Você já deve ter ouvido o termo "honeypot" sendo usado e se perguntou o que é e como ele pode tornar o seu sistema de computador mais seguro. Com este artigo, você vai aprender tudo o que precisa saber sobre os honeypots e o seu lugar na ciber-segurança.
A definição de um honeypot
Uma definição de honeypot vem do mundo da espionagem, onde os espiões Mata Hari usam uma relação romântica como uma forma de roubar segredos. São descritos como a colocação de um "pote de mel" (daí o nome, do inglês, "honeypot"). Muitas vezes, um espião inimigo é comprometido por uma armadilha de mel e depois chantageado para entregar tudo o que sabe.
Em termos de segurança do computador, um honeypot virtual funciona de forma semelhante, atraindo os hackers para uma armadilha. É um sistema de computador sacrificial que pretende atrair ciberataques, como uma emboscada. Ele emula um alvo para os hackers e usa suas tentativas de intrusão para obter informações sobre cibercriminosos e a maneira como eles estão operando ou para distraí-los de outros alvos.
Como funcionam os honeypots
O honeypot parece um verdadeiro sistema de computador, com aplicativos e dados, enganando os cibercriminosos a pensar que é um alvo legítimo. Por exemplo, um honeypot pode imitar o sistema de faturamento de clientes de uma empresa - um alvo frequente de ataque para os criminosos que querem encontrar números de cartão de crédito. Uma vez que os hackers estão dentro, eles podem ser rastreados, e seu comportamento pode ser avaliado por pistas sobre como tornar a rede real mais segura.
Os Honeypots tornam-se atrativos para os criminosos ao construírem vulnerabilidades de segurança deliberadas. Por exemplo, um honeypot pode ter portas que respondem a uma varredura de porta ou senhas fracas. Portas vulneráveis podem ser deixadas abertas para atrair criminosos para o ambiente do honeypot, em vez da rede ao vivo mais segura.
Um honeypot não é configurado para resolver um problema específico, como um firewall ou um antivírus. Em vez disso, é uma ferramenta de informação que pode ajudá-lo a compreender as ameaças existentes ao seu negócio e detectar o surgimento de novas ameaças. Com a inteligência obtida de um honeypot, os esforços de segurança podem ser priorizados e focados.
Diferentes tipos de honeypot e como eles funcionam
Diferentes tipos de honeypot podem ser usados para identificar diferentes tipos de ameaças. Várias configurações de honeypot são baseadas no tipo de ameaça que é abordada. Todos eles têm um lugar em uma estratégia de ciber-segurança completa e eficaz.
Armadilhas de e-mail ou armadilhas de spam colocam um endereço de e-mail falso em um local oculto, onde apenas um colhedor de endereços automatizado será capaz de encontrá-lo. Uma vez que o endereço não é usado para nenhum outro fim que não seja a armadilha de spam, é 100% certo que qualquer e-mail que chegue até ele é spam. Todas as mensagens que contenham o mesmo conteúdo que as enviadas para a armadilha de spam podem ser automaticamente bloqueadas e o IP de origem dos remetentes pode ser adicionado a uma lista negra.
Uma base de dados falsa pode ser configurada para monitorar vulnerabilidades de software e ataques pontuais explorando uma arquitetura de sistema insegura ou usando injeção SQL, exploração de serviços SQL, ou abuso de privilégios.
Um honeypot de malware imita aplicativos de software e APIs para atrair ataques de malware. As características do malware podem então ser analisadas para desenvolver software anti-malware ou para fechar vulnerabilidades na API.
Um honeypot spider visa capturar rastreadores da Web ("spiders") através da criação de páginas Web e links acessíveis apenas a rastejadores. A detecção de rastejadores pode ajudá-lo a aprender como bloquear bots maliciosos, assim como os rastejadores da rede de anúncios.
Eles monitorando o tráfego que entra no sistema honeypot, você pode avaliar:
- de onde os cibercriminosos estão vindo
- o nível de ameaça
- que modus operandi eles estão usando
- em que dados ou aplicativos estão interessados
- como as suas medidas de segurança estão funcionando para pedir os ciberataques
Outra definição de honeypot analisa se um honeypot é de alta ou baixa interação. Os honeypots de baixa interação usam menos recursos e coletam informações básicas sobre o nível e o tipo de ameaça e de onde ela vem. Eles são fáceis e rápidos de configurar, geralmente com apenas alguns protocolos TCP e IP básicos simulados e serviços de rede. Mas não há nada no honeypot para envolver o criminoso por muito tempo e você não obterá informações detalhadas sobre seus hábitos ou sobre ameaças complexas.
Por outro lado, os honeypots de alta interação visam fazer com que os hackers passem o máximo de tempo possível dentro do honeypot, dando muitas informações sobre suas intenções e alvos, assim como as vulnerabilidades que estão explorando e seu modus operandi. Pense nisso como um honeypot com adição de "cola" - bancos de dados, sistemas e processos que podem atrair um criminoso por muito mais tempo. Isto permite que os investigadores localizem onde os criminosos vão no sistema para encontrar informações sensíveis, que ferramentas utilizam para aumentar os privilégios ou que explorações utilizam para comprometer o sistema.
No entanto, os honeypots de alta interação são famintos por recursos. É mais difícil e mais demorado configurar e monitorá-los. Eles também podem gerar um risco; se não estiverem seguros com uma "honeywall", um hacker realmente determinado poderia usar um honeypot de alta interação para atacar outros hosts de Internet ou para enviar spam de uma máquina comprometida.
Ambos os tipos de honeypot têm um lugar na segurança virtual. Usando uma mistura de ambos, você pode refinar as informações básicas sobre os tipos de ameaça que vêm dos honeypots de baixa interação, adicionando informações sobre intenções, comunicações e explorações do honeypot de alta interação.
Ao usar honeypots cibernéticos para criar uma estrutura de inteligência de ameaças, uma empresa pode garantir que está visando seus gastos com cibersegurança nos lugares certos e pode ver onde tem pontos fracos de segurança.
Os benefícios do uso de honeypots
Os honeypots podem ser uma boa maneira de expor vulnerabilidades nos principais sistemas. Por exemplo, um honeypot pode mostrar o alto nível de ameaça que ataques a dispositivos da IoT. Ele também pode sugerir formas de melhorar a segurança.
Usar um honeypot tem várias vantagens sobre a tentativa de detectar intrusão no sistema real. Por exemplo, por definição, um honeypot não deve receber nenhum tráfego legítimo, pelo que qualquer atividade registada é susceptível de ser uma sonda ou uma tentativa de intrusão.
Isso facilita muito a detecção de padrões, tais como endereços IP similares (ou endereços IP todos provenientes de um país) sendo usados para realizar uma varredura de rede. Por outro lado, tais sinais de um ataque são fáceis de perder no ruído quando você está olhando para altos níveis de tráfego legítimo na sua rede principal. A grande vantagem de usar a segurança do honeypot é que estes endereços maliciosos podem ser os únicos que você vê, tornando o ataque muito mais fácil de identificar.
Como os honeypots lidam com tráfego muito limitado, também são leves em termos de recursos. Eles não fazem grandes exigências ao hardware; é possível montar um honeypot usando computadores antigos que você não usa mais. Quanto ao software, uma série de honeypots prontos a escrever estão disponíveis em repositórios on-line, reduzindo ainda mais a quantidade de esforço interno necessário para colocar um honeypot em funcionamento.
Os honeypots têm uma baixa taxa de falsos positivos. Isso está em forte contraste com os sistemas tradicionais de detecção de intrusão (IDS), que podem produzir um alto nível de falsos alertas. Mais uma vez, isso ajuda a priorizar os esforços e mantém a demanda de recursos de um honeypot em um nível baixo. (De fato, usando os dados coletados pelos honeypots e correlacionando-os com outros logs de sistema e firewall, o IDS pode ser configurado com alertas mais relevantes, para produzir menos falsos positivos. Dessa forma, os honeypots podem ajudar a refinar e melhorar outros sistemas de segurança cibernética)
Os honeypots podem fornecer informações confiáveis sobre como as ameaças estão a evoluir. Eles fornecem informações sobre vetores de ataque, exploits e malware - e no caso de armadilhas de e-mail, sobre spammers e ataques de phishing. Os hackers refinam continuamente suas técnicas de intrusão; um honeypot cibernético ajuda a detectar novas ameaças e intrusões emergentes. Um bom uso de honeypots também ajuda a eliminar os pontos cegos.
Os honeypots também são ótimas ferramentas de treinamento para o pessoal de segurança técnica. Um honeypot é um ambiente controlado e seguro para mostrar como funcionam os criminosos e examinar os diferentes tipos de ameaças. Com um honeypot, a equipe de segurança não será distraída por tráfego real usando a rede - ela será capaz de se concentrar 100% na ameaça.
Os honeypots também podem encontrar ameaças internas. A maioria das organizações passa o seu tempo defendendo o perímetro e garantindo que os estranhos e intrusos não possam entrar. Mas, se você apenas defender o perímetro, qualquer hacker que tenha passado com sucesso pelo seu firewall tem carta branca para fazer qualquer dano que quiser agora que estão dentro.
Firewalls também não vai ajudar contra uma ameaça interna - um empregado que quer roubar arquivos antes de deixar seu emprego, por exemplo. Um honeypot pode fornecer informações igualmente úteis sobre ameaças internas e mostrar vulnerabilidades em áreas tais como permissões que permitem que os infiltrados explorem o sistema.
Finalmente, ao criar um honeypot você está sendo altruísta e ajudando outros usuários de computadores. Quanto mais tempo os hackers desperdiçam em honeypots, menos tempo têm disponível para hackear sistemas vivos e causar danos reais - para você ou para os outros.
Os perigos dos honeypots
Enquanto a ciber-segurança do honeypot ajuda a mapear o ambiente de ameaça, os honeypots não detectam tudo o que está acontecendo - apenas a atividade que é direcionada ao honeypot. Só porque uma certa ameaça não foi dirigida contra o honeypot, você não pode assumir que ela não existe; é importante manter-se atualizado com as notícias de segurança de TI, e não confiar apenas nos honeypots para notificá-lo das ameaças.
Um bom honeypot, devidamente configurado, enganará os criminosos para que estes acreditem que ganharam acesso ao sistema real. Terá as mesmas mensagens de aviso de login, os mesmos campos de dados, até a mesma aparência e os mesmos logotipos dos seus sistemas reais. No entanto, se um criminoso conseguir identificá-lo como honeypot, pode então avançar para atacar os seus outros sistemas, deixando o honeypot intocado.
Uma vez que um honeypot tenha "tocado", um criminoso pode criar ataques falsificados para distrair a atenção de uma verdadeira exploração que está a ser dirigida contra os seus sistemas de produção. Eles também podem alimentar o honeypot com informações falsas.
Pior ainda: um criminoso inteligente poderia usar um honeypot como uma forma de entrar nos seus sistemas. É por isso que os honeypots nunca podem substituir controles de segurança adequados, tais como firewalls e outros sistemas de detecção de intrusão. Uma vez que um honeypot pode servir como rampa de lançamento para mais invasões, certifique-se de que todos os honeypot estão bem seguros. Uma "honeywall" pode fornecer segurança básica para honeypot e impedir que ataques dirigidos contra o honeypot entrem no seu sistema ao vivo.
Um honeypot deve fornecer informação para ajudar a dar prioridade aos seus esforços de segurança cibernética - mas não pode substituir a segurança cibernética adequada. Independentemente de quantos honeypots você tiver, considere um pacote como o Kaspersky Endpoint Security Cloud para proteger o seu património empresarial. (A Kaspersky usa os seus próprios honeypots para detectar ameaças na Internet, para que você não tenha que fazê-lo.)
Em geral, os benefícios do uso de honeypots superam em muito os riscos. Os hackers são frequentemente encarados como uma ameaça distante e invisível - mas usando honeypots, você pode ver exatamente o que eles estão fazendo, em tempo real, e usar essa informação para impedi-los de conseguir o que querem.
Links relacionados
IoT sob fogo:Kaspersky detecta mais de 100 milhões de ataques a dispositivos inteligentes no 1º trimestre de 2019