¿Puede un honeypot realmente desviar el daño al atacante?

1

El artículo de wikipedia de wikipypot dice:

  

... un honeypot es un mecanismo de seguridad de computadora configurado para detectar, desviar o, de alguna manera, contrarrestar los intentos de uso no autorizado de sistemas de información.

La desviación para mí implica que el ataque es, al menos, parte que se envía de vuelta al atacante, lo que libera a la olla de miel de este daño. Pero hasta donde sé, los honeypots solo se utilizan para reunir información de forma pasiva.

¿Es este un problema de idioma, está mal Wikipedia o me falta algo?

    
pregunta problemofficer 21.07.2017 - 11:24
fuente

2 respuestas

2

Tomar prestado de las otras respuestas & comentarios coz estoy de acuerdo con ellos:

Deflect = Not-the-same-as reflect back to the attacker.

La práctica común que viene a la mente en este contexto es la siguiente:

Your assets can be protected using deflection to a honeypot.
  

... la armadura está entre el cuerpo del objetivo y la bala y la bala   Tiene que pasar por la armadura.

No puedo pensar en muchas situaciones donde un honeypot se encuentra entre el atacante y los activos bajo protección. Ese suele ser el rol de un firewall (firewall de red o firewall de aplicaciones web de algún tipo).

Honeypots en la práctica: cómo protegen distrayéndolos.

Puede ser un honeypot de baja interacción (el caso más común porque es más fácil de configurar y mantener) que se coloca de tal manera que desvía la atención del atacante al parecer que es fácil de hackear y configura la protección para el atacante. Principales activos. por ejemplo, para proteger x.yourasset.com, puede configurar x-be.yourasset.com y x-private.yourasset.com como honeypots a los que normalmente no debe conectarse ningún cliente legítimo. Cuando alguien se conecta a ellos, utilizas algún tipo de automatización mediante scripts que les impide llegar a * .yourasset.com. Aquí el ban-trigger simplemente se conecta al honeypot. No se necesita una interacción profunda.

Un honeypot de interacción intermedia (de nuevo bastante común) le permitiría a un atacante conectarse y darles una ruta de bucle infinito, por ejemplo, permitir que SSH se conecte con una cuenta y contraseña inexistentes; luego presente un sistema de archivos ficticio con directorios interminables para recorrer. Esto desperdicia tiempo de atacante y puede o no ayudar directamente a la seguridad de tu activo, a menos que también uses esto con algún tipo de prohibición.

In both the above cases, the honeypot is not "placed in front of" the asset. 

Otra posibilidad es usar honeypots de alta interacción (poco común). Esto requiere un poco de esfuerzo para configurar y administrar. Aquí, dejas que el usuario interactúe con tu activo principal, pero si ves algo inusual, cambia la sesión al honeypot. p.ej. Su formulario web podría tener campos ocultos que suenan legítimos (por ejemplo, spl-discount, secret-auth) que el flujo normal nunca llenaría. En su servidor, primero verifica esos campos y, si están llenos, envía un redireccionamiento a un honeypot. También puede hacer esto utilizando algo como el proyecto OWASP AppSensor .

  • que parece un envío normal normal, "gracias ... procesando ..."
  • eso toma varios segundos para cada actualización de pantalla y desperdicia más tiempo: "gracias por su paciencia ..."
  • que podría seguir solicitando más información: "solo necesitamos más información antes de completar el procesamiento" "le enviamos un código de seguridad adicional a su dirección de correo electrónico ... ingréselo para verificar su cuenta y obtener seguridad adicional" ( por supuesto, es posible que no hayas enviado ningún código)
  • y finalmente lo ignora con algo como "lo sentimos, inténtalo de nuevo más tarde".

Esto puede o no combinarse con la prohibición, pero ayuda de muchas maneras, incluida la recopilación de datos sobre el atacante y sus TTP (herramientas, técnicas y procedimientos), que serán útiles en otras medidas defensivas.

    
respondido por el Sas3 21.07.2017 - 14:05
fuente
1

No confunda desviar y contraataque .

Diccionario en línea Merriam-Webster :

  

Desviar : desviar (algo) a un lado especialmente de un rumbo recto o dirección fija

     

armadura que desvía las balas

En este ejemplo, la armadura no enviará las balas al tirador, solo las enviará lejos.

En el caso del honeypot, actuará como una distracción para el atacante, lo que hará que pierda tiempo y recursos en la exploración y el ataque de un entorno aislado, aislado y controlado, mientras que el entorno de trabajo real sigue siendo seguro.

Esto es tanto tiempo e información obtenida para el equipo defensivo.

    
respondido por el WhiteWinterWolf 21.07.2017 - 11:40
fuente

Lea otras preguntas en las etiquetas