Honeypot
Honeypot (anglicky „hrnec medu“) je informační systém, jehož účelem je přitahovat potenciální útočníky a zaznamenat jejich činnost.
Honeypoty jsou užívány zejména pro včasné detekování malwaru a následnou analýzu jeho chování. Malwary stále mění svoji strategii útoku a různými způsoby se skrývají a vyhýbají nalezení. Z těchto důvodů je nutno malware nějak nalákat a poté analyzovat jeho chování – takto získané informace se mohou použít pro aktualizování antivirových systémů. Problém je, že nelze jednoduše zjistit aktivitu malwaru na reálném systému, který byl napaden. Nicméně honeypoty zneklidňují hackery, protože ti si nejsou nikdy jisti, jestli při průniku do systému nebudou chyceni.
Honeypoty detekují činnost neoprávněných zdrojů přicházejících do systému. Tato detekce je po odhalení útočníka plně automatická. Automaticky se sbírají data o činnosti potenciálního útočníka. Detekce buď vyloučí, že se jednalo o útočníka, nebo to jen potvrdí. Je to rychlejší, než kdyby se sbírala data z funkčního napadeného systému. Honeypoty se někdy sdružují do sítě, tzv. honeynetu. V těchto sítích jsou sdílena data o malwarech a jejich trendech. Nejčastěji jsou to způsoby šíření, užité algoritmy v malwaru, atd.
Dělení
Honeypoty se člení do skupin, převážně dle míry interakce nebo směru interakce.
Honeypoty s nízkou mírou interakce
Honeypoty s nízkou mírou interakce simulují pouze pár funkcí transportní vrstvy operačního systému. To ale neznamená, že v něm musí být nainstalován. Díky rychlému nasazení a velkému množství sítí se stal poměrně oblíbeným. V těchto systémech je jednoduché identifikovat zmapované hrozby, bohužel detekce nových druhů útoků je ve většině případů nemožná.
Honeypoty s vysokou mírou interakce
Honepoty s vysokou mírou interakce zobrazují kompletní reálný systém, se všemi službami a funkcemi. Bohužel, tento způsob implementace umožňuje napadení celého systému, včetně honeypotu. Z toho plyne, že údržba tohoto systému je mnohem složitější, než u honeypotů s nízkou mírou interakce, nicméně umožňuje detekovat i nové druhy útoků.
Serverové honeypoty
Serverové honeypoty jsou nejrozšířenější honeypoty vůbec, ale plní spíše pasivní funkci. Vyčkávají, než je útočník sám napadne. Výhodou je zpracování velkého množství požadavků. Převážně detekce červů a exploitů síťových služeb.
Klientské honeypoty
Jelikož nejčastějším cílem útoků malwaru jsou klientské stanice, kde se shromažďuje velké množství cenných dat, vznikly klientské honeypoty. Tyto honeypoty simulují obyčejného uživatele systému formou procházení internetových stránek. Po navštívení zadané URL se detekuje změna integrity. Díky tomu je možno získat informace o malwaru, který není možný zachytit jiným způsobem. Základní struktura honeypotu v několika fázích:
- Kolekce
- Testování
- Analyzování
- Monitoring
- Statistiky
- Reporting
Mezi hrozby patří nejčastěji phishing, nebo chyby v prohlížečích. Automatická analýza malwaru je prováděna buď vlastními jednoduchými metodami honeypotu, nebo k tomu využívá analytické nástroje třetích stran. To mohou být antiviry nebo sandboxy určené pro tuto analýzu. Sandboxy významně pomáhají redukovat falešné detekce a zrychlují detekci malwaru.