Honeypots são armadilhas que são configuradas para detectar tentativas de qualquer uso não autorizado de sistemas de informação, com o objetivo de aprender com os ataques para melhorar ainda mais a segurança do computador.
Tradicionalmente, a sustentação da segurança de rede envolveu agir de forma vigilante, usando técnicas de defesa baseadas em rede, como firewalls, sistemas de detecção de intrusão e criptografia. Mas a situação atual exige técnicas mais proativas para detectar, desviar e neutralizar tentativas de uso ilegal de sistemas de informação. Nesse cenário, o uso de honeypots é uma abordagem proativa e promissora para combater as ameaças à segurança da rede.
O que é um honeypot
Considerando o campo clássico de segurança computacional, um computador precisa ser seguro, mas no domínio de Honeypots, as brechas de segurança estão definidas para abrir de propósito. Os honeypots podem ser definidos como uma armadilha que é configurada para detectar tentativas de qualquer uso não autorizado de sistemas de informação. Os honeypots basicamente ativam as tabelas para Hackers e especialistas em segurança de computadores. O principal objetivo de um Honeypot é detectar e aprender com os ataques e usar ainda mais as informações para melhorar a segurança. Os honeypots são usados há muito tempo para rastrear as atividades dos invasores e defender-se contra ameaças futuras. Existem dois tipos de honeypots:
- Honeypot de pesquisa - Um honeypot de pesquisa é usado para estudar as táticas e técnicas dos intrusos. Ele é usado como um posto de observação para ver como um invasor está trabalhando ao comprometer um sistema.
- Honeypot de produção - Estes são usados principalmente para detecção e proteção de organizações. O principal objetivo de um honeypot de produção é ajudar a mitigar riscos em uma organização.
Por que configurar os honeypots?
O valor de um honeypot é pesado pelas informações que podem ser obtidas a partir dele. O monitoramento dos dados que entram e saem de um honeypot permite que o usuário reúna informações que não estão disponíveis de outra forma. Geralmente, existem dois motivos populares para configurar um Honeypot:
Compreensão
Entenda como os hackers investigam e tentam obter acesso aos seus sistemas. A ideia geral é que, como é mantido um registro das atividades do culpado, é possível entender as metodologias de ataque para proteger melhor seus sistemas de produção reais.
Juntar informação
Reúna informações forenses necessárias para auxiliar na apreensão ou no processamento de hackers. Esse é o tipo de informação que muitas vezes é necessária para fornecer aos oficiais da lei os detalhes necessários para processar.
Como os Honeypots protegem os sistemas de computadores
Um Honeypot é um computador conectado a uma rede. Estes podem ser usados para examinar as vulnerabilidades do sistema operacional ou da rede. Dependendo do tipo de configuração, pode-se estudar falhas de segurança em geral ou em particular. Estes podem ser usados para observar as atividades de um indivíduo que obteve acesso ao Honeypot.
Os honeypots geralmente são baseados em um servidor real, sistema operacional real, junto com dados que parecem reais. Uma das principais diferenças é a localização da máquina em relação aos servidores reais. A atividade mais vital de um honeypot é capturar os dados, a capacidade de registrar, alertar e capturar tudo o que o intruso está fazendo. A informação reunida pode revelar-se bastante crítica contra o atacante.
Honeypots de alta interação e baixa interação
Os honeypots de alta interação podem ser totalmente comprometidos, permitindo que um inimigo tenha acesso total ao sistema e o use para lançar novos ataques de rede. Com a ajuda de tais honeypots, os usuários podem aprender mais sobre ataques direcionados contra seus sistemas ou até mesmo sobre ataques internos.
Em contraste, os honeypots de baixa interação empregam apenas serviços que não podem ser explorados para obter acesso completo ao honeypot. Estes são mais limitados, mas são úteis para coletar informações em um nível mais alto.
Vantagens de usar Honeypots
Colete dados reais
Enquanto os Honeypots coletam um pequeno volume de dados, mas quase todos esses dados são um ataque real ou uma atividade não autorizada.
Reduzido Falso Positivo
Com a maioria das tecnologias de detecção (IDS, IPS), uma grande fração de alertas é falsa, enquanto com os Honeypots isso não é verdade.
Económicamente viáveis
Honeypot apenas interage com atividades maliciosas e não requer recursos de alto desempenho.
Encriptação
Com um honeypot, não importa se um invasor está usando criptografia; a atividade ainda será capturada.
Simples
Os honeypots são muito simples de entender, implantar e manter.
Um Honeypot é um conceito e não uma ferramenta que pode ser simplesmente implementada. É preciso saber com antecedência o que eles pretendem aprender e, em seguida, o honeypot pode ser personalizado com base em suas necessidades específicas. Há algumas informações úteis no sans.org se você precisar ler mais sobre o assunto.
