập vào hệ thống của bạn. Ý tưởng tổng thể là kể từ khi một hồ sơ của các hoạt động của thủ phạm được lưu giữ, người ta có thể đạt được sự hiểu biết vào các phương pháp tấn công để bảo vệ tốt hơn hệ thống sản xuất thực sự của họ.
Thu thập thông tin
Thu thập thông tin pháp y cần thiết để hỗ trợ trong việc bắt giữ hoặc truy tố tin tặc. Đây là loại thông tin thường cần thiết để cung cấp cho các quan chức thực thi pháp luật các chi tiết cần thiết để truy tố.
Làm thế nào Honeypots an toàn hệ thống máy tính
Honeypot là một máy tính được kết nối với mạng. Chúng có thể được sử dụng để kiểm tra các lỗ hổng của hệ điều hành hoặc mạng. Tùy thuộc vào loại thiết lập, người ta có thể nghiên cứu lỗ hổng bảo mật nói chung hoặc nói riêng. Chúng có thể được sử dụng để quan sát các hoạt động của một cá nhân có được quyền truy cập vào Honeypot.
Honeypots thường dựa trên một máy chủ thực sự, hệ điều hành thực, cùng với dữ liệu trông giống như thật. Một trong những khác biệt chính là vị trí của máy liên quan đến các máy chủ thực tế. Hoạt động quan trọng nhất của honeypot là thu thập dữ liệu, khả năng đăng nhập, cảnh báo và nắm bắt mọi thứ mà kẻ xâm nhập đang thực hiện. Các thông tin thu thập được có thể chứng minh là khá quan trọng đối với kẻ tấn công.
Tương tác cao so với Honeypots tương tác thấp
Honeypots tương tác cao có thể bị tổn hại hoàn toàn, cho phép kẻ thù truy cập đầy đủ vào hệ thống và sử dụng nó để khởi động các cuộc tấn công mạng hơn nữa. Với sự giúp đỡ của honeypots như vậy, người dùng có thể tìm hiểu thêm về các cuộc tấn công nhắm mục tiêu chống lại hệ thống của họ hoặc thậm chí về các cuộc tấn công nội bộ.
Ngược lại, honeypots tương tác thấp chỉ đưa vào những dịch vụ không thể khai thác để có thể tiếp cận hoàn toàn với honeypot. Đây là những hạn chế hơn nhưng rất hữu ích cho việc thu thập thông tin ở mức cao hơn.
Ưu điểm của việc sử dụng Honeypots
Thu thập dữ liệu thực
Trong khi Honeypots thu thập một lượng nhỏ dữ liệu nhưng hầu như tất cả dữ liệu này là một cuộc tấn công thực sự hoặc hoạt động trái phép.
Giảm dương tính giả
Với hầu hết các công nghệ phát hiện (IDS, IPS), một phần lớn cảnh báo là cảnh báo sai, trong khi với Honeypots thì điều này không đúng.
Chi phí hiệu quả
Honeypot chỉ tương tác với hoạt động độc hại và không yêu cầu tài nguyên hiệu suất cao.
Mã hóa
Với một honeypot, nó không quan trọng nếu kẻ tấn công đang sử dụng mã hóa; hoạt động vẫn sẽ bị bắt.
Đơn giản
Honeypots rất đơn giản để hiểu, triển khai và duy trì.
Honeypot là một khái niệm chứ không phải một công cụ có thể được triển khai đơn giản. Người ta cần phải biết rõ trước những gì họ định học, và sau đó honeypot có thể được tùy chỉnh dựa trên nhu cầu cụ thể của họ. Có một số thông tin hữu ích trên sans.org nếu bạn cần đọc thêm về chủ đề này.