Das Bereitstellen eines Honigtopfs ist nicht anders als das Hinzufügen einer bemalten Tür oder eines gefälschten Safes zu einem Banktresor.

Es schreckt niemanden ab (sein Zweck ist nicht als Honigtopf erkannt werden). Möglicherweise hat jemand detect falsch geschrieben.

Dies kann die Zeit, die Angreifer gegen die echte Tür verbringen, (etwas) verkürzen. Nicht viel.

Darüber hinaus kann es für die Datenerfassung optimiert werden (vereinfacht gesagt, Sie wissen, dass niemand die Dienste auf dem Honeypot jemals nutzen wird, sodass Sie sie alle so einstellen können, dass sie "alles hoch protokollieren" Volumen paranoid dump dump dump ". Service Effizienz geht zur Hölle, aber sobald jemand etwas versucht, müssen Sie nichts raten. Der" Safe "ist alles Alarm und kein Goldbarren.

Darüber hinaus können Sie korrelieren , was auf dem Honeypot passiert, mit dem, was im Rest des Netzwerks passiert. Der Honeypot zeigt Ihnen, was dahinter steckt, was die anderen Maschinen als ungewöhnliches, aber zufälliges "Rauschen melden ".

Schließlich kann der Honeypot anscheinend einen erfolgreichen Angriff zulassen, sodass Sie noch mehr Daten sammeln können. Beispiel: Der Angreifer gewinnt eine Root-Shell auf dem Honeypot. Er Fahren Sie mit dem Herunterladen komplexerer Tools fort. Jetzt haben Sie mindestens eine Kopie dieser Tools sowie eine Vorstellung davon, von wo er sie heruntergeladen hat.

(Wenn Sie Zeit hast du kannst abstürzen die Verbindung auf nicht allzu verdächtige Weise und lassen Sie ihn später wieder verbinden, nachdem Sie geeignete Werkzeuge zu seinen Werkzeugen hinzugefügt haben, die jetzt nicht mehr seine sind.

Sie können feststellen, ob er nur ein Skriptkind ist, das sucht Einige Waren springen auf oder jemand, der aktiv auf Ihr Netzwerk abzielt. Selbst wenn er den Honigtopf meidet, wird er Ihnen etwas Wissenswertes sagen

Aber so ziemlich nichts davon ist kostenlos ; noch wird es von selbst funktionieren. Sie benötigen jemanden, der den Honigtopf kontinuierlich verwaltet (normalerweise auf einem sehr niedrigen Niveau, aber kontinuierlich und immer bereit, eskaliert zu werden). Der Honeypot muss gewartet und aktualisiert werden, genauso viel (möglicherweise viel mehr ) wie die anderen Boxen.

Sie müssen entscheiden, ob der Gewinn den Schmerz wert ist und ob Sie können in die notwendigen Schmerzen investieren.

Nur "Hinzufügen eines Honeypots" trägt nichts zur Erhöhung der Netzwerksicherheit bei. im Gegenteil, es wird ein bisschen falsche Sicherheit erzeugen und möglicherweise eine Sicherheitsverletzung darstellen, wenn der Honigtopf nicht so gut isoliert und gepanzert ist, wie Sie geglaubt haben. Es könnte auch mehr Aufmerksamkeit erregen, als wenn es nicht vorhanden wäre, wenn es Dienste oder Schwachstellen bietet, die die anderen Computer nicht gemeinsam nutzen.

Honeypots sind keine abschreckende Kontrolle, sondern eine Detektivkontrolle. Als solche können sie in Produktionsnetzwerken von Unternehmen sehr leistungsfähig sein.

Ich verwende viele Honeypots und sie bieten neben IDS / IPS einen nützlichen Datensatz. Sie können mir die Absicht eines aktiven Angriffs, die Raffinesse eines Angriffs und jeden Kontakt mit einem Honigtopf mitteilen, der auf ein ernstes Ereignis hinweist. Manchmal sehe ich, was offensichtlich Leute sind, die sich umschauen, und manchmal sehe ich sehr komplexe und geplante Angriffe. Beides muss behandelt werden, und ich weiß, wie ernst es ist, Ressourcen für die Untersuchung einzusetzen.

Richtig konfigurierte und sichere Honeypots ermöglichen es Angreifern nicht, auf andere Assets zu wechseln (obwohl einige den Angreifer glauben machen können, dass sie es sind!).

Es stimmt auch, dass Honigtöpfe für Forschungszwecke verwendet werden können. Zu diesem Zweck betreibe ich meinen eigenen Honigtopf. Als kostengünstige Detektivsteuerung verleiht sie dem, was normalerweise nur in Protokollen und Paketverfolgungen zu sehen ist, Tiefe.

Die Frage erinnerte mich an einen Artikel aus einer nicht allzu fernen Vergangenheit, der mich mit einer ähnlichen Behauptung überraschte. Ich konnte es wiederfinden, es war " 5 Gründe, warum jedes Unternehmen einen Honeypot haben sollte" bei Dark Reading ab Oktober 2013. Zusammenfassend sind ihre fünf Gründe:

1. Angreifer testen ihre Tools mit Standard-Anti-Malware-Software. Ein Honeypot als System mit geringen Fehlalarmen ist daher gut geeignet, um Angriffe zu erkennen.
2. Honeypots können Angreifer verlangsamen, indem sie Lockvögel aufstellen und sie von den realen Zielen ablenken.
3. Produktions-Honeypots erfordern nicht viel Zeitaufwand (im Vergleich zu Forschungs-Honeypots), es sei denn, eine Warnung wird ausgelöst.
4. Honeypots helfen bei der Schulung des Sicherheitsteams.
5. Honeypots sind billig einzurichten, da es viele kostenlose Tools gibt.
ol>

Ich bin nicht wirklich mit all ihren Gründen einverstanden. In der Tat ist die einzige überzeugende für mich # 4. Nummer 2 mag gültig sein, benötigt aber entweder ein ausgeklügeltes und wahrscheinlich teures Setup oder nur unerfahrene Angreifer. Andernfalls können sie möglicherweise sehr bald hinter den Vorhang schauen und nach den realen Ressourcen suchen (möglicherweise sogar eine gewisse Schwäche in der Honeypot-Software selbst ausnutzen).

Honeypots sind kein Abwehrmechanismus. Sie sind ein Medium, das Ihr Netzwerk emulieren und Ihnen dabei helfen kann, potenzielle Bedrohungen in Ihrem Netzwerk zu identifizieren. Durch das Einrichten von Honeypots in Unternehmensnetzwerken erhalten Sie einen Einblick in alle Angriffe, die auf Ihr Unternehmen gerichtet sind. Basierend auf den in Ihrem Honeypot erfassten Ergebnissen können Sie Ihre organisatorischen Abwehrmechanismen weiter stärken.

Obwohl sein Hauptzweck in der Erkennung und Abschwächung liegt, kann ich sehen, wie es auch abschreckend wirken würde, wenn der Angreifer den begründeten Verdacht hatte, dass Sie Honigtöpfe verwenden, aber hatte keine Möglichkeit, genau zu bestimmen, wo. Ob eine bestimmte Maschine ein Honigtopf ist, sollte geheim gehalten werden, aber es besteht nur ein geringes Risiko, die Tatsache offenzulegen, dass einige Ihrer Maschinen unter Hunderten Honigtöpfe sind. Für Regierungen, große Unternehmen und sicherheitsrelevante kleinere Unternehmen würde man so ziemlich davon ausgehen, dass sie Honigtöpfe verwenden.

Stellen Sie sich das so vor. Alles andere ist gleich, wenn Sie die Wahl hätten, eine Installation mit wahrscheinlich Honeypots anzugreifen und eine, die dies wahrscheinlich nicht tut, welche würden Sie wählen? Natürlich ist es keine sehr große Abschreckung, aber was ist das?