A cibersegurança nem sempre é um caso em que os invasores tentam atacar vítimas e redes inocentes. Graças a um sistema de computador chamariz conhecido como "honeypot", essa função às vezes é invertida.

Embora um honeypot possa trazer à mente a imagem do Ursinho Pooh se deliciando com um enorme tubo de mel, ele tem uma conotação diferente no mundo da segurança cibernética.

Mas o que exatamente é um honeypot e como ele ajuda a mitigar ataques cibernéticos? Existem diferentes tipos de honeypots e eles também vêm com alguns fatores de risco? Vamos descobrir.

O que é um Honeypot?

Um honeypot é uma tecnologia fraudulenta empregada por equipes de segurança para capturar intencionalmente os atores da ameaça. Como parte integrante de um sistema de detecção e inteligência de ameaças, um honeypot funciona simulando infraestruturas críticas, serviços e configurações para que os invasores possam interagir com esses falsos TI ativos.

Honeypots são geralmente implantados próximo a sistemas de produção que uma organização já usa e podem ser um ativo valioso para aprender mais sobre o comportamento do invasor e as ferramentas e táticas que eles empregam para conduzir a segurança ataques.

instagram viewer

Um Honeypot pode ajudar a mitigar ataques cibernéticos?

Um honeypot atrai alvos maliciosos para o sistema, deixando intencionalmente uma parte da rede aberta aos agentes de ameaças. Isso permite que as organizações conduzam um ataque cibernético em um ambiente controlado para avaliar as vulnerabilidades potenciais em seu sistema.

O objetivo final de um honeypot é melhorar a postura de segurança de uma organização por utilizando segurança adaptativa. Se configurado corretamente, um honeypot pode ajudar a reunir as seguintes informações:

  • A origem de um ataque
  • O comportamento do atacante e seu nível de habilidade
  • Informações sobre os alvos mais vulneráveis ​​na rede
  • As técnicas e táticas empregadas pelos atacantes
  • A eficácia das políticas de segurança cibernética existentes na mitigação de ataques semelhantes

Uma grande vantagem de um honeypot é que você pode converter qualquer servidor de arquivos, roteador ou recurso de computador da rede em um só. Além de reunir inteligência sobre violações de segurança, um honeypot também pode reduzir o risco de falsos positivos, pois só atrai criminosos cibernéticos reais.

Os diferentes tipos de Honeypots

Os Honeypots vêm em vários designs, dependendo do tipo de implantação. Listamos alguns deles abaixo.

Honeypots por Propósito

Os honeypots são classificados principalmente por finalidades, como um honeypot de produção ou um honeypot de pesquisa.

Honeypot de produção: Um honeypot de produção é o tipo mais comum e usado para reunir informações de inteligência relacionadas a ataques cibernéticos em uma rede de produção. Um honeypot de produção pode reunir atributos como endereços IP, tentativas de violação de dados, datas, tráfego e volume.

Embora os honeypots de produção sejam fáceis de projetar e implantar, eles não podem fornecer inteligência sofisticada, ao contrário de suas contrapartes de pesquisa. Como tal, eles são empregados principalmente por empresas privadas e até por personalidades de alto perfil, como celebridades e figuras políticas.

Honeypot de pesquisa: Um tipo mais complexo de honeypot, um honeypot de pesquisa é feito para reunir informações sobre métodos e táticas específicas usadas pelos invasores. Ele também é usado para descobrir as vulnerabilidades potenciais que existem dentro de um sistema em relação às táticas aplicadas pelos invasores.

Os honeypots de pesquisa são usados ​​principalmente por entidades governamentais, a comunidade de inteligência e organizações de pesquisa para estimar o risco de segurança de uma organização.

Honeypots por níveis de interação

Os Honeypots também podem ser categorizados por atributos. Isso significa simplesmente atribuir o engodo com base em seu nível de interação.

Honeypots de alta interação: Esses honeypots não armazenam muitos dados. Eles não foram projetados para imitar um sistema de produção em escala total, mas executam todos os serviços que um sistema de produção executaria - como um sistema operacional totalmente funcional. Esses tipos de honeypots permitem que as equipes de segurança vejam as ações e estratégias de invasores invasores em tempo real.

Os honeypots de alta interação normalmente consomem muitos recursos. Isso pode apresentar desafios de manutenção, mas a visão que eles oferecem vale o esforço.

Honeypots de baixa interação: Esses honeypots são principalmente implantados em ambientes de produção. Ao funcionar em um número limitado de serviços, eles servem como pontos de detecção antecipada para as equipes de segurança. Os honeypots de baixa interação ficam em sua maioria ociosos, esperando que alguma atividade aconteça para que possam alertá-lo.

Uma vez que esses honeypots carecem de serviços totalmente funcionais, não resta muito para os invasores cibernéticos alcançarem. No entanto, eles são bastante fáceis de implantar. Um exemplo típico de um honeypot de baixa interação seria bots automatizados que verificam vulnerabilidades no tráfego da Internet, como bots SSH, forças brutas automatizadas e bots verificadores de sanitização de entrada.

Honeypots por tipo de atividade

Os honeypots também podem ser classificados com base no tipo de atividades que eles inferem.

Honeypots de malware: Às vezes, os invasores tentam infectar sistemas abertos e vulneráveis ​​hospedando neles uma amostra de malware. Como os endereços IP de sistemas vulneráveis ​​não estão em uma lista de ameaças, é mais fácil para os invasores hospedar malware.

Por exemplo, um honeypot pode ser usado para imitar um dispositivo de armazenamento de barramento serial universal (USB). Se um computador for atacado, o honeypot engana o malware para atacar o USB simulado. Isso permite que as equipes de segurança adquiram grandes quantidades de novas amostras de malware de invasores.

Honeypots de spam: Esses honeypots atraem spammers usando proxies abertos e retransmissões de correio. Eles são usados ​​para coletar informações sobre novos spams e spams baseados em email, uma vez que os spammers realizam testes em retransmissões de email usando-os para enviar emails para si mesmos.

Se os spammers enviarem com sucesso grandes quantidades de spam, o honeypot pode identificar o teste do spammer e bloqueá-lo. Qualquer retransmissão SMTP aberta falsa pode ser usada como honeypots de spam, pois eles podem fornecer conhecimento sobre as tendências atuais de spam e identificar quem está usando a retransmissão SMTP da organização para enviar os emails de spam.

Honeypots do cliente: Como o nome sugere, os honeypots do cliente imitam as partes críticas do ambiente de um cliente para ajudar em ataques mais direcionados. Embora não haja dados de leitura usados ​​para esses tipos de honeypots, eles podem fazer com que qualquer host falso pareça semelhante a um legítimo.

Um bom exemplo de um honeypot de cliente seria o uso de dados para impressão digital, como informações do sistema operacional, portas abertas e serviços em execução.

Prossiga com cuidado ao usar um Honeypot

Com todas as suas vantagens maravilhosas, um honeypot tem potencial para ser explorado. Embora um honeypot de baixa interação possa não representar nenhum risco de segurança, um honeypot de alta interação pode às vezes se tornar um experimento arriscado.

Um honeypot em execução em um sistema operacional real com serviços e programas pode ser complicado de implantar e pode aumentar involuntariamente o risco de invasão externa. Isso ocorre porque se o honeypot for configurado incorretamente, você pode acabar concedendo acesso a hackers às suas informações confidenciais sem saber.

Além disso, os ciberataques estão ficando mais espertos a cada dia e podem caçar honeypots mal configurados para sequestrar sistemas conectados. Antes de se aventurar a usar um honeypot, lembre-se de que quanto mais simples for o honeypot, menor o risco.

O que é um ataque Zero-Click e o que o torna tão perigoso?

Exigindo interação "zero" do usuário, nenhuma quantidade de precauções de segurança ou vigilância pode impedir um ataque de clique zero. Vamos explorar mais.

Leia a seguir

CompartilhadoTweetO email
Tópicos relacionados
  • Segurança
  • Cíber segurança
  • Segurança Online
  • Segurança
Sobre o autor
Kinza Yasar (70 artigos publicados)

Kinza é jornalista de tecnologia com graduação em Redes de Computadores e várias certificações de TI em seu currículo. Ela trabalhou na indústria de telecomunicações antes de se aventurar em redação técnica. Com um nicho em segurança cibernética e tópicos baseados em nuvem, ela gosta de ajudar as pessoas a entender e apreciar a tecnologia.

Mais de Kinza Yasar

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Clique aqui para se inscrever