O que é um HoneyPot, quais seus benefícios e como funciona?

Definição

Uma definição de “honeypot” vem do mundo da espionagem, onde os espiões ao estilo Mata Hari que usam uma relação romântica como forma de roubar segredos são descritos como montando uma “armadilha de mel” ou “honeypot”. Muitas vezes, um espião inimigo é comprometido por uma armadilha de mel e depois forçado a entregar tudo o que sabe.

Em termos de segurança informática, um honeypot cibernético funciona de forma semelhante, preparando uma armadilha para os piratas informáticos. É um sistema informático sacrificial que se destina a atrair ciberataques, como um chamariz. Imita um alvo para os piratas informáticos e utiliza as suas tentativas de intrusão para obter informações sobre os cibercriminosos e o seu modo de funcionamento ou para os distrair de outros alvos.

Como funcionam os honeypots?

O honeypot assemelha-se a um sistema informático real, com aplicações e dados, enganando os cibercriminosos e fazendo-os pensar que se trata de um alvo legítimo. Por exemplo, um honeypot pode imitar o sistema de facturação dos clientes de uma empresa – um alvo frequente de ataques de criminosos que querem encontrar números de cartões de crédito. Uma vez entrados, os piratas informáticos podem ser seguidos e o seu comportamento avaliado para obter pistas sobre como tornar a rede real mais segura.

Os honeypots tornam-se atractivos para os atacantes através da construção de vulnerabilidades de segurança deliberadas. Por exemplo, um honeypot pode ter portas que respondem a uma varredura de porta ou senhas fracas. As portas vulneráveis podem ser deixadas abertas para atrair os atacantes para o ambiente do honeypot, em vez da rede activa mais segura.

Um honeypot não é configurado para resolver um problema específico, como uma firewall ou um antivírus. Em vez disso, é uma ferramenta de informação que o pode ajudar a compreender as ameaças existentes à sua empresa e a detectar o aparecimento de novas ameaças. Com as informações obtidas a partir de um honeypot, os esforços de segurança podem ser priorizados e direccionados.

Diferentes tipos de honeypot e como funcionam

Os diferentes tipos de honeypot podem ser utilizados para identificar diferentes tipos de ameaças. As várias definições de honeypot baseiam-se no tipo de ameaça a que se destinam. Todos eles têm um lugar numa estratégia de cibersegurança completa e eficaz.

As armadilhas de correio electrónico ou armadilhas de spam colocam um endereço de correio electrónico falso num local oculto, onde apenas um colhedor de endereços automatizado o poderá encontrar. Uma vez que o endereço não é utilizado para qualquer outro fim que não seja a armadilha de spam, é 100% certo que qualquer correio que lhe chegue é spam. Todas as mensagens com o mesmo conteúdo que as enviadas para a armadilha de spam podem ser automaticamente bloqueadas e o IP de origem dos remetentes pode ser adicionado a uma lista de recusas.

Pode ser criada uma base de dados de engodo para monitorizar as vulnerabilidades do software e detectar ataques que explorem uma arquitectura de sistema insegura ou que utilizem injecção de SQL, exploração de serviços SQL ou abuso de privilégios.

Um honeypot de malware imita aplicações de software e APIs para convidar a ataques de malware. As características do malware podem então ser analisadas para desenvolver software anti-malware ou para colmatar vulnerabilidades na API.

Um honeypot de spider destina-se a apanhar webcrawlers (“spiders”) criando páginas web e ligações apenas acessíveis aos crawlers. A detecção de crawlers pode ajudá-lo a aprender a bloquear bots maliciosos, bem como crawlers de redes de publicidade.

Ao monitorizar o tráfego que entra no sistema honeypot, pode avaliar:

De onde vêm os cibercriminosos;
O nível de ameaça;
O modus operandi que estão a utilizar;
Em que dados ou aplicações estão interessados;
Até que ponto as suas medidas de segurança estão a funcionar para impedir os ciberataques.

Outra definição de honeypot é a de que se trata de um honeypot de elevada interacção ou de baixa interacção. Os honeypots de baixa interacção utilizam menos recursos e recolhem informações básicas sobre o nível e o tipo de ameaça e a sua origem. São fáceis e rápidos de configurar, normalmente com apenas alguns protocolos TCP e IP simulados e serviços de rede. Mas não há nada no honeypot que possa envolver o atacante durante muito tempo, e não se obtêm informações detalhadas sobre os seus hábitos ou sobre ameaças complexas.

Por outro lado, os honeypots de elevada interacção pretendem que os piratas informáticos passem o máximo de tempo possível no honeypot, fornecendo muitas informações sobre as suas intenções e alvos, bem como sobre as vulnerabilidades que estão a explorar e o seu modus operandi. Pense nisto como um honeypot com “cola” adicional – bases de dados, sistemas e processos que podem envolver um atacante durante muito mais tempo. Isto permite aos investigadores seguir o percurso dos atacantes no sistema para encontrar informações sensíveis, as ferramentas que utilizam para aumentar privilégios ou as explorações que utilizam para comprometer o sistema

As vantagens da utilização de honeypots

Os honeypots podem ser uma boa forma de expor vulnerabilidades em sistemas importantes. Por exemplo, um honeypot pode mostrar o elevado nível de ameaça que representam os ataques a dispositivos IoT. Pode também sugerir formas de melhorar a segurança.

A utilização de um honeypot tem várias vantagens em relação à tentativa de detectar uma intrusão no sistema real. Por exemplo, por definição, um honeypot não deve receber qualquer tráfego legítimo, pelo que qualquer actividade registada será provavelmente uma sonda ou uma tentativa de intrusão.

Isto torna muito mais fácil detectar padrões, tais como endereços IP semelhantes (ou endereços IP todos provenientes de um país) que são utilizados para efectuar uma varredura na rede. Em contrapartida, esses sinais de ataque são fáceis de perder no meio do ruído quando se está a olhar para níveis elevados de tráfego legítimo na rede principal. A grande vantagem de usar a segurança de honeypots é que esses endereços maliciosos podem ser os únicos que você vê, tornando o ataque muito mais fácil de identificar.

Como os honeypots lidam com um tráfego muito limitado, também têm poucos recursos. Não exigem muito do hardware; é possível instalar um honeypot utilizando computadores antigos que já não utiliza. Quanto ao software, estão disponíveis vários honeypots prontos a usar em repositórios online, reduzindo ainda mais a quantidade de esforço interno necessário para pôr um honeypot a funcionar.

Os honeypots têm uma baixa taxa de falsos positivos. Isto contrasta fortemente com os sistemas tradicionais de detecção de intrusões (IDS), que podem produzir um elevado nível de falsos alertas. Mais uma vez, isso ajuda a priorizar os esforços e mantém a demanda de recursos de um honeypot em um nível baixo. (De facto, utilizando os dados recolhidos pelos honeypots e correlacionando-os com outros registos do sistema e da firewall, o IDS pode ser configurado com alertas mais relevantes, para produzir menos falsos positivos. Desta forma, os honeypots podem ajudar a aperfeiçoar e melhorar outros sistemas de cibersegurança).

Os perigos dos honeypots

Embora a cibersegurança dos honeypots ajude a mapear o ambiente de ameaças, os honeypots não vêem tudo o que se passa – apenas a actividade que é dirigida ao honeypot. Só porque uma determinada ameaça não foi dirigida contra o honeypot, não se pode assumir que não existe; é importante manter-se a par das notícias sobre segurança informática e não confiar apenas nos honeypots para o notificar das ameaças.

Um bom honeypot, correctamente configurado, enganará os atacantes, levando-os a acreditar que obtiveram acesso ao sistema real. Terá as mesmas mensagens de aviso de início de sessão, os mesmos campos de dados e até o mesmo aspecto e logótipos que os seus sistemas reais. No entanto, se um atacante conseguir identificá-lo como um honeypot, pode então atacar os seus outros sistemas, deixando o honeypot intacto.

Depois de um honeypot ter sido “identificado”, um atacante pode criar ataques falsos para desviar a atenção de uma exploração real que esteja a ser dirigida contra os seus sistemas de produção. Pode também fornecer informações incorrectas ao honeypot.

Pior ainda, um atacante inteligente pode potencialmente usar um honeypot como uma forma de entrar nos seus sistemas. É por isso que os honeypots nunca podem substituir controlos de segurança adequados, como firewalls e outros sistemas de detecção de intrusão. Uma vez que um honeypot pode servir de plataforma de lançamento para novas intrusões, certifique-se de que todos os honeypots estão bem protegidos. Uma ‘honeywall’ pode fornecer segurança básica ao honeypot e impedir que ataques dirigidos contra o honeypot cheguem ao seu sistema activo.

Um honeypot deve fornecer-lhe informações que o ajudem a dar prioridade aos seus esforços de cibersegurança – mas não pode substituir uma cibersegurança adequada. Independentemente do número de honeypots que tiver, considere um pacote como o Endpoint Security Cloud da Kaspersky para proteger os seus activos empresariais. (O Kaspersky utiliza os seus próprios honeypots para detectar ameaças da Internet, para que não tenha de o fazer).

Em geral, os benefícios do uso de honeypots superam em muito os riscos. Os piratas informáticos são muitas vezes considerados como uma ameaça distante e invisível – mas utilizando honeypots, pode ver exactamente o que estão a fazer, em tempo real, e utilizar essa informação para os impedir de obterem o que pretendem.

Kaspersky Endpoint Security recebeu três prémios AV-TEST pelo melhor desempenho, protecção e usabilidade de um produto de segurança de terminais empresariais em 2021. Em todos os testes, o Kaspersky Endpoint Security demonstrou um desempenho, uma protecção e uma facilidade de utilização excepcionais para as empresas.

Fonte

https://www.kaspersky.com/resource-center/threats/what-is-a-honeypot

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.