Misschien heb je de term ‘honeypot’ wel eens gehoord en vroeg je je af wat dat is, en hoe het je computersysteem veiliger kan maken. Dit artikel vertelt je alles wat je moet weten over honeypots en hun plaats in cybersecurity.
De definitie van een honeypot
Eén van de definities van een honeypot komt uit de spionagewereld, waar Mata Hari-achtige spionnen die een romantische relatie gebruiken als een manier om geheimen te stelen, worden omschreven als een ‘honey trap’ of ‘honeypot’. Vaak wordt een vijandelijke spion ontmaskerd met behulp van een honey trap en vervolgens gechanteerd om alles wat hij/zij weet prijs te geven.
In termen van computerbeveiliging werkt een cyber honeypot op vergelijkbare wijze, waarbij een valstrik voor hackers wordt gezet. Het is een computersysteem dat wordt opgeofferd, bedoeld om cyberaanvallen aan te trekken, als afleiding. Het bootst een doelwit voor hackers na en gebruikt hun pogingen om informatie te verkrijgen over cybercriminelen en de manier waarop ze werken of om ze af te leiden van andere doelwitten.
Hoe honeypots werken
De honeypot ziet eruit als een echt computersysteem, met applicaties en gegevens, dat cybercriminelen voor de gek houdt en ze laat denken dat het een legitiem doelwit is. Zo kan een honeypot bijvoorbeeld het klantenfactuursysteem van een bedrijf nabootsen - een frequent doelwit voor criminelen die creditcardnummers willen vinden. Als de hackers eenmaal binnen zijn, kunnen ze worden gevolgd en kan hun gedrag worden geanalyseerd om het echte netwerk veiliger te maken.
Honeypots worden aantrekkelijk gemaakt voor aanvallers door bewust beveiligingslekken in te bouwen. Een honeypot kan bijvoorbeeld poorten hebben die reageren op een poortscan of zwakke wachtwoorden. Kwetsbare poorten kunnen worden opengelaten om aanvallers te verleiden tot de honeypot-omgeving, in plaats van het beter beveiligde live netwerk.
Een honeypot is niet opgezet om een specifiek probleem aan te pakken, zoals een firewall of anti-virussoftware. Het is meer bedoeld als informatiemiddel dat kan helpen bestaande bedreigingen voor je bedrijf te begrijpen en het ontstaan van nieuwe bedreigingen te signaleren. Met de informatie die uit een honeypot wordt verkregen, kunnen beveiligingsmaatregelen geprioriteerd en gefocust worden.
Verschillende soorten honeypots en hoe ze werken
Er kunnen verschillende soorten honeypots worden gebruikt om verschillende bedreigingen te identificeren. Verschillende definities van honeypots zijn gebaseerd op het bedreigingstype dat wordt aangepakt. Ze nemen allemaal een plek in een grondige en effectieve cyberveiligheidstrategie in.
E-mailvallen of spamvallen plaatsen een nep e-mailadres op een verborgen locatie waar alleen een geautomatiseerde adres harvester het kan vinden. Aangezien het adres voor geen enkel ander doel wordt gebruikt dan voor de spamval, is het 100% zeker dat elke mail die er binnenkomt, spam is. Alle berichten met dezelfde inhoud als de berichten die naar de spamval worden gestuurd, kunnen automatisch worden geblokkeerd en de bron-IP van de afzenders kan worden toegevoegd aan een zwarte lijst.
Er kan een afleidingsdatabase worden opgezet om softwarekwetsbaarheden en spotaanvallen te monitoren die gebruikmaken van onveilige systeemarchitectuur of die gebruikmaken van SQL-injectie, SQL-diensten of misbruik van privileges.
Een malware honeypot bootst software-apps en API’s na om malware-aanvallen uit te lokken. De kenmerken van de malware kunnen vervolgens worden geanalyseerd om anti-malwaresoftware te ontwikkelen of kwetsbaarheden in de API te sluiten.
Een spider honeypot is bedoeld om webcrawlers (‘spiders’) te vangen door webpagina’s en links te maken die alleen toegankelijk zijn voor crawlers. Het detecteren van crawlers kan je helpen om te leren hoe je schadelijke bots kunt blokkeren, maar ook om ad hoc-netwerkcrawlers te blokkeren.
Door het verkeer dat in het honeypot-systeem komt te monitoren, kun je:
- beoordelen waar de cybercriminelen vandaan komen
- de mate van bedreiging beoordelen
- beoordelen op welke wijze ze te werk gaan
- beoordelen in welke gegevens of applicaties ze geïnteresseerd zijn
- beoordelen hoe goed je veiligheidsmaatregelen werken om cyberaanvallen te stoppen
Een andere definitie van een honeypot bekijkt of een honeypot een hoge of lage interactie heeft. Honeypots met weinig interactie gebruiken minder middelen en verzamelen basisinformatie over het niveau en het type van de dreiging en waar deze vandaan komt. Ze zijn eenvoudig en snel op te zetten, meestal met maar een paar standaard gesimuleerde TCP- en IP-protocollen en netwerkdiensten. Maar er is niets in de honeypot om de aanvaller lang bezig te houden en je krijgt geen uitgebreide informatie over de gewoontes of over complexe dreigingen.
Aan de andere kant hebben honeypots met een hoge interactie als doel hackers zo veel mogelijk tijd te laten doorbrengen in de honeypot, waardoor ze veel informatie krijgen over hun bedoelingen en doelen, maar ook over de kwetsbaarheden die ze uitbuiten en hun werkwijze. Beschouw het als een honeypot met wat extra ‘lijm’ - databases, systemen en processen die een aanvaller veel langer kunnen bezighouden. Zo kunnen onderzoekers bijhouden naar welke plekken in het systeem aanvallers zich bewegen om gevoelige informatie te vinden, welke instrumenten ze gebruiken om privileges te escaleren of welke exploits ze gebruiken om het systeem te compromitteren.
Honeypots met een hoge interactie hebben echter resources nodig. Het is moeilijker en tijdrovender om ze op te zetten en te monitoren. Ze kunnen ook een risico opleveren; als ze niet beveiligd zijn met een ‘honeywall’, kan een echt vastberaden en sluwe hacker een honeypot met een hoge interactie gebruiken om andere internethosts aan te vallen of spam te versturen vanaf een gecompromitteerde machine.
Beide soorten honeypot hebben een plaats in honeypot-cybersecurity. Met behulp van een combinatie van beide kun je de basisinformatie over de soorten bedreigingen die afkomstig zijn van de honeypot met een lage interactie verfijnen door informatie toe te voegen over intenties, communicatie en exploits van de honeypot met een hoge interactie.
Door cyber honeypots te gebruiken om een informatiekader voor bedreigingen te creëren, kan een bedrijf ervoor zorgen dat het zijn budget voor cybersecurity op de juiste manier besteedt en kan het zien waar het zwakke punten in de beveiliging heeft.
De voordelen van het gebruik van honeypots
Honeypots kunnen een goede manier zijn om kwetsbaarheden in grote systemen aan te tonen. Zo kan een honeypot bijvoorbeeld het hoge dreigingsniveau aantonen van aanvallen op IoT-apparaten. Het kan ook suggesties geven om de veiligheid te verbeteren.
Het gebruik van een honeypot heeft een aantal voordelen ten opzichte inbreken in het echte systeem. Per definitie moet een honeypot bijvoorbeeld geen legitiem verkeer ontvangen, dus is elke gelogde activiteit waarschijnlijk een inbreuk of een poging daartoe.
Dit maakt het veel eenvoudiger om patronen te herkennen, zoals vergelijkbare IP-adressen (of IP-adressen die allemaal uit één land komen) die gebruikt worden om een netwerk op te schonen. Daarentegen verlies je gemakkelijk het zicht op dergelijke signalen van een aanval als je kijkt naar het legitieme verkeer op je hoofdnetwerk. Het grote voordeel van honeypot-beveiliging is dat deze schadelijke adressen waarschijnlijk de enige zijn die je ziet, waardoor de aanval veel eenvoudiger te identificeren is.
Omdat honeypots zeer beperkt verkeer verwerken, vereisen ze ook niet veel resources. Ze stellen geen hoge eisen aan de hardware; je kunt een honeypot opzetten met behulp van oude computers die je niet meer gebruikt. Wat de software betreft, zijn er een aantal kant-en-klare honeypots beschikbaar via online opslagplaatsen, waardoor de vereiste interne inspanningen om een honeypot aan de praat te krijgen nog verder worden beperkt.
Honeypots hebben weinig false positives. Dat staat in schril contrast met traditionele inbraakdetectiesystemen (IDS) die een grote hoeveelheid valse waarschuwingen kunnen produceren. Nogmaals, dit helpt inspanningen voorrang te geven en houdt de vraag naar materiaal voor een honeypot op een laag niveau. (Door de door honeypots verzamelde gegevens te gebruiken en deze in verband te brengen met andere systemen en firewall-logs, kan de IDS zelfs worden geconfigureerd met meer relevante waarschuwingen, om minder valse positieven te produceren. Op die manier kunnen honeypots helpen bij het verfijnen en verbeteren van andere cybersecuritysystemen.)
Honeypots kunnen je betrouwbare informatie geven over hoe bedreigingen zich ontwikkelen. Ze leveren informatie over aanvalsvectoren, exploits en malware - en in het geval van e-mailvallen, over spammers en phishing-aanvallen. Hackers verfijnen hun inbraaktechnieken voortdurend; een cyber honeypot helpt bij het opsporen van nieuwe dreigingen en inbraken. Een goed gebruik van honeypots helpt ook om de blinde vlekken definitief kwijt te raken.
Honeypots zijn ook geweldige trainingstools voor technisch beveiligingspersoneel. Een honeypot is een gecontroleerde en veilige omgeving om te laten zien hoe aanvallers werken en om verschillende bedreigingen te onderzoeken. Met een honeypot wordt het beveiligingspersoneel niet afgeleid door echt verkeer dat het netwerk gebruikt, maar ze kunnen zich volledig concentreren op de dreiging.
Honeypots kunnen ook interne dreigingen opvangen. De meeste organisaties besteden hun tijd aan het beveiligen van hun terrein en zorgen ervoor dat buitenstaanders en indringers niet binnen kunnen komen. Maar als je alleen het terrein beveiligt, heeft elke hacker die je firewall heeft weten te omzeilen eenmaal binnen carte blanche om schade aan te richten.
Firewalls helpen ook niet tegen een interne dreiging, zoals een werknemer die bestanden wil stelen voordat hij of zij ontslag neemt. Een honeypot kan je even goed informatie geven over interne dreigingen en kwetsbaarheden tonen op het gebied van rechten waarmee insiders het systeem kunnen exploiteren.
Door een honeypot op te zetten, ben je eigenlijk altruïstisch en help je andere computergebruikers. Hoe langer hackers hun krachten verspillen aan honeypots, hoe minder tijd ze hebben voor het hacken van live systemen en het veroorzaken van echte schade bij jou of anderen.
De gevaren van honeypots
Honeypot cybersecurity kan helpen de bedreigende omgeving in kaart te brengen, maar honeypots zullen niet alles detecteren, alleen activiteit die gericht is op de honeypot. Alleen omdat een bepaalde dreiging niet tegen de honeypot is gericht, kun je er niet van uitgaan dat deze niet bestaat; het is belangrijk om op de hoogte te blijven van nieuws over IT-beveiliging en niet alleen te vertrouwen op honeypots om je op de hoogte te stellen van de dreigingen.
Een goede, goed geconfigureerde honeypot zal aanvallers doen geloven dat ze toegang hebben gekregen tot het echte systeem. De honeypot heeft dezelfde aanmeldingswaarschuwingen, dezelfde gegevensvelden, zelfs dezelfde look and feel en logo’s als je echte systemen. Als een aanvaller er echter in slaagt het te identificeren als een honeypot, kunnen ze vervolgens doorgaan met het aanvallen van je andere systemen, terwijl de honeypot onaangeroerd blijft.
Als een honeypot eenmaal is ‘geïdentificeerd’, kan een aanvaller gespoofde aanvallen creëren om de aandacht af te leiden van een echte exploit die gericht is op je productiesystemen. Ze kunnen de honeypot ook voeden met verkeerde informatie.
Erger nog, een slimme aanvaller zou een honeypot kunnen gebruiken als een manier om je systemen binnen te komen. Daarom kunnen honeypots nooit adequate beveiligingscontroles vervangen, zoals firewalls en andere inbraakdetectiesystemen. Aangezien een honeypot als lanceerplatform kan dienen voor verdere indringing, moet je ervoor zorgen dat alle honeypot goed beveiligd zijn. Een ‘honeywall’ kan zorgen voor de basisbeveiliging van de honeypot en kan aanvallen op de honeypot om in je live systeem te komen tegenhouden.
Een honeypot zou je informatie moeten geven om je cybersecurity-maatregelen te helpen prioriteren, maar het kan niet de juiste cybersecurity vervangen. Hoe veel honeypots je ook hebt, overweeg een pakket als Kaspersky’s Endpoint Security Cloud om je bedrijfsmiddelen te beschermen. (Kaspersky gebruikt zijn eigen honeypot om internetbedreigingen op te sporen, dus dat hoef jij niet te doen)
Over het geheel genomen wegen de voordelen van het gebruik van honeypots ruimschoots op tegen de risico’s. Hackers worden vaak gezien als een verre, onzichtbare bedreiging, maar met behulp van honeypots kun je precies zien wat ze in realtime doen en die informatie gebruiken om te voorkomen dat ze krijgen wat ze willen.
Gerelateerde links
Het IoT ligt onder vuur:Kaspersky detecteert meer dan 100 miljoen aanvallen op slimme apparaten in H1 2019