Een honeypot is een computer of computersysteem dat bewust kwetsbaar is gemaakt om aanvallers te lokken. Meestal wordt een honeypot gebruikt als detectiesysteem. Zodra de honeypot wordt geactiveerd, weet een IT-manager dat een aanvaller zich toegang heeft verschaft tot zijn of haar netwerk.
Daarnaast wordt een honeypot wel eens ingezet om aanvallers af te leiden zodat ze niet op zoek gaan naar de echt bedrijfskritische systemen. De honeypot wordt ook gebruikt om informatie te verkrijgen over de mogelijke werkwijze van aanvallers.
Een honeypot vergroot de security van je netwerk niet, maar kan wel dienen als wel een uiterst effectief en goedkoop detectiesysteem.
Hoe werkt een honeypot?
Je creëert een honeypot door een systeem op te zetten dat voor een mogelijke aanvaller nogal lijkt op hetgeen dat hij zoekt. Als je IT-manager bent bij een universiteit, moet het dus iets zijn dat lijkt op een universiteitsnetwerk met bijvoorbeeld studentenaccounts en een database met namen van studenten. Vervolgens zorg je voor zwakke wachtwoorden, laat je beveiligingspatches niet automatisch installeren en zet je de firewall open. Je zorgt voor uitgebreide monitoring op de honeypot zodat je meteen geïnformeerd wordt zodra een aanvaller probeert binnen te komen.
Voordelen van een honeypot
Het inzetten van een honeypot heeft een aantal voordelen:
- Goedkoop detectiesysteem - Het opzetten van een honeypot hoeft geen grote investering te zijn. Als je zelf simpel en goedkoop een honeypot wilt opzetten, kijk dan bijvoorbeeld eens op Canarytokens.org. Deze site biedt je de mogelijkheid om in enkele minuten zelf een honeypot te bouwen.
- Levert relevante security informatie op - Door de honeypot zorgvuldig te monitoren, kun je als IT-manager veel leren over mogelijke aanvallers. Je kunt bijvoorbeeld kijken naar welke systemen ze op zoek gaan, hoe ze proberen wachtwoorden te kraken en waar ze vandaan komen. Door goed te monitoren wat er gebeurt in je honeypot kun je checken of de securitymaatregelen op je echte netwerk in orde zijn en hoe je ze eventueel moet aanpassen.
Waar moet ik op letten bij het opzetten van een honeypot?
Je wilt voorkomen dat je zojuist opgezette honeypot continue de alarmbellen af laat gaan. Er zijn duizenden geautomatiseerde aanvallen die continue rondzwerven op het internet. Deze scanners vormen waarschijnlijk geen risico voor je organisatie. Als je honeypot echter elke keer alarm slaat bij het zien van een dergelijke geautomatiseerde scan dan zullen systeembeheerders deze waarschijnlijk snel negeren.
Je kunt daarom besluiten om honeypots enkel in te zetten op je interne netwerk. Indien een interne honeypot alarm slaat is de dreiging waarschijnlijk veel serieuzer en urgenter. De vermoedelijke aanvallers hebben immers al toegang gekregen tot je interne netwerk.
Het vinden van de juiste balans tussen honeypots die te vaak alarm slaan en honeypots die juist te weinig alarm slaan vergt enige zorgvuldigheid en verfijning.
Wat moet je doen als je honeypot wordt aangevallen?
Als de honeypot die je hebt opgezet daadwerkelijk wordt aangevallen, moet je de volgende stappen ondernemen:
- Stap 1: Schakel een security expert in - Security experts zoals Computest kunnen beoordelen of er daadwerkelijk sprake is van een aanvaller of dat een medewerker bijvoorbeeld per ongeluk op de honeypot is gestuit.
- Stap 2: Check het IP-adres van de aanvaller - Check of het IP-adres van binnen of buiten het netwerk komt. Als het IP-adres van binnen het netwerk komt, neem dan contact op met de medewerker die de honeypot geactiveerd heeft en vraag wat er gebeurd is.
- Stap 3: Stel een incident response plan op - Komt de aanvaller van buiten het bedrijfsnetwerk, check dan of het adres uit Nederland komt of daarbuiten. Is er daadwerkelijk sprake van een aanval, zorg dan samen met je securitypartij voor een goed 'incident response plan'.
Meer weten over een honeypot?
Wil jij voor jouw netwerk een honeypot opzetten? Neem dan contact op met de security experts van Computest per mail via info@computest.nl of telefonisch via +31 (0)88 733 13 37.