¿Es un honeypot un elemento disuasivo eficaz para que los piratas informáticos pongan en peligro su red?

La implementación de un honeypot no es muy diferente de agregar una puerta pintada o una caja fuerte falsa a una bóveda de un banco.

No disuade a a nadie (su propósito es no para ser detectado como un honeypot). Posiblemente alguien haya escrito mal detectar .

Puede reducir (algo) el tiempo que pasan los atacantes contra la puerta real. No por mucho.

Más que eso, puede optimizarse para la recopilación de datos (de manera simplista, sabe que nadie va a usar los servicios en el honeypot, por lo que puede sintonizarlos todos para "registrar todo el volumen de volcado de volcado paranoico todo el volumen". < La eficiencia de em> Service se va al infierno, pero tan pronto como alguien intenta hacer algo, no necesita adivinar nada. El "seguro" es todas las alarmas y no los lingotes.

Más aún, puede correlacionar lo que está sucediendo en el honeypot con lo que está sucediendo en el resto de la red. El honeypot le dirá qué hay detrás de lo que las otras máquinas informan como un "ruido" inusual pero aleatorio.

Finalmente, el honeypot puede aparentemente permitir que un ataque tenga éxito, para que puedas recopilar aún más datos. Ejemplo: el atacante gana una shell de root en el honeypot. Él procede a descargar herramientas más sofisticadas. Ahora tienes, como mínimo, una copia de esas herramientas , así como una idea de dónde las descargó.

(Si tiene tiempo, puede interrumpir la conexión de forma no demasiado sospechosa y dejar que se vuelva a conectar después de haber agregado la instrumentación adecuada a sus herramientas, que ya no son suyas).

Puedes determinar si es solo un chico de guión en busca de algunos warez rebotando, o alguien que se enfocó activamente en tu red. Incluso al evitar el honeypot, le dirá algo que vale la pena saber.

Pero prácticamente nada de lo anterior viene gratis ; ni funcionará por sí mismo. Necesita que alguien administre continuamente (normalmente a un nivel muy bajo, pero de forma continua y siempre listo para escalar) el honeypot. El honeypot se debe mantener y actualizar, tanto como (posiblemente mucho más ) que en las otras casillas.

Debe decidir si la ganancia vale la pena y si puede invertir en el dolor necesario.

Solo "agregar un honeypot" no hará nada para aumentar la seguridad de la red; por el contrario, generará un poco de seguridad falsa, y posiblemente proporcionará una brecha de seguridad si el honeypot no está tan aislado y blindado como creías; También podría atraer más atención que si no estuviera allí, si ofrece servicios o vulnerabilidades que las otras máquinas no comparten.

Los honeypots no son un control disuasorio, son un control detective. Como tales, pueden ser muy poderosos en redes corporativas y de producción.

Ejecuto muchos honeypots y proporcionan un conjunto útil de datos aparte de IDS / IPS. Pueden decirme la intención de un ataque activo, la sofisticación de un ataque y cualquier contacto con un honeypot indica un evento grave. A veces, veo lo que obviamente es gente 'mirando alrededor', y otras veces veo ataques muy complejos y planificados. Ambos deben ser tratados y sé cómo aplicar seriamente los recursos para investigar.

Los honeypots seguros y correctamente configurados no permiten que los atacantes giren a otros activos (aunque algunos pueden hacer que el atacante piense que lo son).

También es cierto que los honeypots se pueden utilizar para la investigación. Corro mi propio honeypot para ese mismo propósito. Pero, como un control de detección de bajo costo, agrega profundidad a lo que generalmente solo se ve en registros y rastreos de paquetes.

La pregunta me recordó un artículo de un pasado no muy lejano que me sorprendió con una afirmación similar. Pude encontrarlo de nuevo, era " 5 razones por las que cada compañía debe tener un Honeypot " en Dark Reading de octubre de 2013. Resumidas, sus cinco razones son:

1. Los atacantes prueban sus herramientas contra el software anti-malware estándar, Por lo tanto, un honeypot como un sistema con bajos falsos positivos será bueno para detectar los ataques.
2. Los honeypots pueden ralentizar a los atacantes configurando señuelos y distrayéndolos de los objetivos reales.
3. Los honeypots de producción no requieren mucho tiempo de inversión (en comparación con investigar honeypots) a menos que se active una alerta.
4. Los honeypots ayudan a entrenar al equipo de seguridad.
5. Los honeypots son baratos de configurar, porque hay muchas herramientas gratuitas.

Realmente no estoy de acuerdo con todas sus razones. De hecho, el único convincente para mí es el # 4. El número 2 puede ser válido, pero necesita una configuración sofisticada y probablemente costosa o solo atacantes inexpertos. De lo contrario, podrían mirar detrás de la cortina muy pronto y buscar los activos reales (tal vez incluso explotando alguna debilidad en el propio software de honeypot).

Los honeypots no son un mecanismo defensivo. Son un medio que puede emular su red y puede ayudarlo a identificar posibles amenazas en su red. La configuración de honeypots en las redes corporativas puede brindarle una perspectiva de los ataques dirigidos a su empresa. En función de los resultados capturados en su honeypot, puede fortalecer aún más los mecanismos de defensa de su organización.

Aunque su objetivo principal es la detección y la mitigación, puedo ver cómo también actuaría como un elemento disuasivo, if el atacante tenía la sospecha razonable de que utilizas honeypots, pero No tenía una manera de determinar exactamente dónde. Se debe mantener en secreto si una máquina específica es honeypot, pero hay poco riesgo en revelar el hecho de que algunas de sus máquinas entre cientos son honeypots. Para los gobiernos, las grandes empresas y las pequeñas empresas sensibles a la seguridad, casi debería asumir que usan honeypots.

Piénsalo de esta manera. Todo lo demás es igual, si tuviera la opción de atacar una instalación que probablemente tenga honeypots y otra que probablemente no, ¿cuál elegiría? Por supuesto, no es un elemento disuasivo muy grande, pero ¿qué es?