Hoe honeypots helpen om cybersecurity te versterken
Wat Mata Hari met cyberaanvallen te maken heeft? Niet veel, maar de term ‘honeypot’ komt rechtstreeks uit de spionagewereld, waar het wordt gebruikt voor verleidelijke spionnen die geheimen ontfutselen en vijanden op een verkeerd spoor zetten. Beveiligingsmechanismen als honeypots gaan op eenzelfde manier hackers te lijf. Maar hoe werken ze precies? En wat zijn de voordelen?
Wat zijn honeypots?
Honeypots zijn valstrikken voor hackers. Het zijn computersystemen vol nepdata, nepapplicaties en lokgegevens, die als lokaas dienen om hackers aan te trekken of af te leiden. Ze worden in computernetwerken geplaatst alsof het doodnormale onderdelen van de infrastructuur zijn, maar in werkelijkheid bootsen ze doelwitten na.
Trapt de hacker in de val? Dan weet de beveiligingsexpert dat een aanvaller in het netwerk rondneust en kunnen er maatregelen getroffen worden. Maar honeypots worden ook gebruikt om de aandacht af te leiden van de échte diamantjes in een netwerk. Of om informatie binnen te slepen over de manier waarop cybercriminelen te werk gaan, zodat er adequaat op kan worden ingesprongen.
Hoe werken honeypots?
Zoals gezegd zijn honeypots computernetwerken vol nepdata die kwaadwillende hackers in de val moeten lokken. Deze computernetwerken zien er dan ook uit als echte systemen, maar ze zijn opzettelijk kwetsbaar gemaakt. Ze staan los van de rest van het netwerk en worden nauwlettend in de gaten gehouden.
Hackers moeten niet alleen denken dat honeypots echt zijn, ze moeten de honeypots ook wíllen aanvallen. Daarom lijken de honeypot-systemen precies op de systemen waar hackers doorgaans naar op jacht zijn. Zo bootsen sommige honeypots klantenfactuursystemen van bedrijven na. En lijken andere honeypots waardevolle informatie over accounts en databases te bevatten.
Nadat een honeypot gecreëerd is, wordt de honeypot expres kwetsbaar gemaakt. Bijvoorbeeld door de poorten open te laten of te koppelen aan zwakke wachtwoorden. Of door de beveiligingspatches uit te zetten. Zodra een aanvaller de honeypot is binnengedrongen, krijgt het securityteam een melding en kan de aanval onderzocht worden. Terwijl de hacker rustig rondsnuffelt en gevoed wordt met valse data, kan het team dus al zijn stappen analyseren en plannen maken voor betere beveiligingsmaatregelen. Zonder dat de echte bedrijfsdata in het hoofdnetwerk in gevaar komt.
Honeypots moet je niet verwarren met firewalls of antivirussoftware. Ze zijn dan ook niet bedoeld om specifieke gevaren af te wenden, maar om beter te begrijpen hoe cyberaanvallen en cybercriminelen werken.
Wat zijn de voordelen van honeypots?
Er zijn legio voordelen van honeypots te bedenken. We hebben de belangrijkste voor je op een rij gezet.
Informatie inwinnen
Dankzij honeypots kunnen experts informatie verzamelen over hackers en hun tactieken. Met die informatie kunnen ze het beveiligingsbeleid verbeteren en de IT-infrastructuur versterken. Experts kunnen bijvoorbeeld ontdekken naar welke systemen hackers op zoek gaan, hoe ze proberen die systemen binnen te komen én waar de hackers eigenlijk vandaan komen op basis van hun IP-adressen en locaties. Zo weten de experts ook meteen waar die gestolen data naartoe wordt geleid.
Kwetsbaarheden spotten
Met honeypots kun je heel goed kwetsbaarheden in je systemen blootleggen. Extra fijn? Dat honeypots zelf weinig risico’s met zich meebrengen, waardoor je op een relatief eenvoudige manier kunt ontdekken waar de zwakke plekken in je systemen zich bevinden en actie kunt ondernemen om ze te versterken.
Weinig resources nodig
Voor honeypots heb je weinig resources nodig. Ze stellen ook geen hoge eisen aan de servers. Eigenlijk kun je al een honeypot in elkaar knutselen met een oude computer die ergens in een hoekje staat te verstoffen. Voor software zijn er online kant-en-klare honeypots te vinden. Via sites als canarytokens.org kun je bijvoorbeeld heel simpel zelf een honeypot bouwen. Al met al kost het dus weinig inspanning om een goed werkende honeypot startklaar te maken.
Kosteneffectief
Daarnaast zijn ze ook nog eens goedkoop en kosteneffectief. Voor een honeypot hoef je geen enorme investeringen te doen. Ze vergen tenslotte weinig onderhoud en je beveiligingsteam hoeft geen enorme database door te spitten op zoek naar verdachte activiteiten. Een betaalbare verdediging tegen cybercriminaliteit, dus.
Uitstekende trainingstool
Honeypots zijn niet alleen handig om aanvallen te detecteren, ze zijn ook een uitstekende trainingstool voor beveiligingsexperts. Dankzij honeypots blijven experts op de hoogte van nieuwe online dreigingen en kunnen ze hun kennis continu aan blijven scherpen.
Een goede daad!
Wanneer je honeypots opzet, help je andere computergebruikers. Want hoe langer hackers in jouw gesimuleerde honingpot aan het jagen zijn, hoe minder tijd ze hebben om andere systemen aan te vallen. En hoe minder kans ze krijgen om serieuze schade aan te richten bij jou of anderen.
Welke soorten honeypots zijn er?
Er worden verschillende soorten honeypots gebruikt om dreigingen te analyseren en te onderscheppen. Over het algemeen genomen zijn er twee hoofdcategorieën: de onderzoekshoneypot en de productiehoneypot.
- Onderzoekshoneypots worden vooral gebruikt door overheden, het leger en grote cyberbeveiligingsorganisaties. Ze zijn complexer dan productiehoneypots en vooral bedoeld om de methoden van hackers diepgaand te analyseren en op de hoogte te blijven van nieuwe hacktactieken.
- Productiehoneypots worden vaak gebruikt door bedrijven om hackers weg te lokken van het hoofdnetwerk. Ze zijn minder complex dan onderzoekshoneypots, maar zorgen er wel voor dat de hackers verstrikt raken in een woud vol nepdata.
Daarnaast zijn er enkele specifieke honeypots:
E-mailhoneypots
Deze honeypots plaatsen een nep e-mailadres op een verborgen plek. Dat mailadres kan alleen worden gevonden met verdachte hackmethoden. Alle berichten die naar dit adres worden gestuurd, zijn dus spam en afzenders van die berichten worden direct geblokkeerd. De IP-adressen van de afzender worden bovendien meteen toegevoegd aan de zwarte lijst.
Malwarehoneypots
Een malwarehoneypot doet alsof hij een software-app of API is om zo malware-aanvallen uit te lokken. In die honeypot-omgeving kunnen experts vervolgens veilig de malware-aanvallen analyseren om anti-malwaresoftware te ontwikkelen of kwetsbaarheden in de systemen aan te pakken.
Spiderhoneypot
Spiderhoneypots zijn bedoeld om ‘spiders’ of ‘webcrawlers’ te vangen. Een webcrawler is een bot die het web doorbladert en kopieën maakt van de gevonden pagina’s om die later te verwerken voor zoekmachines. De spiderhoneypot maakt webpagina’s en links die alleen toegankelijk zijn voor webcrawlers, om zo te leren hoe schadelijke bots geblokkeerd kunnen worden.
Dit artikel is onderdeel van onze Cybersecuritymaand. Alle artikelen, webinars en e-books vind je op content.transip.nl/cyber-security-month-van-transip!
Bedankt voor het toelichten!