Heute ist die ENISA (European Network and Information Security Agency) geschrieben auf ihrer Website eine riesige Reiseführer für Honeypots. Sie finden den vollständigen Bericht here.
Aus dem Bericht:
Honeypots are powerful tools that can be used to act as a proactive detection of security incidents infrastructure.
Ein Honeypot ist in der Regel eine Computing-Ressourcen, deren einzige Aufgabe es ist, sondiert werden, angegriffen, kompromittiert, verwendet oder abgerufen in jedem anderen unbefugten way.The Ressource konnte Wesentlichen werden von jeder Art: a-Service, eine Anwendung, ein System oder eine Gruppe von Systemen oder einfach nur ein Stück von Informationen / Daten. Die zentrale Annahme ist, dass jede Einheit eine Verbindung zu oder versuchen, diese Ressource in irgendeiner Weise zu verwenden per Definition verdächtig ist. Alle Aktivitäten zwischen Honeypot und jede Einheit (davon ausgegangen, dass ein Gegner sein,) Interagieren mit überwacht wird, und analysiert, um zu erkennen und zu bestätigen Versuche unbefugter (insbesondere: böswillige oder missbräuchliche Aktivitäten).
Ein Honeypot sollte eine Produktion Ressource in seinem Verhalten so genau wie möglich zu imitieren - von einem Angreifer Sicht sollte es keine spürbaren Unterschied zwischen einem Honeypot Ressource und einer Produktion sein. Ressourcen von Honeypots vertreten sind Nicht-Produktionsmaterial. Darüber hinaus, diese Ressourcen sollten von jeder Produktionsumgebung isoliert werden. Kein legitimen Datenverkehr erreichen sollte den Honigtopf (diese Regel nicht unbedingt Client Honeypots gelten - siehe Beschreibung unten).
Der Kern dieses Dokuments ist eine Untersuchung der bestehenden Honigtopf und verwandte Technologien, mit einem Fokus auf Open-Source-Lösungen, auch, weil nicht viele kommerzielle Lösungen zur Verfügung stehen und Tests würde beinhaltet zusätzliche Kosten. Grundlegende Honeypot Konzepte und Deployment-Strategien abgedeckt sind, zu helfen CERTs ein besseres Verständnis der kritischen Fragen im Zusammenhang mit Einsatz. Die Absicht der Studie ist es, auf der Praktikabilität einer Lösung konzentrieren, nicht unbedingt ihre Forschung oder wissenschaftlichen Wert. Daher, um CERTs helfen, as part of the study we have introduced criteria that had mostly not been used before for evaluation of honeypots.
Ziel: insbesondere ein CERT-Team - einen Einblick in die Lösungen sind am besten aus der Sicht der Bereitstellung und Nutzung von einem Sicherheits-Team bieten, wodurch es einfacher für ein neues Team zu wählen, welche Honeypot-Technologie zu implementieren. Die Auswertung umfasst die Ergebnisse der aktuellen Prüfung von Lösungen, rather than just desktop research.
Insgesamt, Insgesamt 30 verschiedene eigenständige Honeypots wurden getestet und bewertet, einschließlich: Low-Interaction Honeypots Server (Allzweck, Web, SSH, SCADA, VoIP, USB, Dolinen), High-Interaction-Server Honeypots, and low and high-interaction client-side honeypots.
Image may be NSFW.
Clik here to view.
Image may be NSFW.
Clik here to view.
Zusätzlich, verschiedener Hybrid-Lösungen, Early Warning Systems auf Honeypots Basis, Online-Honeypots und Sandkästen und deren mögliche Nutzung durch CERTs werden ebenfalls vorgestellt. The study also explores the future of honeypots.
Die Studie ergab eine Reihe von möglichen Hindernissen für den Einsatz (siehe Kapitel 10). Dazu gehören: Schwierigkeiten mit der Nutzung, schlechte Dokumentation, Mangel an Software-Stabilität, Mangel an Entwickler-Support, geringe Standardisierung und in der Regel eine Voraussetzung für hoch qualifizierte Mitarbeiter zu handhaben und zu pflegen Honeypots, sowie Probleme in der CERT-Gemeinschaft in das Verständnis grundlegender Honeypot Konzepte. Dennoch, wenn eingesetzt richtig, honeypot benefits for CERTs are found to be considerable.
Honeypots bieten einen großartigen Einblick in bösartige Aktivität eines CERT Stimmrechtsgruppe, Frühwarnung von Malware-Infektionen, neue Exploits, Schwachstellen und Malware-Verhalten sowie eine ausgezeichnete Gelegenheit, um über Änderungen in Angreifer Taktiken zu erlernen. Die Studie empfiehlt deshalb, dass CERTs die Möglichkeit der Bereitstellung von Honeypots zu erkunden in ihrem Wahlkreis (eine Reihe von allgemeinen Empfehlungen finden Sie im Abschnitt werden 10.2). Mit Honeypots als Sensoren kann einfacher sein, als andere Technologien, wie sie normalerweise nicht überwachen Produktionsniveau Verkehr, dass Fragen der Privatsphäre einen geringeren Sorge. Um der zunehmenden Cyber-Bedrohung zu bekämpfen, CERTs müssen zusammenarbeiten und groß angelegte miteinander Sensor-Netzwerke, um Bedrohungen aus mehreren verteilten geographischen Gebieten zu sammeln. Wieder, Honeypots sind für diesen Zweck ideal. Honeypots kann auch verwendet werden, um die Bedrohung von innen zu bekämpfen. Dennoch, sie oft noch benötigen einiges an Arbeit auf die Bedürfnisse von CERTs gerecht. Damit Honeypot-Technologien, um diese Erwartungen erfüllen, CERTs und Honeypot Forscher werden ermutigt, gemeinsam. CERTs sollte erreichen und beteiligen sich an den Honigtopf Gemeinden in dieser Studie identifizierten, Feedback geben, Erforschung neuer Ideen und Unterstützung in der Entwicklung. Das Endziel: powerful and reliable tools that help CERTs and others make the Internet a safer place.
Weiterhin auf den Bericht zu lesen…
The post Proaktive Erkennung von Security Incidents: Honeypots appeared first on .