• Compreendendo Conceitos Básicos de um Honeypot

    A EU cyber security Agency ENISA está lançando um estudo bastante aprofundado sobre 30 diferentes armadilhas digitais ou honeypots, que podem ser utilizados ​​pelo CERT (Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores) para, proativamente, detectar ataques cibernéticos. O estudo revela barreiras para a compreensão de conceitos básicos sobre honeypots e recomendações presentes sobre qual honeypot usar.


    O que são Honeypots?

    Sendo assim, um número crescente de ataques cibernéticos complexos passa a exigir melhores capacidades de detecção através da CERT. Falando de forma simplificada, os honeypots são armadilhas, com a única tarefa de atrair os atacantes, imitando um recurso de computação real (por exemplo, um serviço, aplicação do sistema, ou banco de dados). Qualquer entidade que estabeleça conexão a um honeypot é considerada suspeita, e toda a ação exercida é monitorada, para detectar quaisquer atividades maliciosas.



    Este novo estudo apresenta estratégias de implantação práticas e questões críticas para a CERT. No total, 30 honeypots de diferentes categorias, foram testados e avaliados. E qual o objetivo desse estudo? O objetivo chave é oferecer uma visão sobre quais as soluções de código aberto e tecnologia são melhores para a implantação e utilização.

    Como não há solução considerada silver bullet, este novo estudo identificou algumas lacunas e barreiras na implantação de honeypots, dentre elas, a dificuldade de utilizar, problemas com documentação, falta de estabilidade do software e disponibilidade de suporte ao desenvolvedor, pouca padronização e um requisito para pessoas altamente qualificadas, bem como problemas na compreensão de conceitos básicos sobre honeypot. O estudo também apresenta uma classificação e explora o futuro dessas armadilhas.

    Na sequência, o diretor executivo da ENISA, Professor Udo Helmbrecht, comentou que "os honeypots oferecem uma ferramenta poderosa para a CERT, para reunir inteligência relacionada à ameaças, sem que haja qualquer impacto sobre a infra-estrutura de produção." Desde que sejam corretamente implantados, os honeypots oferecem benefícios consideráveis ​​para a CERT; a atividade maliciosa na circunscrição de uma CERT pode ser controlada a fim de fornecer um aviso precoce de infecções por malware, ocorrência de novas explorações, vulnerabilidades e comportamento de malware, além de dar a oportunidade de aprender sobre as táticas usadas pelos atacante.

    Portanto, se o CERT na Europa reconhece honeypots de uma forma mais abrangente e mais evidente, há a grande possibilidade de armar uma defesa maior e melhor relacionadas aos seus ativos e aos seus grupos de interesse.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=14001

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L