• Você Precisa de um Honeypot?

    Nesta postagem, Conrad Constantine, engenheiro e pesquisador de segurança da Alien Vault, aborda uma questão interessante. Essa questão está relacionada "à quantos leitores estariam executando uma rede honeypot em sua infra-estrutura?". Caso você não esteja, o engenheiro faz questão de ser o primeiro a dizer que você deve. Esta poderia ser uma visão um pouco controversa porque muitas vezes, honeypots são incompreendidos e alvo de muita desconfiança.




    Engenheiro Conrad Constantine aborda com clareza o funcionamento de um Honeypot e seus níveis de interatividade


    Isso porque algumas pessoas atuantes em todas as áreas de segurança de TI são muito boas em levantar suspeitas sobre o "por quê" eles não devem ser utilizados e por que eles não são uma boa idéia. Mesmo assim, o engenheiro acredita fortemente que honeypots tem um papel fundamental a desempenhar no arsenal de qualquer organização de segurança. Para entender melhor tudo isso, é necessário começar pela parte elementar:


    O que é, realmente, um Honeypot?

    De maneira simplificada, podemos dizer que Honeypot é uma máquina que foi concebida para seduzir qualquer invasor desconhecido com a intenção de derrubá-la, enquanto está sendo configurada para rastrear as origens do atacante e identificá-los. No entanto, isso pode levar à percepção de que honeypots podem ser um verdadeiro "pântano" dos riscos e responsabilidades, além de levantar preocupações perfeitamente compreensíveis sobre a permissão voluntária ao invasor acessar o sistema que estiver sob seu controle. Em resumo, um Honeypot simula falhas de segurança de um sistema e colhe informações sobre o invasor. É uma espécie de armadilha para invasores. Vale lembrar que o Honeypot não oferece nenhum tipo de proteção.

    No entanto, existem muitas formas de honeypots, e eles podem ser utilizado de muitas maneiras diferentes. A idéia do honeypot, é que ele seja um anfitrião meramente projetado para ser violado. Dessa forma, vamos ter que olhar sobre alguns usos diferentes de sistemas de estilo honeypot e o seu lugar em um programa de segurança muito bem equipado.

    Construindo um honeypot totalmente funcional e interativo, que se assemelha a um verdadeiro sistema de produção pode ser uma tarefa difícil, repleta de riscos (que seria, afinal, construir uma máquina com a intenção de cair sob o controle de um atacante), mas há muitos outros níveis de honeypots antes de chegar a este nível de complexidade, e todos eles apresentam valor para monitoramento de segurança.


    Níveis de Honeypot

    O primeiro tipo de Honeypots são conhecidos como "low-interaction". Eles são projetados para exibir uma presença mínima de rede, e são realmente melhor classificados como "tripwires" - mas eles ainda se encontram dentro do honeypot's goal para fornecer uma notificação rápida e confiável da atividade indesejada na infra-estrutura. Isso pode ser traduzido em oferecimento de serviços falsos, listener TCP/UDP e respostas falsas.

    Os Honeypots de média interatividade produzem um ambiente falso e criam uma ilusão de domínio da máquina. Os de alta interatividade estão voltados a um Sistema Operacional com serviços comprometidos, não perceptível ao atacante.


    Saiba Mais:

    [1] Net Security - Honeypots http://www.net-security.org/article.php?id=1742

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L