Du har muligvis hørt udtrykket "honningkrukke" blive brugt og spekuleret på, hvad det er, og hvordan det kan gøre dit computersystem mere sikkert. Denne artikel vil fortælle dig alt hvad du har brug for at vide om honningkrukker og deres plads i cybersikkerhed.
Definitionen af en honningkrukke
En definition af lokkemad stammer fra spionageverdenen, hvor Mata Hari-agtige spioner, der bruger et romantisk forhold som en måde til at stjæle hemmeligheder på, beskrives som at sætte en "honningkrukke" ud. Ofte kompromitteres en fjendtlig spion af lokkemaden og afpresses derefter til at udlevere alt, hvad han/hun ved.
I computersikkerhedsmæssige vilkår fungerer en cyberhonningskrukke på en lignende måde og er madding i en fælde for hackere. Det er et offer-computersystem, der er beregnet til at tiltrække cyberangreb, ligesom en lokkefugl. Det efterligner et mål for hackere og bruger deres indtrængende forsøg på at få oplysninger om cyberkriminelle, og hvordan de fungerer, eller til at distrahere dem fra andre mål.
Sådan fungerer honningkrukker
Honningkrukken ligner et ægte computersystem med applikationer og data, der narrer cyberkriminelle til at tro, at det er et legitimt mål. F.eks. kan en honningkrukke efterligne en virksomheds kundefaktureringssystem – et hyppigt angrebsmål for kriminelle, der ønsker at finde kreditkortnumre. Når hackerne er inde, kan de spores, og deres opførsel vurderes ud fra ledetråde til, hvordan man kan gøre det rigtige netværk mere sikkert.
Honningkrukker gøres attraktive for angribere ved at indbygge bevidste sikkerhedssårbarheder. F.eks. kan en honningkrukke have porte, der reagerer på en portscanning eller svage adgangskoder. Sårbare porte kan efterlades åbne for at lokke angribere til honningskrukkemiljøet snarere end det mere sikre live-netværk.
En honningkrukke er ikke konfigureret til at løse et specifikt problem, f.eks. en firewall eller antivirus. I stedet er det et informationsværktøj, der kan hjælpe dig med at forstå eksisterende trusler mod din virksomhed og få øje på fremkomsten af nye trusler. Med de oplysninger, der er opnået fra en honningkrukke, kan sikkerhedsindsatsen prioriteres og fokuseres.
Forskellige typer honningkrukke, og hvordan de fungerer
Forskellige typer honningkrukke kan bruges til at identificere forskellige typer trusler. Forskellige definitioner af honningkrukke er baseret på den trusselstype, der gøres noget ved. Alle af dem har en plads i en grundig og effektiv cybersikkerhedsstrategi.
E-mailfælder eller spamfælder placerer en falsk e-mailadresse på et skjult sted, hvor kun en automatiseret adressehøster kan finde den. Eftersom adressen ikke bruges til andet formål end spamfælden, er det 100 % sikkert, at enhver e-mail, der kommer til den, er spam. Alle meddelelser, der indeholder det samme indhold som dem, der sendes til spamfælden, kan automatisk blokeres, og afsenderens kilde-IP kan føjes til en sortliste.
En lokkedatabase kan indstilles til at overvåge softwaresårbarheder og spotte angreb, der udnytter usikker systemarkitektur eller bruger SQL-injektion, udnyttelse af SQL-tjenester eller misbrug af privilegier.
En malware-honningkrukke efterligner softwareprogrammer og API'er for at invitere malwareangreb. Egenskaberne ved malware kan derefter analyseres for at udvikle antimalwaresoftware eller for at lukke sårbarheder i API'en.
En edderkop-honningkrukke er beregnet til at fange webcrawlers ("edderkopper") ved at oprette websider og links, der kun er tilgængelige for crawlers. At finde crawlers kan hjælpe dig med at lære, hvordan du blokerer ondsindede bots såvel som annoncenetværkscrawlere.
Ved at overvåge trafik, der kommer ind i honningkrukkesystemet, kan du vurdere:
- hvor cyberkriminelle kommer fra
- trusselsniveauet
- hvilken modus operandi, de bruger
- hvilke data eller applikationer, de er interesseret i
- hvor godt dine sikkerhedsforanstaltninger fungerer for at stoppe cyberangreb
En anden definition af honningkrukke ser på, om en honningkrukke har høj interaktion eller lav interaktion. Honningkrukker med lav interaktion bruger færre ressourcer og indsamler grundlæggende oplysninger om niveauet og typen af trusler, og hvor den kommer fra. De er lette og hurtige at konfigurere, normalt med blot nogle basale simulerede TCP- og IP-protokoller og netværkstjenester. Men der er intet i honningkrukken til at engagere angriberen i meget lang tid, og du får ikke detaljerede oplysninger om deres vaner eller om komplekse trusler.
På den anden side sigter honningkrukker med høj interaktion efter at få hackere til at tilbringe så meget tid som muligt inden for honningkrukken ved at give masser af oplysninger om deres intentioner og mål såvel som de sårbarheder, de udnytter, og deres modus operandi. Tænk på det som en honningkrukke med ekstra "lim" – databaser, systemer og processer, der kan engagere en angriber meget længere. Dette gør det muligt for forskere at spore, hvor angribere går ind i systemet for at finde følsomme oplysninger, hvilke værktøjer de bruger til at eskalere privilegier, eller hvilke udnyttelser de bruger til at kompromittere systemet.
Men honningkrukker med høj interaktion er ressourcekrævende. Det er vanskeligere og tidskrævende at konfigurere dem og overvåge dem. De kan også skabe en risiko: Hvis de ikke er sikret med en "honningmur", kan en virkelig beslutsom og snedig hacker bruge en honningkrukke med høj interaktion til at angribe andre internetværter eller til at sende spam fra en kompromitteret maskine.
Begge typer honningkrukke har deres plads i honningkrukke-cybersikkerhed. Ved hjælp af en blanding af begge kan du finjustere de grundlæggende oplysninger om trusselstyper, der kommer fra honningkrukker med lav interaktion, ved at tilføje oplysninger om intentioner, kommunikation og udnyttelser fra den honningkrukke med høj interaktion.
Ved at bruge cyberhonningkrukker til at skabe en trusselintelligensramme kan en virksomhed sikre, at den bruger sit cybersikkerhedsbudget på de rigtige steder og kan se, hvor den har svage punkter i sikkerheden.
Fordelene ved at bruge honningkrukker
Honningkrukker kan være en god måde til at afsløre sårbarheder i større systemer. F.eks. kan en honningkrukke vise det høje trusselsniveau, som angreb på IoT-enheder udgør. Den kan også foreslå måder til forbedring af sikkerhed.
Brug af en honningkrukke har flere fordele frem for at forsøge at få øje på indtrængen i det virkelige system. F.eks. bør en honningkrukke pr. definition ikke få nogen legitim trafik, så enhver logget aktivitet er sandsynligvis en føler eller indtrængende forsøg.
Det gør det meget lettere at få øje på mønstre, f.eks. lignende IP-adresser (eller IP-adresser, der alle kommer fra ét land), der bruges til at udføre en netværkskontrol. I modsætning hertil er sådanne typiske tegn på et angreb let at miste i støjen, når du ser på høje niveauer af legitim trafik på dit kernenetværk. Den store fordel ved at bruge honningkrukkesikkerhed er, at disse ondsindede adresser muligvis er de eneste, du ser, hvilket gør angrebet meget lettere at identificere.
Eftersom honningkrukker håndterer meget begrænset trafik, er de også ressourcelette. De stiller ikke store krav til hardware, og det er muligt at opsætte en honningkrukke ved hjælp af gamle computere, som du ikke bruger mere. Hvad angår software, er der et antal færdigskrevne honningkrukker tilgængelige fra online oplagringssteder, hvilket yderligere reducerer mængden af internt arbejde, der er nødvendigt for at få en honningkrukke i gang.
Honningkrukker har en lav falsk-positiv-rate. Det står i skarp kontrast til traditionelle indtrængerdetektionssystemer (IDS), der kan producere et højt niveau af falske alarmer. Igen hjælper det med at prioritere indsatsen og holder ressourceefterspørgslen fra en honningkrukke på et lavt niveau (faktisk kan IDS'et konfigureres med mere relevante advarsler ved at bruge de data, der er indsamlet af honningkrukker og korrelere dem med andre system- og firewall-logfiler, for at frembringe færre falsk positive resultater. På denne måde kan honningkrukker hjælpe med at forfine og forbedre andre cybersikkerhedssystemer).
Honningkrukker kan give dig pålidelige oplysninger om, hvordan truslerne udvikler sig. De leverer oplysninger om angrebsvektorer, udnyttelse samt malware og – i tilfælde af e-mailfælder – om spammere og phishingangreb. Hackere forbedrer kontinuerligt deres indtrængningsteknikker – en cyberhonningkrukke hjælper med at få øje på nye trusler og indtrængen. God brug af honningkrukker hjælper også med at udrydde blinde pletter.
Honningkrukker er også gode træningsværktøjer til teknisk sikkerhedspersonale. En honningkrukke er et kontrolleret og sikkert miljø til at vise, hvordan angribere arbejder og undersøge forskellige typer trusler. Med en honningkrukke bliver sikkerhedspersonalet ikke distraheret af reel trafik, der bruger netværket – de vil være i stand til at fokusere 100 % på truslen.
Honningkrukker kan også fange interne trusler. De fleste organisationer bruger deres tid på at forsvare perimeteren og sikre, at udenforstående og ubudne gæster ikke kan komme ind. Men hvis du kun forsvarer perimeteren, har enhver hacker, der med succes er kommet forbi din firewall, carte blanche til at gøre al den skade, de kan, nu hvor de er indenfor.
Firewalls hjælper heller ikke mod en intern trussel – f.eks. en medarbejder, der ønsker at stjæle filer, før de forlader deres job. En honningkrukke kan give dig lige så gode oplysninger om interne trusler og vise sårbarheder i områder som tilladelser, der giver insidere mulighed for at udnytte systemet.
Endelig er du faktisk altruistisk, når du opretter en honningkrukke og hjælper andre computerbrugere. Jo længere hackere spilder deres indsats på honningkrukker, jo mindre tid har de til rådighed til at hacke live systemer og forårsage reel skade – for dig eller for andre.
Farerne ved honningkrukker
Mens honningkrukke-cybersikkerhed hjælper med at kortlægge trusselsmiljøet, kan honningkrukker ikke se alt det, der foregår – kun aktivitet, der er rettet mod honningkrukken. Bare fordi en bestemt trussel ikke er blevet rettet mod honningkrukken, kan du ikke antage, at den ikke findes. Det er vigtigt at følge med i IT-sikkerhedsnyheder og ikke bare stole på, at honningkrukker underretter dig om truslerne.
En god, korrekt konfigureret honningkrukke vil narre angribere til at tro, at de har fået adgang til det rigtige system. Det vil have de samme loginadvarselsmeddelelser, de samme datafelter og sågar det samme udseende og logoer som dine virkelige systemer. Men hvis en angriber formår at identificere den som en honningkrukke, kan de derefter fortsætte med at angribe dine andre systemer, mens honningkrukken forbliver urørt.
Når en honningkrukke er blevet "fingeraftrykt", kan en angriber oprette forfalskede angreb for at distrahere opmærksomheden fra en reel udnyttelse, der bliver målrettet mod dine produktionssystemer. De kan også give forkerte oplysninger til honningkrukken.
Og hvad værre er, at en smart angriber kan potentielt bruge en honningkrukke som en vej ind i dine systemer. Derfor kan honningkrukker aldrig erstatte tilstrækkelig sikkerhedskontrol, såsom firewalls og andre indtrængende detektionssystemer. Eftersom en honningkrukke kan fungere som en startpude til yderligere indtrængen, skal du sikre, at alle honningkrukker er godt sikret. En "honningvæg" kan give grundlæggende honningkrukkesikkerhed og stoppe angreb rettet mod honningkrukken fra nogensinde at komme ind i dit live system.
En honningkrukke bør give dig oplysninger til at hjælpe med at prioritere din cybersikkerhedsindsats – men den kan ikke erstatte korrekt cybersikkerhed. Men uanset hvor mange honningkrukker du har, bør du overveje en pakke som Kasperskys Endpoint Security Cloud til at beskytte dine forretningsaktiver (Kaspersky bruger sine egne honningkrukker til at opdage internettrusler, så du ikke behøver at gøre det).
Samlet set opvejer fordelene ved at bruge honningkrukker langt risikoen. Hackere betragtes ofte som en fjern, usynlig trussel – men ved hjælp af honningkrukker kan du se nøjagtigt, hvad de laver i realtid, og bruge disse oplysninger til at forhindre dem i at få det, de vil have.
Relaterede links
IoT under angreb: Kaspersky opdager mere end 100 millioner angreb på smarte enheder i 1. halvår 2019