Küberturvalisus ei tähenda alati seda, et ründajad üritavad rünnata süütuid ohvreid ja võrgustikke. Tänu "meepoti" nime all tuntud peibutusarvutisüsteemile on see roll mõnikord vastupidine.

Kuigi meepott võib meenutada pilti Karupoeg Puhhist, kes mõnuleb hiiglaslikus meevannis, on sellel küberturvalisuse maailmas erinev tähendus.

Aga mis täpselt on meepott ja kuidas see aitab küberrünnakuid leevendada? Kas meepotte on erinevat tüüpi ja kas neil on ka mingid riskifaktorid? Uurime välja.

Mis on Honeypot?

Meepott on petmistehnoloogia, mida turvameeskonnad kasutavad ohus osalejate tahtlikuks lõksu püüdmiseks. Ohu luure- ja avastamissüsteemi lahutamatu osana toimib meepott simuleerides kriitilised infrastruktuurid, teenused ja konfiguratsioonid, et ründajad saaksid selle vale IT-ga suhelda varasid.

Honeypots on üldiselt kasutusele võetud tootmissüsteemide kõrval, mida organisatsioon juba kasutab ja võib olla a väärtuslik väärtus ründajate käitumise ning nende turvalisuse tagamiseks kasutatavate tööriistade ja taktikate kohta lisateabe saamiseks rünnakud.

instagram viewer

Kas Honeypot aitab küberrünnakuid leevendada?

Meepott meelitab süsteemi pahatahtlikud sihtmärgid, jättes teadlikult osa võrgust ohus osalejatele avatuks. See võimaldab organisatsioonidel korraldada küberrünnakuid kontrollitud keskkonnas, et hinnata oma süsteemi võimalikke haavatavusi.

Meepoti lõppeesmärk on parandada organisatsiooni turvalisust adaptiivse turvalisuse kasutamine. Kui meepott on õigesti konfigureeritud, võib see aidata koguda järgmist teavet.

  • Rünnaku päritolu
  • Ründaja käitumine ja nende oskuste tase
  • Teave võrgu kõige haavatavamate sihtmärkide kohta
  • Ründajate kasutatud tehnikad ja taktikad
  • Olemasolevate küberjulgeolekupoliitikate tõhusus sarnaste rünnakute leevendamisel

Meepoti suureks eeliseks on see, et saate teisendada võrgu mis tahes failiserveri, ruuteri või arvutiressursi üheks. Lisaks turvarikkumiste kohta jälitusandmete kogumisele võib meepott vähendada ka valepositiivsete tulemuste riski, kuna see meelitab ligi tõelisi küberkurjategijaid.

Erinevat tüüpi meepotid

Honeypots on erineva kujundusega, olenevalt kasutusviisist. Oleme mõned neist allpool loetletud.

Meepotid otstarbe järgi

Meepotid liigitatakse enamasti selliste eesmärkide järgi nagu tootmiseks mõeldud meepott või uurimistöö meepott.

Tootmine Honeypot: Tootmismeepott on kõige levinum tüüp ja seda kasutatakse tootmisvõrgu küberrünnakute kohta luureteabe kogumiseks. Tootmismeepott võib koguda atribuute, nagu IP-aadressid, andmete rikkumise katsed, kuupäevad, liiklus ja maht.

Kuigi tootmismeepotte on lihtne kujundada ja kasutusele võtta, ei suuda need erinevalt nende uurimistööga seotud kolleegidest pakkuda keerukat intelligentsust. Sellisena töötavad nad enamasti eraettevõtetes ja isegi kõrgetasemelistes isikutes, nagu kuulsused ja poliitilised tegelased.

Uurige Honeypoti: Keerulisemat tüüpi meepott, uurimuslik meepott on loodud selleks, et koguda teavet ründajate kasutatavate konkreetsete meetodite ja taktikate kohta. Seda kasutatakse ka võimalike haavatavuste paljastamiseks, mis süsteemis esinevad seoses ründajate rakendatud taktikaga.

Uurimismeepotte kasutavad enamasti valitsusasutused, luurekogukond ja uurimisorganisatsioonid, et hinnata organisatsiooni turvariski.

Honeypots interaktsiooni tasemete järgi

Meepotte saab kategoriseerida ka atribuutide järgi. See tähendab lihtsalt peibutusvahendi määramist selle interaktsiooni taseme alusel.

Suure interaktsiooniga meepotid: Need meepotid ei hoia liiga palju andmeid. Need ei ole mõeldud täismahus tootmissüsteemi jäljendamiseks, kuid need pakuvad kõiki teenuseid, mida tootmissüsteem pakuks – näiteks täisfunktsionaalne OS. Seda tüüpi meepotid võimaldavad turvameeskondadel reaalajas näha sissetungivate ründajate tegevusi ja strateegiaid.

Suure interaktsiooniga meepotid on tavaliselt ressursimahukad. See võib tekitada hooldusprobleeme, kuid nende pakutav ülevaade on pingutust väärt.

Madala interaktsiooniga meepotid: Neid meepotte kasutatakse enamasti tootmiskeskkondades. Piiratud arvul teenustel töötades on need turvameeskondade jaoks varajase avastamise punktid. Vähese interaktsiooniga meepotid on enamasti jõude ja ootavad, kuni toimub mingi tegevus, et saaksite teid hoiatada.

Kuna nendel meepottidel puuduvad täielikult funktsionaalsed teenused, ei jää küberründajatel palju saavutada. Neid on aga üsna lihtne juurutada. Tüüpiline näide vähese interaktsiooniga meepotist oleks automatiseeritud robotid mis otsivad Interneti-liikluse haavatavusi, nagu SSH-robotid, automatiseeritud jõhkrad jõud ja sisendpuhastuse kontrollimise robotid.

Meepotid tegevuse tüübi järgi

Meepotte saab klassifitseerida ka nendest tulenevate tegevuste tüübi järgi.

Pahavara meepotid: Mõnikord üritavad ründajad nakatada avatud ja haavatavaid süsteeme, majutades neis pahavara näidist. Kuna haavatavate süsteemide IP-aadressid pole ohtude loendis, on ründajatel lihtsam pahavara majutada.

Näiteks saab meepotti kasutada universaalse jadasiini (USB) salvestusseadme jäljendamiseks. Kui arvuti satub rünnaku alla, petab meepott pahavara simuleeritud USB-d ründama. See võimaldab turvameeskondadel hankida ründajatelt tohutul hulgal uue pahavara näidiseid.

Rämpsposti meepotid: Need meepotid meelitavad kasutades rämpsposti saatjaid avatud puhverserverid ja posti edastamine. Neid kasutatakse teabe kogumiseks uute rämpsposti ja meilipõhiste rämpspostide kohta, kuna rämpspostitajad testivad meiliülekandeid, kasutades neid endale e-kirjade saatmiseks.

Kui rämpsposti saatjad saadavad edukalt suures koguses rämpsposti, suudab meepott tuvastada rämpspostitaja testi ja selle blokeerida. Kõiki võltsitud avatud SMTP-releed saab kasutada rämpsposti meepotidena, kuna need võivad anda teadmisi praeguste rämpspostitrendide kohta ja tuvastada, kes kasutab rämpsposti saatmiseks organisatsiooni SMTP-edastust.

Kliendi meepotid: Nagu nimigi ütleb, jäljendavad kliendi meepotid kliendi keskkonna kriitilisi osi, et aidata sihipärasemate rünnakute vastu. Kuigi seda tüüpi meepottide puhul lugemisandmeid ei kasutata, võivad need muuta iga võltsitud hosti sarnaseks seadusliku hostiga.

Hea näide kliendi meepotist oleks sõrmega prinditavate andmete kasutamine, nagu operatsioonisüsteemi teave, avatud pordid ja töötavad teenused.

Meepoti kasutamisel olge ettevaatlik

Kõigi oma suurepäraste eelistega on meepotil potentsiaali ära kasutada. Kuigi vähese interaktsiooniga meepott ei pruugi turvariske tekitada, võib suure interaktsiooniga meepott mõnikord muutuda riskantseks katseks.

Teenuste ja programmidega reaalses operatsioonisüsteemis töötava meepoti juurutamine võib olla keeruline ja see võib tahtmatult suurendada välise sissetungi ohtu. Selle põhjuseks on asjaolu, et kui meepott on valesti konfigureeritud, võite anda häkkeritele teadmata juurdepääsu teie tundlikule teabele.

Samuti muutuvad küberründajad iga päevaga targemaks ja võivad ühendatud süsteemide kaaperdamiseks jahtida halvasti konfigureeritud meepotte. Enne kui asute meepotti kasutama, pidage meeles, et mida lihtsam on meepott, seda väiksem on risk.

Mis on nullklõpsuga rünnak ja mis teeb selle nii ohtlikuks?

Kui kasutaja sekkub "null", ei suuda ükski turvameetmed ega valvsus nullklõpsu rünnakut ära hoida. Uurime edasi.

Loe edasi

JagaSäutsMeil
Seotud teemad
  • Turvalisus
  • Küberturvalisus
  • Interneti-turvalisus
  • Turvalisus
Autori kohta
Kinza Yasar (Avaldatud 70 artiklit)

Kinza on tehnoloogiaajakirjanik, kellel on kraad arvutivõrkude alal ja tal on mitmeid IT-sertifikaate. Enne tehnilise kirjutamise juurde asumist töötas ta telekommunikatsioonitööstuses. Kuna tal on küberturvalisuse ja pilvepõhiste teemade nišš, meeldib talle aidata inimestel tehnoloogiat mõista ja hinnata.

Rohkem Kinza Yasarilt

Liituge meie uudiskirjaga

Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!

Tellimiseks klõpsake siin