Wiele firm polega obecnie na dużych ilościach danych uzyskanych w Internecie poprzez skrobanie stron internetowych w celu wdrażania decyzji biznesowych. Jednak skrobanie stron internetowych często napotyka kilka wyzwań, a jednym z nich są pułapki honeypot.
Z drugiej strony, Honeypoty są również istotnym zasobem dla cyberbezpieczeństwa organizacji.
W tym artykule przedstawimy przegląd honeypotów, a następnie przejdziemy do tego, jak uniknąć pułapek honeypotów w skrobaniu stron internetowych.
Honeypots w bezpieczeństwie sieciowym to system wabików zaprojektowany podobnie do legalnego, zagrożonego systemu. Jego głównym celem jest zwabienie cyberprzestępców do kupowania czasu i wysiłku w celu wykorzystania celowych luk w systemie komputerowym. Następnie powiadamia wewnętrzny zespół ds. cyberbezpieczeństwa o próbach ataku.
Ta czujność pozwoliłaby zespołowi ds. bezpieczeństwa na zbadanie ataków na żywo za pośrednictwem honeypotów w celu złagodzenia luk w zabezpieczeniach i odciągnięcia atakujących od wyrządzenia szkody legalnemu systemowi.
Ponieważ honeypoty są identyczne z rzeczywistym systemem komputerowym z oprogramowaniem aplikacyjnym i danymi, aby oszukać cyberprzestępców, są one celowo tworzone z lukami w zabezpieczeniach. Dobrym przykładem mogą być podatne porty pozostawione otwarte, aby zwabić atakujących do honeypota, a nie do rzeczywistego systemu.
Innym scenariuszem honeypot byłoby naśladowanie strony bramki płatności w Internecie, która byłaby idealnym celem dla cyberprzestępców do szpiegowania numerów kart kredytowych. Gdy cyberprzestępca wyląduje na takiej stronie, zespół ds. bezpieczeństwa może ocenić jego zachowanie i śledzić jego ruchy, aby zwiększyć bezpieczeństwo legalnej bramki płatności.
Na podstawie działania honeypotów można uznać, że jest to cenne narzędzie, które pomaga zidentyfikować luki w zabezpieczeniach organizacji i wykryć nowe zagrożenia. Co więcej, można analizować trendy atakujących i wprowadzać mechanizmy ochrony przed takimi zagrożeniami.
Honeypoty można podzielić na kategorie w oparciu o ich poziom wdrożenia i zaangażowania. Na podstawie wdrożenia można je podzielić na kategorie:
Honeypoty produkcyjne - te honeypoty są wdrażane wraz z prawdziwymi serwerami produkcyjnymi w sieci wewnętrznej organizacji. Ich celem jest wykrywanie aktywnych ataków w sieci wewnętrznej i przekierowywanie ich z legalnego serwera.
Honeypoty badawcze - w przeciwieństwie do nich, honeypoty badawcze są wykorzystywane do zbierania i analizowania, w jaki sposób atakujący wdrożyłby potencjalny atak na system, analizując jego zachowanie. Dzięki takiej analizie zespół ds. bezpieczeństwa byłby w stanie wzmocnić obronę systemu.
Następnie, w oparciu o poziomy zaangażowania, honeypoty można sklasyfikować w następujący sposób:
Czyste honeypoty - są to pełnowymiarowe systemy produkcyjne, które wydają się zawierać poufne lub wrażliwe dane. Zespoły ds. bezpieczeństwa monitorują zamiary atakujących za pomocą podsłuchu zainstalowanego w miejscu, w którym honeypoty łączą się z siecią.
Honeypoty o wysokiej interakcji - ich głównym celem jest skłonienie atakującego do poświęcenia jak największej ilości czasu na infiltrację luk w zabezpieczeniach w celu zaatakowania systemu. Pozwoliłoby to zespołom ds. cyberbezpieczeństwa obserwować cel atakujących w systemie i odkryć jego luki w zabezpieczeniach. Typowym przykładem honeypota o wysokiej interakcji jest baza danych.
Honeypot o średniej interakcji - naśladuje warstwę aplikacji bez systemu operacyjnego, aby atakujący był zdezorientowany lub opóźniał swoją misję. Pozwoli to ekspertom ds. bezpieczeństwa zyskać czas na reakcję na atak w tym scenariuszu.
Honeypot o niskim stopniu inter akcji - te honeypoty są łatwe w konfiguracji i korzystają z protokołu TCP (Transmission Control Protocol), protokołu internetowego (IP) i usług sieciowych. Są one mniej zasobochłonne. Ich głównym celem jest symulowanie systemów, które są najczęściej atakowane przez napastników. W ten sposób eksperci ds. bezpieczeństwa gromadzą informacje na temat rodzaju ataku i jego źródła. Zespoły bezpieczeństwa wykorzystują je również do mechanizmów wczesnego wykrywania.
Do tej pory odkryłeś honeypota jako pojedynczą maszynę wirtualną w sieci. W przeciwieństwie do tego, honeypoty to szereg połączonych ze sobą honeypotów, jak pokazano na poniższym schemacie. Pojedynczy honeypot nie jest wystarczający do monitorowania podejrzanego ruchu wchodzącego do bardziej rozległej sieci.
Sieci honeynet są połączone z resztą sieci za pośrednictwem bramy "honeywall", która monitoruje ruch przychodzący do sieci i kieruje go do węzłów honeypot.
Za pomocą sieci honeynet zespół ds. bezpieczeństwa może badać zagrożenia cyberbezpieczeństwa na dużą skalę, takie jak ataki typu rozproszona odmowa usługi (DDOS) i oprogramowanie ransomware. Następnie zespół ds. bezpieczeństwa może podjąć odpowiednie środki ostrożności, aby odciągnąć atakujących od rzeczywistego systemu.
Sieci Honeynet chronią całą sieć przed przychodzącym i wychodzącym podejrzanym ruchem i są częścią rozległej sieci przeciwwłamaniowej.
Teraz można założyć, że dzięki obecności honeypotów sieć jest całkowicie bezpieczna. Nie jest to jednak rzeczywistość, ponieważ honeypoty mają kilka wad i nie zastępują żadnego mechanizmu bezpieczeństwa.
Honeypoty nie są w stanie wykryć wszystkich zagrożeń bezpieczeństwa - tylko dlatego, że dane zagrożenie nie przeniknęło przez luki w honeypocie, nie oznacza, że nie przedostanie się do legalnego systemu. Z drugiej strony, doświadczony haker może uznać honeypot za nielegalny i zaatakować inne systemy sieciowe, pozostawiając honeypot nietknięty.
Atakujący może również przeprowadzać ataki spoof, aby odwrócić uwagę użytkownika od rzeczywistego exploita w środowisku produkcyjnym.
Co gorsza, bardziej innowacyjny haker mógłby wykorzystać honeypota jako sposób na uzyskanie dostępu do środowiska produkcyjnego. Jest to oczywisty powód, dla którego honeypoty nie mogą zastąpić innych mechanizmów bezpieczeństwa, takich jak zapory sieciowe. Tak więc, ponieważ honeypot może działać jako platforma startowa do ataku na resztę systemu, należy podjąć odpowiednie środki ostrożności w stosunku do każdego honeypota w sieci.
Istnieją pułapki honeypot, aby uniknąć nielegalnego skrobania stron internetowych, co oznacza tylko garstkę skrobaków skrobiących informacje chronione prawem autorskim. Niestety, z powodu tych kilku scraperów, legalni scraperzy również muszą czasami płacić cenę. Dzieje się tak dlatego, że honeypoty nie są w stanie odróżnić legalnych scraperów od tych nielegalnych.
Strony internetowe zawierają linki, do których dostęp mają tylko crawlery. Kiedy więc crawler pobiera dane z tych linków, witryna wykrywa aktywność crawlingową. W ten sposób strona internetowa z pułapkami honeypot może łatwo śledzić i wykrywać aktywność skrobania stron internetowych, ponieważ skrobanie z tych stron jest nielegalne. W rezultacie adres IP użytkownika może zostać zablokowany, co uniemożliwi uzyskanie pożądanych danych.
Aby zwabić złomiarzy, niektóre witryny z linkami honeypot używają właściwości wyświetlania CSS na none. Dlatego należy upewnić się, że crawler podąża tylko za widocznymi linkami. Ponadto, aby uniknąć blokad, najlepiej postępować zgodnie z zasadami i wytycznymi witryny, którą skrobiesz.
Chociaż honeypoty wiążą się z pewnym ryzykiem, korzyści z pewnością je przewyższają, jak pokazano w sekcji dotyczącej ograniczeń. Dlatego też honeypoty są niezbędnym mechanizmem, który należy posiadać przy rozważaniu inwestycji w bezpieczeństwo organizacji. Z drugiej strony, upewnij się, że profesjonaliści z doświadczeniem przeprowadzają oceny bezpieczeństwa i honeypotów.