Pro každou obchodní organizaci na internetu představují viry, červy a crackery jen několik bezpečnostních hrozeb. Především nemůžeme říci, kdy, kde a jak budou naše data nebo jiné cenné informace ohroženy. Jediná věc, kterou můžeme udělat pro zajištění bezpečnosti našich dat, je přijmout preventivní opatření. Honeypots jsou jedním z takových preventivních softwarů, které se v síti používají ke zkoumání stopy neoprávněného přístupu a zároveň k upozornění správce sítě na možné narušení. Ve skutečnosti jde o past nastavenou na odhalování pokusů o neoprávněné použití informačních systémů. Útočník si vždy myslí, že získává nějaké užitečné informace, ale na oplátku ho nainstalovaný systém honeypot odláká od kritických zdrojů a uvězní ho tím, že sleduje jeho stopu. Hodnota Honeypotu spočívá v neoprávněném a nezákonném použití tohoto zdroje.
Myšlenkou honeypotu je vytvořit „návnadu“ systém, který má nezpevněný operační systém nebo takový, který se zdá být značně zranitelný pro snadný přístup ke svým zdrojům. Honeypot dokáže detekovat útoky zachycováním polymorfního kódu, zachycováním různých útoků, prací se zašifrovanými daty a získáváním podpisů. Honeypoty jsou cenným nástrojem pro dohled a síťový forenzní nástroj, ale zároveň mohou nést rizika pro síť a je třeba s nimi zacházet opatrně. Vyžaduje to značné množství správy sítě a pochopení protokolu a zabezpečení.
Honeypot funguje ve 2 režimech
Režim průzkumu :Jak název napovídá, v tomto režimu se software snaží charakterizovat prostředí na základě motivace útočníků, trendů útoků a nových hrozeb.
Produkční režim :Toto je místo, kde probíhají veškeré preventivní práce. V tomto okamžiku se honeypot používá k prevenci, detekci a reakci na útoky. Prevence se provádí pomocí odstrašení a přesměrováním útočníka k interakci s „návnadou“ spíše než s kritickými soubory.
Jak Honeypot funguje?
Honey pots jsou obecně založeny na skutečném serveru, skutečném operačním systému a datech, která se zdají být skutečná. Jedním z hlavních rozdílů je umístění stroje ve vztahu ke skutečným serverům. Nejdůležitější činností honeypotu je zachycení dat, schopnost logovat, upozorňovat a zachycovat vše, co zlý člověk dělá. Většina řešení honeypot, jako je Honeyd nebo Spectre, má své vlastní možnosti protokolování a upozornění. Tyto shromážděné informace se mohou ukázat jako docela kritické proti útočníkovi.
Výhody:
- Relevantní soubor dat :Honeypots sice shromažďuje malé množství dat, ale téměř všechna tato data jsou skutečným útokem nebo neoprávněnou aktivitou.
- Snížení počtu falešně pozitivních :U většiny detekčních technologií (IDS, IPS) jsou velké procento výstrah falešná varování, zatímco u Honeypotů tomu tak není.
- Nákladově efektivní :Honeypot interaguje pouze se škodlivými aktivitami a nevyžaduje vysoce výkonný zdroj.
- Jednoduchost :Honeypoty jsou velmi jednoduché na pochopení, nasazení a údržbu.
Nevýhody:
- Omezené zobrazení :Honeypoty vidí pouze aktivity, které s nimi interagují, a nezachycují útok namířený proti jiným existujícím systémům.
- Riziko ohrožení :Honeypot může být použit jako platforma pro zahájení dalších útoků.
Nakonec by nebylo špatné říci, že honeypoty jsou dobré zdroje pro sledování útočníků a jejich hodnota spočívá v napadení. Zároveň však kvůli výše uvedeným nevýhodám nemohou Honeypoty nahradit žádné bezpečnostní mechanismy; mohou pracovat pouze na zvýšení celkové bezpečnosti.