Atualmente, muitas empresas dependem de grandes quantidades de dados obtidos na Internet através da extração de dados da Web para tomar decisões comerciais. No entanto, a recolha de dados da Web confronta-se frequentemente com vários desafios e um desses desafios são as armadilhas honeypot.
Por outro lado, os Honeypots são também um ativo vital para a cibersegurança da sua organização.
Por isso, este artigo apresenta uma visão geral dos Honeypots antes de passar à forma de evitar as armadilhas dos honeypots na recolha de dados da Web.
Os honeypots em segurança de redes são sistemas de engodo concebidos de forma semelhante a um sistema legítimo comprometido. O seu principal objetivo é levar os cibercriminosos a ganhar tempo e esforço para explorar vulnerabilidades deliberadas de um sistema informático. Em seguida, alerta a sua equipa interna de cibersegurança para as tentativas de comprometimento dos atacantes.
Esta vigilância permitiria à sua equipa de segurança investigar os ataques em direto através de honeypots para atenuar as vulnerabilidades e evitar que os atacantes causem danos ao sistema legítimo.
Uma vez que os honeypots são idênticos a um sistema informático real com software de aplicação e dados para enganar os cibercriminosos, são deliberadamente desenvolvidos com lacunas de segurança. Um exemplo proeminente são algumas portas vulneráveis deixadas abertas para atrair os atacantes para o honeypot e não para o sistema real.
Além disso, outro cenário de honeypot seria imitar uma página de gateway de pagamento na Internet, que seria um alvo ideal para os cibercriminosos espiarem os números de cartões de crédito. Quando um cibercriminoso chega a essa página, a sua equipa de segurança pode avaliar o seu comportamento e seguir os seus movimentos para tornar o gateway de pagamento legítimo mais seguro.
A partir do funcionamento dos honeypots, pode considerá-los uma ferramenta valiosa que ajuda a identificar vulnerabilidades de segurança na sua organização e a detetar novas ameaças. Para além disso, analisaria as tendências dos atacantes e introduziria mecanismos de proteção contra essas ameaças.
Os honeypots podem ser categorizados com base nos seus níveis de implantação e envolvimento. Com base na implantação, é possível categorizá-los como:
Honeypots de produção - estes honeypots são implantados juntamente com servidores de produção reais na rede interna da sua organização. O seu objetivo é detetar ataques activos na rede interna e desviá-los do servidor legítimo.
Honeypots de investigação - em contrapartida, os honeypots de investigação são utilizados para recolher e analisar a forma como um atacante implementaria um potencial ataque ao sistema, analisando o seu comportamento. Através dessa análise, a equipa de segurança pode melhorar a defesa do sistema.
Em seguida, com base nos níveis de envolvimento, os honeypots podem ser classificados da seguinte forma:
Honeypots puros - são sistemas de produção à escala real que parecem conter dados confidenciais ou sensíveis. As equipas de segurança monitorizam as intenções dos atacantes através da escuta instalada no local onde os honeypots se ligam à rede.
Honeypots de elevada interação - o objetivo principal é levar o atacante a investir o máximo de tempo possível para se infiltrar nas lacunas de segurança e atacar o sistema. Isto permitiria às equipas de cibersegurança observar o alvo dos atacantes no sistema e descobrir as suas vulnerabilidades. Um exemplo típico de um honeypot de elevada interação é uma base de dados.
Honeypot de interação média - imita a camada de aplicação sem um sistema operativo para que o atacante fique confuso ou atrase a sua missão. Isto permitiria aos seus peritos em segurança ganhar tempo para responder ao ataque neste cenário.
Honeypot de baixa interação - Estes honeypots são fáceis de configurar e utilizam o TCP (Transmission Control Protocol), o Internet Protocol (IP) e os serviços de rede. São menos intensivos em termos de recursos. O seu principal objetivo é simular os sistemas mais frequentemente visados pelos atacantes. Assim, os peritos em segurança recolhem informações sobre o tipo de ataque e o seu ponto de origem. As equipas de segurança também os utilizam para mecanismos de deteção precoce.
Até agora, você descobriu um honeypot como uma única máquina virtual numa rede. Em contraste, as redes de mel são uma série de honeypots ligados em rede, como mostra o diagrama abaixo. Um único honeypot não é suficiente para monitorizar o tráfego suspeito que entra numa rede mais extensa.
As honeynets estão ligadas ao resto da rede através de uma gateway "honeywall" que monitoriza o tráfego que entra na rede e o direcciona para os nós honeypot.
Com a ajuda da honeynet, a sua equipa de segurança pode investigar ameaças de cibersegurança de grande escala, como ataques distribuídos de negação de serviço (DDOS) e ransomware. Em seguida, a equipa de segurança pode tomar as precauções necessárias para afastar os atacantes do sistema real.
As redes de mel protegem toda a rede contra tráfego suspeito de entrada e saída e fazem parte de uma extensa rede de intrusão.
Agora pode assumir que, com a presença de honeypots, a sua rede está totalmente segura. No entanto, não é essa a realidade, uma vez que os honeypots têm várias desvantagens e não substituem qualquer mecanismo de segurança.
Os honeypots não conseguem detetar todas as ameaças à segurança existentes - o facto de uma determinada ameaça não se ter infiltrado nas lacunas do honeypot não significa que não entre no sistema legítimo. Por outro lado, um hacker experiente determinaria um honeypot como ilegítimo e atacaria outros sistemas de rede, deixando o honeypot intocado.
Um atacante pode também executar ataques de falsificação para desviar a sua atenção da exploração real para o seu ambiente de produção.
Pior ainda, um hacker mais inovador usaria o honeypot como uma forma de entrar no seu ambiente de produção. Esta é a razão aparente pela qual os honeypots não podem substituir outros mecanismos de segurança, como as firewalls. Assim, uma vez que o honeypot pode atuar como uma plataforma de lançamento para atacar o resto do sistema, é necessário tomar as precauções adequadas para cada honeypot na rede.
Existem armadilhas para evitar a raspagem ilegal da Web, o que implica que apenas um punhado de raspadores raspe informações protegidas por direitos de autor. Infelizmente, devido a estes poucos scrapers, os scrapers legítimos também têm de pagar o preço ocasionalmente. Isto deve-se ao facto de os honeypots não conseguirem distinguir os scrapers legítimos dos não legítimos.
As páginas Web contêm ligações a que só os rastreadores podem aceder. Assim, quando um crawler extrai dados dessas ligações, o sítio Web detecta a atividade de crawling. Assim, um sítio Web com armadilhas honeypot pode facilmente rastrear e detetar a sua atividade de raspagem da Web, uma vez que a raspagem a partir destes sítios é ilegal. Como resultado, é provável que o seu IP seja bloqueado, pelo que não obterá os dados desejados.
Para atrair os scrapers, alguns sítios com ligações honeypot utilizam a propriedade de visualização CSS como nenhum. Por conseguinte, tem de se certificar de que o seu rastreador segue apenas as ligações visíveis. Além disso, para evitar bloqueios, é melhor seguir as regras e as directrizes do sítio Web que está a recolher.
Embora os honeypots apresentem certos riscos, os benefícios superam certamente os riscos, conforme demonstrado na secção de limitações. Por conseguinte, os honeypots são um mecanismo essencial a ter quando se considera o investimento em segurança para a sua organização. Além disso, por outro lado, certifique-se de que profissionais com conhecimentos especializados estão a efetuar as suas avaliações de segurança e de honeypots.