O Honeypot é um sistema que pode ser configurado na rede para poder registrar os ataques que recebemos, servindo como um aviso antecipado para evitar com que aconteça outros ataques na rede, para saber se você é alvo de algum tipo de ataque ou para entender melhor o que está acontecendo. Esse sistema permite obter a origem das ameaças existentes e as técnicas que podermos ter que enfrentar.
O Honeypot funciona como um sistema de armadilha na rede, então não há motivo para os usuários de uma empresa tentem acessa-lo, facilitando dessa forma a detecção de ataques, uma vez que praticamente qualquer interação com o computador possa ser considerada maliciosa. O objetivo de implementar esse sistema é fazer com que o invasor tenha uma impressão que esteja realmente direcionando seus ataques a um sistema real, no entanto, ele está apenas implantando suas atividades maliciosas em um ambiente controlado por profissionais da empresa.
O Honeypot pode ser implementado dentro da nossa rede, em frente ao firewall externo, que pode ser utilizado para indicar que um invasor já conseguiu acesso à rede e está tentando fazer um movimento lateral ou pode ser utilizado fora da rede, para detectar ataques externos, podemos também ter vários honeypot instalados em nossa rede e formar o que é conhecido como um Hoynet.
Veja abaixo os Tipo de Honeypot que existem:
Alta interatividade – é um servidor com seções reais instalados, como qualquer outro tipo de servidor usado em uma organização, mas devemos ter bastante atenção para que esse servidor esteja perfeitamente isolado do resto da rede e, dessa maneira, impedir que um ataque possa garantir o acesso à rede. As informações que são geradas nesse sistema são extremamente detalhas e, além disso, é mais difícil para um invasor perceber que está sendo enganado e que está caminhando em direção a uma armadilha. Nesse tipo de Honeypot, pode ser implantado nossas fermentadas próprias, como um serviço HTTP que obtém o fingerprint(a impressão digital) do servidor e para identificar exclusivamente o computador que deu origem a ameaça.
Média interatividade – Tem alguns serviços básicos, como um servidor web ou FTP, que podem ser programados para fornecer algum tipo de resposta ao invasor como, por exemplo, devolver um banner do serviço. Alé dessa resposta básica, os serviços não são reais, eles apenas simulam os serviços reais, dessa forma o invasor não pode obter um acesso ao sistema. As informações que são geradas nesse tipo de honeypot são consideravelmente menores do que um honeypot de alta interatividade, mas são mais fáceis de manter e ser implementado.
Baixa interatividade- Simula alguns serviços básicos na rede, como conectividade TPC/IP, ICMP, NetBios e etc. Mas as informações que podem ser coletadas desse tipo de Honeypot são muito mais escassa, basicamente só podemos saber se alguém está rastreando a rede, mas não conseguimos obter mais informações sobre as técnicas ou as intenções por tras de tal ação, assim, a sua implementação na rede é muito mais segura, embora, por outro lado, seja possível que um invasor experiente possa perceber que o computador é, na verdade uma, armadilha para ele.
Tem também opções para pode coletar informações valiosas
A implementação de um honeypot na rede não teria sentido se não coletássemos as informações geradas e as utilizássemos para fins produtivos. De acordo com um reporte de Data Breaches de 2017 produzido pela Verizon, um invasor permanece em média 149 dias em nossa rede antes que sua atividade seja detectada, então com base nas análise das informações geradas em um honeypot interno pode nos ajudar a reduzir o tempo desse invasor. Essas informações devem ajudar a equipe de resposta a incidentes ou o SOC a implementar controles ou atenuações próprias.
- Integração com o EDR corporativo: o honeypot pode ser integrado ao EDR corporativo, idealmente de forma separada, para não contaminar alertas de sistemas de rede. A vantagem de usar um EDR, como o oferecido pela ESET por meio da ferramenta Enterprise Inspector, é que podemos analisar a mecânica dos ataques com mais rapidez e facilidade.
- Integração com sistemas IDS: podemos implementar um IDS como o Suricata(software livre) para gerar alertas automáticos quando nosso honeypot seja vítima de algum tipo de ataque.
- Análise manual: outra opção é coletar as informações e gerar relatórios manualmente, ou com ferramentas desenvolvidas “in-house” que atendem às necessidades específicas da organização.
O T-Pot é um desenvolvimento open-source que combina honeypots de baixa e alta intensidade em um sistema único. A sua implementação e bastante simples, não chega nem a demorar 30 minutos e nos permite emular os serviços de rede como o Android ADB, hardware de rede vulnerável como roteadores, SCADA, SSH, Telnet, DICOM, Elasticsearch, FTP, RDP, HTTP/S, postgreSWL, MSSQL, POP3, SMTP, SMB e outros.
Mas o ideal é criar um honeypot personalizada com os mesmos serviços que são fornecidos em nossa rede e nada mais, o T-Pot é uma forma mais rápida e fácil de implantar um honeypot, se não tivermos tempo ou recursos para desenvolver nossos próprios. E além disso, ele pode ser configurado de acordo com as necessidades especificas da empresa.
Uma das vantagens é que o T-Pot fornece uma interface gráfica para podermos visualizar as informações geradas de forma mais simples e relatórios, e ele pode ser também implementado em maquinas físicas ou virtuais.
