web-dev-qa-db-ja.com

ハニーポットは、ハッカーがネットワークを危うくするのに効果的な抑止力ですか?

Microsoftによると、企業ネットワークに honeypot を追加することは、ハッカーによるネットワークの侵害を防ぐ効果的な方法です。

ハニーポットは研究目的のためにもっと多く、企業ネットワークにとって理想的ではないですか?

企業ネットワークにハニーポットがあると、ハッカーは攻撃をより適切に把握できなくなるでしょうか。

詳しくは:

Security Fundamentals(Microsoft Virtual Academy)。 #4のクイズはその主張をしました。セキュリティ分野での私の理解に基づいて答え、間違っていました。したがって、私の混乱。

34
Jason

ハニーポットの導入は、塗装されたドアや偽の金庫を銀行の金庫室に追加することと同じです。

deterだれでもありません(ハニーポットとして検出されるのはnotです)。おそらく誰かがつづりを間違えたdetect

攻撃者が実際のドアに対して費やす時間を(ある程度)減らすことができます。それほどではありません。

それ以上に、データ収集用に最適化できます(簡単に言うと、ハニーポットのサービスを誰も使用しないことがわかっているので、それらをすべて調整して「大量の妄想的なダンプダンプダンプをすべてログに記録する」ことができます。Service効率は地獄に行きますが、誰かが何かを試みてもすぐには何も必要ありません。「安全」はすべての警告であり、金塊はありません。

さらに、ハニーポットで起こっていることと他のネットワークで起こっていることを関連付けることができます。ハニーポットは、他のマシンが異常ではあるがランダムな「ノイズ」として報告するものの背後にあるものを教えてくれます。

最後に、ハニーポットはどうやら攻撃を成功させることができるため、さらに多くのデータを収集できます。例:攻撃者はハニーポットでルートシェルを獲得します。彼はより洗練されたツールをダウンロードし始めます。これで、少なくとも、これらのツールのコピーのコピーと、ツールのダウンロード元がわかります。

(時間がある場合は、あまり疑いのない方法で接続をクラッシュさせ、適切な計測器をツールに追加した後、彼に後で再接続させることができます。

あなたは彼がいくつかのwarezバウンスを探しているスクリプトの子供であるか、または積極的にyourネットワークをターゲットにしている誰かであるかを判断できます。ハニーポットを回避しても、知っておく価値のあることを教えてくれます。

しかし上記のほとんどは無料ではありません;それだけでは機能しません。ハニーポットを継続的に管理する(通常は非常に低いレベルですが、継続的に、常にエスカレーションする準備ができている)誰かが必要です。ハニーポットは、他のボックスと同じくらい(おそらくはるかに多い)維持および更新する必要があります。

利益が痛みに値するかどうか、そして必要な痛みに投資できるかどうかを決定する必要があります。

「ハニーポットを追加する」だけでnothingが実行され、ネットワークのセキュリティが向上します。それどころか、ハニーポットがあなたが信じているほど十分に断熱されており、装甲されていない場合、それは少し誤ったセキュリティをもたらし、おそらくセキュリティ違反を提供します。また、他のマシンが共有していないサービスや脆弱性を提供する場合は、存在しない場合よりも注目を集める可能性があります。

51
LSerni

ハニーポットは抑止コントロールではなく、探偵コントロールです。そのため、企業、実稼働ネットワークでは非常に強力です。

私は多くのハニーポットを実行しており、IDS/IPSとは別に有用なデータセットを提供しています。彼らは私に積極的な攻撃の意図、攻撃の巧妙さ、そしてハニーポットとの接触が深刻な出来事を示していることを教えてくれます。時々、私は明らかに人々が「見回している」ものを見たり、非常に複雑で計画的な攻撃を見たりします。どちらも対処する必要があり、調査のためにリソースをどの程度真剣に適用するかを私は知っています。

適切に構成された安全なハニーポットは、攻撃者が他の資産にピボットすることを許可しません(一部は攻撃者に自分がそうだと思わせることができます!)。

ハニーポットを研究に使用できることも事実です。私はその目的のために自分のハニーポットを運営しています。ただし、安価な検出制御として、通常はログとパケットトレースでのみ表示されるものに深さを追加します。

20
schroeder

質問は私に同様の主張で私を驚かせたそれほど遠くない過去の記事を思い出させました。私はそれを再び見つけることができました、それは10月からDark Readingに「 すべての会社がハニーポットを持っているべき5つの理由 」でした2013年。要約すると、次の5つの理由があります。

  1. 攻撃者は標準のマルウェア対策ソフトウェアに対してツールをテストするため、誤検知の少ないシステムとしてのハニーポットは攻撃を検出するのに適しています。
  2. ハニーポットは、デコイを設定し、実際のターゲットからそれらをそらすことにより、攻撃者を遅くすることができます。
  3. 生産ハニーポットは、アラートがトリガーされない限り、(研究ハニーポットと比較して)多くの時間を費やす必要はありません。
  4. ハニーポットは、セキュリティチームのトレーニングに役立ちます。
  5. ハニーポットは、無料のツールがたくさんあるので、セットアップが簡単です。

私は彼らの理由すべてに本当に同意しません。実際、私にとって唯一説得力のあるのは#4です。番号2は有効かもしれませんが、高度でおそらく高価なセットアップか、経験のない攻撃者のみが必要です。そうでなければ、彼らはすぐにカーテンの向こう側を見て、実際の資産を探すことができるかもしれません(ハニーポットソフトウェア自体のいくつかの弱点を悪用するかもしれません)。

8
Dubu

ハニーポットは防御メカニズムではありません。これらは、ネットワークをエミュレートし、ネットワーク上の潜在的な脅威を特定するのに役立つメディアです。企業ネットワークにハニーポットを設定すると、企業に向けられた攻撃に対する洞察を得ることができます。ハニーポットで取得した結果に基づいて、組織の防御メカニズムをさらに強化できます。

4
abhinav singh

その主な目的は検出と緩和ですが、それが抑止力としてどのように機能するかを確認できますif攻撃者ハニーポットを使用するのには妥当な疑いがありましたが、正確な場所を特定する方法がありませんでした。特定のマシンがハニーポットであるかどうかは秘密にしておく必要がありますが、数百に及ぶマシンの一部がハニーポットであるという事実を開示するリスクはほとんどありません。政府、大企業、セキュリティの影響を受けやすい中小企業の場合、ハニーポットを使用しているとほとんど思います。

このように考えてください。ハニーポットがあると思われるインストールを攻撃することと、そうでないインストールを攻撃することのどちらかを選択した場合、他のすべてが等しい場合、どちらを選択しますか?もちろん、それはそれほど大きな抑止力ではありませんが、何ですか?

4
Karl Bielefeldt