O que são Honeypots

Jun-28-20215 minutos de leitura

Atualmente, muitas empresas dependem de grandes quantidades de dados obtidos na Internet por meio da Web scraping para implementar decisões comerciais. No entanto, a Web scraping frequentemente enfrenta vários desafios e um desses desafios são as armadilhas de honeypots. Por outro lado, os honeypots também são um ativo vital para a segurança cibernética de sua organização. Portanto, este artigo

Atualmente, muitas empresas dependem de grandes quantidades de dados obtidos na Internet por meio da Web scraping para implementar decisões comerciais. No entanto, a Web scraping frequentemente enfrenta vários desafios e um deles são as armadilhas de honeypot.

Por outro lado, os Honeypots também são um ativo vital para a segurança cibernética de sua organização.

Portanto, este artigo fornecerá uma visão geral dos honeypots antes de abordar como você pode evitar armadilhas de honeypot na Web scraping.

O que é um honeypot?

Honeypots em segurança de rede é um sistema de isca projetado de forma semelhante a um sistema legítimo comprometido. Seu principal objetivo é fazer com que os criminosos cibernéticos comprem tempo e esforço para explorar vulnerabilidades deliberadas em um sistema de computador. Em seguida, ele alerta sua equipe interna de segurança cibernética sobre as tentativas de comprometimento dos invasores.

Esse alerta permitiria que sua equipe de segurança investigasse os ataques ao vivo por meio de honeypots para atenuar as vulnerabilidades e evitar que os invasores causem danos ao sistema legítimo.

Como funcionam os honeypots?

Como os honeypots são idênticos a um sistema de computador real com software de aplicativo e dados para enganar os criminosos cibernéticos, eles são deliberadamente desenvolvidos com brechas de segurança. Um exemplo importante seriam algumas portas vulneráveis deixadas abertas para atrair os invasores para o honeypot em vez de para o sistema real.

Além disso, outro cenário de honeypot seria imitar uma página de gateway de pagamento na Internet, que seria um alvo ideal para os criminosos cibernéticos espionarem números de cartão de crédito. Quando um criminoso cibernético chega a essa página, sua equipe de segurança pode avaliar o comportamento dele e rastrear seus movimentos para tornar o gateway de pagamento legítimo mais seguro.

Com base na operação dos honeypots, você pode considerá-los uma ferramenta valiosa que ajuda a identificar as vulnerabilidades de segurança da sua organização e a detectar novas ameaças. Além disso, você analisaria as tendências dos invasores e introduziria mecanismos de proteção contra essas ameaças.

Diferentes tipos de Honeypots

Os honeypots podem ser categorizados com base em seus níveis de implantação e envolvimento. Com base na implantação, você pode categorizá-los como:

Honeypots de produção - esses honeypots são implantados ao lado de servidores de produção reais na rede interna de sua organização. Seu objetivo é detectar ataques ativos na rede interna e desviá-los do servidor legítimo.

Honeypots de pesquisa - em contrapartida, os honeypots de pesquisa são usados para coletar e analisar como um invasor implementaria um possível ataque ao sistema analisando seu comportamento. Por meio dessa análise, a equipe de segurança pode aprimorar a defesa do sistema.

Então, com base nos níveis de envolvimento, os honeypots podem ser classificados da seguinte forma:

Honeypots puros - são sistemas de produção em escala real que parecem conter dados confidenciais ou sensíveis. As equipes de segurança monitoram as intenções dos invasores por meio da escuta de bugs instalada onde os honeypots se conectam à rede.

Honeypots de alta interação - o objetivo principal é fazer com que o invasor invista o máximo de tempo possível para se infiltrar nas brechas de segurança e atacar o sistema. Isso permitiria que suas equipes de segurança cibernética observassem o alvo dos atacantes dentro do sistema e descobrissem suas vulnerabilidades. Um exemplo típico de um honeypot de alta interação seria um banco de dados.

Honeypot de interação média - imita a camada de aplicativo sem um sistema operacional para que o invasor fique confuso ou atrase sua missão. Isso permitiria que seus especialistas em segurança ganhassem tempo para responder ao ataque nesse cenário.

Honeypot de baixa interação - Esses honeypots são fáceis de configurar e usam o TCP (Protocolo de Controle de Transmissão), o Protocolo de Internet (IP) e os serviços de rede. Eles consomem menos recursos. Seu foco principal é simular os sistemas mais comumente visados pelos atacantes. Assim, os especialistas em segurança reúnem informações sobre o tipo de ataque e seu ponto de origem. As equipes de segurança também os utilizam para mecanismos de detecção precoce.

O que são Honeynets?

Até agora, você descobriu um honeypot como uma única máquina virtual em uma rede. Por outro lado, as redes de mel são uma série de honeypots conectados em rede, conforme mostrado no diagrama abaixo. Um único honeypot não é suficiente para monitorar o tráfego suspeito que entra em uma rede mais extensa.

As redes de mel são conectadas ao restante da rede por meio de um gateway de "honeywall" que monitora o tráfego que entra na rede e o direciona para os nós do honeypot.

Com a ajuda da honeynet, sua equipe de segurança pode investigar ameaças à segurança cibernética de grande escala, como ataques de negação de serviço distribuído (DDOS) e ransomware. Em seguida, a equipe de segurança pode tomar as precauções necessárias para afastar os invasores do sistema real.

As Honeynets protegem toda a sua rede contra tráfego suspeito de entrada e saída e fazem parte de uma extensa rede de intrusão.

Limitações dos honeypots

Agora você pode presumir que, com a presença de honeypots, sua rede está totalmente segura. No entanto, essa não é a realidade, pois os honeypots têm várias desvantagens e não substituem nenhum mecanismo de segurança. 

Os honeypots não podem detectar todas as ameaças à segurança existentes - o fato de uma determinada ameaça não ter se infiltrado nas brechas do honeypot não significa que ela não entraria no sistema legítimo. Por outro lado, um hacker experiente determinaria um honeypot como ilegítimo e atacaria outros sistemas de rede, deixando o honeypot intocado.

Um invasor também pode executar ataques de falsificação para desviar sua atenção da exploração real em seu ambiente de produção. 

Pior ainda, um hacker mais inovador usaria o honeypot como uma forma de obter acesso ao seu ambiente de produção. Esse é o motivo aparente pelo qual os honeypots não podem substituir outros mecanismos de segurança, como firewalls. Portanto, como o honeypot pode atuar como uma plataforma de lançamento para atacar o restante do sistema, você precisa tomar as precauções adequadas para cada honeypot na rede.

Armadilhas de honeypot na Web Scraping

Existem armadilhas de honeypot para evitar a Web ilegal scraping, o que significa que apenas um punhado de scrapers scraping informações protegidas por direitos autorais. Infelizmente, devido a esses poucos scrapers, os scrapers legítimos também têm que pagar o preço ocasionalmente. Isso ocorre porque os honeypots não conseguem distinguir os scrapers legítimos dos não legítimos.

As páginas da Web contêm links que somente os rastreadores podem acessar. Portanto, quando um rastreador extrai dados desses links, o site detecta a atividade de rastreamento. Assim, um site com armadilhas honeypot pode facilmente rastrear e detectar sua atividade na Web scraping , pois scraping desses sites é ilegal. Como resultado, é provável que seu IP seja bloqueado e, portanto, você não obterá os dados desejados.

Para atrair os scrapers, alguns sites com links de honeypot usam a propriedade de exibição CSS como nenhum. Portanto, você deve se certificar de que seu rastreador siga apenas os links visíveis. Além disso, para evitar bloqueios, é melhor seguir as regras e diretrizes do site que você está scraping.

Conclusão

Embora os honeypots tenham certos riscos, os benefícios certamente superam os riscos, conforme mostrado na seção de limitações. Portanto, os honeypots são um mecanismo essencial ao considerar o investimento em segurança para sua organização. Além disso, por outro lado, certifique-se de que profissionais especializados estejam realizando suas avaliações de segurança e de honeypots.