この記事は機械翻訳されました。
ハニーポットとは、正規のシステムに見えるように設計されたネットワークまたはデバイスのことです。これらは、コンピューターネットワークの有効な部分とまったく同じように見え、感じられます。しかし、これらのデバイスは実際にはハッカーのおとりです。
ハニーポットをセットアップすると、ハッカーを調査環境に誘い込むことができます。攻撃者が行うすべてのことを監視することで、より強固な社内システム構築に役立つインサイトが得られます。
ハニーポットとは?正式な定義
ハニーポットとは、ハッカーからの攻撃を検知または調査するために使用されるハードウェアまたはソフトウェアのことです。これは、有効な機器と同様に機能します。しかし、組織内のより深い、または機密性の高い構造には結びついていません。ハニーポットに入力された情報はすべて隔離され、すべてのデータは調査およびセキュリティ目的のために収集されます。
ハニーポットを使って、望ましくないトラフィックやアクティビティをブロックすることはできません。また、そのデバイス上で正当な作業が行われるべきではありません。代わりに、システムに対する攻撃がどのように進行するかを理解するためだけに使用します。
1日に3億件ものハッキングの試みに耐えているユタ州のコンピューターシステムを防御するように依頼されたと想像してみてください。データを盗もうとしている人物について知れば知るほど、より良い仕事ができます。
理論的には、ハッカーがシステムの正当な部分に侵入するのを待つことも可能です。その人物を注意深く監視し、被害が深刻になる前に食い止められることを願うかもしれません。攻撃が終了したら、侵害を許した脆弱性を修正できます。
または、ハニーポットを使用して実験を設定し、事実上リスクなしにハッカーを監視することもできます。
最初のハニーポット調査は、1991年に起こりました。ハッカーがサーバーにアクセスし、管理者は1か月以上注意深く彼を監視しました。それ以来、世界中のコンピューターの専門家がこのアイデアに興味を持つようになりました。
平均的なハッカーは、発見されるまでにシステム内で200日以上を費やしています。高度なツールやプロセスを使用しても、攻撃が展開するにつれて、その兆候を見逃す可能性があります。ハニーポットを設置することで、リアルタイムで脅威について学ぶことができます。これにより、次のハッカーを完全に締め出すことができる可能性があります。
ハニーポットの5つの用途
一般的なハニーポットの種類は次のとおりです。
- データベースデコイ。SQLインジェクションの形式で侵入してくるため、一部の攻撃はファイアウォールを通過します。ハニーポットは、これらの攻撃をキャプチャするために作成され、実際のリソースが機能し続けるようにします。
- マルウェア。Trapsはソフトウェアアプリのように見え、調査および複製できるマルウェア攻撃を引き寄せることを期待しています。
- スパイダーウェブサイトクローラー向けに作成されたウェブページは、悪意のあるアクティビティを調査します。
- 本番。トラップは有効なネットワークの一部のように見えます。企業の実際のリソースを保護するためのおとりとして配置されています。ハニーポットに閉じ込められたハッカーは、そこに非常に多くの時間を費やすため、管理者は実際のアセットの防御をアップグレードできます。
- 調査。データには識別子がタグ付けされており、ハッカーがその情報を盗むと、参加者を特定するために追跡されます。
これらのハニーポットの中には、ごくわずかなリソースしか使用せず、基本的な情報のみを収集するものがあります。これらの低インタラクションハニーポットは、セットアップが簡単で、展開が迅速です。
ハイインタラクションハニーポットはより精巧であり、チームは詳細なデータ収集のためにハッカーをより長く捕獲することを期待しています。
研究者は、この考え方をさらに一歩進めて、有効なネットワークによく似た1つのシステムに多くのハニーポットを接続することがあります。このようなハニーネットは豊富な情報を提供し、実際のネットワークから分離することはほぼ不可能です。
研究者は、ハニーポットのような働きをするメールトラップまたはスパムトラップも設定します。偽のメールアドレスが作成され、ハッカーがアクセスしやすい場所に配置されます。そのアドレス宛てのメールメッセージは、スパム送信者からのものである可能性が高く、研究者はこれらの行為者を特定し、その活動を阻止することができます。メールトラップはコンピューターやコンピューターネットワークを使用しないため、厳密にはハニーポットではありません。
ハニーポットはどのように機能するのでしょうか?
標準的なワークステーションに必要なすべての要素は、ハニーポットにも表示されます。実際の環境を模倣すればするほど、ハッカーを欺く可能性が高くなります。
一般的な構成では、ハニーポットには以下が含まれます。
- Web対応デバイスコンピューター、タブレット、または電話
- Applications. そのデバイスは何らかの実際の作業を実行できる必要があります。
- データ。価値があると思われる情報は、デバイス上にあるか、デバイスからアクセスできる必要があります。
- 監視。このハニーポットで発生するものはすべて、ハッキングの証拠です。
ハニーポットは通常、ネットワークの本番環境から隔離されています。また、ハッカーにとって魅力的なセキュリティ脆弱性が含まれている可能性があります。
ハニーポットネットワークのリスクと利点
一般的な利点は次のとおりです。
- 公開された脆弱性お客様のデータが安全であると、本当に確信できますか?ハニーポットを使用すると、リアルタイムでセットアップをテストできます。
- 低投資。基本的なハニーポットは、多くのハードウェアやソフトウェアを必要としません。数分でそれらを稼働させることができます。
- 新たな理解。収集したデータは、今まで知らなかった脅威に気づかせてくれる可能性があります。たとえば、研究者はハッカーが何をするかを確認するために、偽の製造サーバーをセットアップしました。一人の勇敢な人が生産ラインを完全に停止させることができましたが、それは非常に驚くべきことでした。
ハニーポットのリスクとして一般的なものがいくつかあります。以下が発生する可能性があります。
- デコイ。ハッカーがハニーポットをセットアップしたことを発見した場合、その人物は、有効なサーバーで発生している実際の脅威からあなたの注意をそらす可能性があります。
- より巧妙な攻撃。セットアップを注意深く模倣しすぎると、ハッカーは後で有効なサーバーへの攻撃を開始するために、ハニーポットで練習する可能性があります。
- リソースの浪費。詳細なシステムを構築すると、本来の業務から時間がそれる可能性があります。
ハニーポットが自分に適していないと判断した場合は、ペンテストを検討してください。システムに一連の複雑な課題を課し、攻撃時のパフォーマンスを確認します。このアプローチの詳細については、ブログ記事をご覧ください。
参考文献
NSA Data Center Experiencing 300 Million Hacking Attempts Per Day.(The Council of Insurance Agents and Brokers)
クラッカーが誘惑され、耐えられ、研究されるベルファードとの夜。AT&Tベル研究所
ハッカーは発見されるまで200日以上システムに侵入している。(2015年2月)Infosecurity)
巧妙なハニーポット「ファクトリー」ネットワークがランサムウェア、RAT、およびクリプトジャッキングに襲われる。(2020年1月、Dark Reading)
