Du kanske har hört begreppet 'honungsfälla' och undrat vad det är, och hur den kan göra ditt datorsystem säkrare. I den här artikeln får du veta allt du behöver kunna om honungsfällor och deras roll inom cybersäkerhet.
Definition av en honungsfälla
En definition av honungsfällor kommer från spionagets värld, där spioner som i bästa Mata Hari-stil använder en romantisk relation för att stjäla hemligheter sägs lägga upp en ’honungsfälla’. Ofta komprometteras en fiendespion med en honungsfälla och utpressas sedan att lämna ut alla sina hemligheter.
När det gäller datorsäkerhet fungerar en cyberhonungsfälla på ett liknande sätt, genom att vara bete i en fälla för hackare. Det är ett datorsystem som används som 'offer' och är avsett att dra till sig cyberattacker, som en lockfågel. Den ser ut som en måltavla för hackare, och använder sig av deras intrångsförsök för att skaffa information om cyberbrottslingar och deras arbetssätt eller för att distrahera dem från andra måltavlor.
Hur honungsfällor fungerar
Honungsfällan ser ut som ett riktigt datorsystem, med program och data, vilket lurar cyberbrottslingar att tro att det är en riktig måltavla. En honungsfälla kan till exempel efterlikna ett företags faktureringssystem – en vanlig måltavla för brottslingar som vill hitta kreditkortsnummer. När hackarna har tagit sig in kan de spåras, och deras uppträdande analyseras för att få ledtrådar till hur man gör det verkliga nätverket säkrare.
Honungsfällor görs attraktiva för angripare genom att man avsiktligt bygger in säkerhetsluckor. Exempelvis kan en honungsfälla ha svaga lösenord eller portar som svarar på en portavsökning. Sårbara portar kan lämnas öppna för att locka in angripare i honungsfällan, istället för det säkrare driftnätverket.
Till skillnad från brandväggar och antivirusprogram lägger man inte upp honungsfällor för att hantera ett specifikt problem. Det är istället ett informationsverktyg som kan hjälpa dig att förstå befintliga hot mot verksamheten och se hur nya hot uppstår. Med den information du får från en honungsfälla kan du se till att säkerhetsarbetet har rätt prioriteringar och rätt fokus.
Olika typer av honungsfällor och hur de fungerar
Olika typer av honungsfällor kan användas för att identifiera olika typer av hot. Man använder olika definitioner beroende på vilket hot man ska hantera. Alla spelar en viktig roll i en effektiv cybersäkerhetsstrategi.
Mejlfällor eller skräppostfällor placerar en falsk mejladress någonstans där bara en automatisk adressinsamlare kan hitta den. Eftersom adressen inte används till något annat än mejlfällan är det 100 % säkert att all mejl som kommer till den är skräppost. Alla meddelanden med samma innehåll som de som skickas till mejlfällan kan blockeras automatiskt, och avsändarnas IP-adresser läggas till på en svart lista.
En lockfågeldatabas kan läggas upp för att övervaka sårbarheter i programvara och upptäcka attacker som utnyttjar osäker systemarkitektur eller använder SQL-inmatning, utnyttjar SQL-tjänster eller missbrukar behörigheter.
En honungsfälla för skadlig kod efterliknar programvara och API för att bjuda in till attacker med skadlig kod. Den skadliga kodens egenskaper kan sedan analyseras för att utveckla programvara mot skadlig kod eller för att stänga API-sårbarheter.
En spindelhonungsfälla ska fånga webbkrypare ('spindlar' eller 'crawlers') genom att skapa webbsidor och länkar som bara webbkrypare kan komma åt. Om du upptäcker webbkrypare kan det vara till hjälp för att lära dig hur du ska blockera skadliga botar eller annonsnätverkskrypare.
Genom att övervaka inkommande trafik till honungsfällesystemet kan du bedöma:
- varifrån cyberbrottslingarna kommer
- hotnivån
- vilka metoder de använder sig av
- vilka data och program de är intresserade av
- hur bra dina säkerhetsåtgärder stoppar cyberattacker
En annan definition av honungsfälla utgår från om honungsfällan är höginteraktiv eller låginteraktiv. Låginteraktiva honungsfällor använder mindre resurser och samlar in grundläggande information om hotnivå och hottyp samt varifrån hoten kommer. De är enkla och snabba att lägga upp, oftast bara med några grundläggande simulerade TCP- och IP-protokoll och nätverkstjänster. Men det finns inget i honungsfällan som håller angriparen sysselsatt någon längre tid, och du får inte information på djupet om deras vanor eller om komplexa hot.
Höginteraktiva honungsfällor försöker å andra sidan få hackare att lägga ner så mycket tid som möjligt i honungsfällan, och avslöja mycket information om deras syften och mål, och även om de sårbarheter de utnyttjar och vilka metoder de använder. Du kan tänka på det som en honungsfälla med extra ’klister’ – databaser, system och processer som kan hålla en angripare upptagen betydligt längre. På så sätt kan forskare spåra vart angriparna går i systemet för att hitta känslig information, vilka verktyg de använder för att öka sina behörigheter och vilka sårbarheter de utnyttjar för att ta sig in i systemet.
Men höginteraktiva honungsfällor är också resursintensiva. Det är svårare och tar längre tid att lägga upp dem och övervaka dem. De kan också utgöra en risk. Om de inte är säkrade med en 'honungsvägg' kan en riktigt beslutsam och kunnig hackare använda en höginteraktiv honungsfälla för att attackera andra värddatorer på Internet eller skicka skräppost från en maskin som utsatts för intrång.
Båda typerna av honungsfällor fyller en funktion inom cybersäkerhet. Med en kombination av båda kan du förfina den grundläggande information om hottyper som du får från låginteraktiva honungsfällor med information om avsikter, kommunikation och sårbarheter från en höginteraktiv honungsfälla.
Genom att använda den här typen av cyberhonungsfällor för att skapa ett ramverk för underrättelser om hot kan ett företag säkerställa att insatserna för cybersäkerhet används på rätt sätt och för att förstärka säkerhetens svaga punkter.
Fördelarna med att använda honungsfällor
Honungsfällor kan vara ett bra sätt att upptäcka sårbarheter i stora system. En honungsfälla kan till exempel visa den höga hotnivå som finns beträffande attacker på enheter i Sakernas Internet. Den kan också föreslå olika sätt att förbättra säkerheten.
Att använda en honungsfälla har flera fördelar jämfört med att försöka upptäcka intrång i det riktiga systemet. Exempelvis ska per definition en honungsfälla inte ha någon legitim trafik, så all aktivitet som loggas är troligen ett försök till undersökning eller intrång.
Detta gör det enklare att hitta mönster, till exempel om liknande IP-adresser (eller IP-adresser från samma land) används för att avsöka ett nätverk. Sådana tydliga tecken på en attack försvinner lätt i bruset när du har höga nivåer av legitim trafik på ditt nätverk. Den stora fördelen med att använda honungsfällor är att dessa skadliga adresser kanske är de enda du någonsin ser, så att det blir mycket enklare att identifiera angreppet.
Eftersom honungsfällor bara har begränsad trafik använder de inte heller mycket resurser. De har inte högra krav på maskinvara – du kan till och med lägga upp en honungsfälla med gamla utrangerade datorer. Vad gäller programvara finns ett antal färdigskrivna honungsfällor tillgängliga på lagringsplatser online, vilket ytterligare minskar det arbete din organisation behöver lägga ner på att få igång en honungsfälla.
Honungsfällor har en låg andel falska träffar. Detta skiljer sig helt från traditionella system för identifiering av intrång, som kan producera många falsklarm. Även detta är en hjälp för att prioritera arbete och håller honungsfällans resursbehov låga. (Det går faktiskt att använda de data som samlas in av honungsfällor, i korrelation med andra systemloggar och loggar från brandväggar, för att konfigurera ett system för identifiering av intrång så att den ger mer relevanta varningar och färre falsklarm. På så sätt kan honungsfällor hjälpa till att förfina och förbättra andra cybersäkerhetssystem.)
Honungsfällor kan ge dig pålitliga underrättelser om hur hot utvecklas. De ger information om attackvektorer, sårbarheter och skadlig kod – och för mejlfällor om skräppost och nätfiske. Hackare förfinar ständigt sin teknik för intrång. En cyberhonungsfälla hjälper till att leta upp nya hot och intrång. Väl använda honungsfällor hjälper även till att hantera blinda fläckar.
Och de är bra utbildningsverktyg för säkerhetstekniker. Det är en kontrollerad och säker miljö för att visa hur angripare arbetar och för att granska olika typer av hot. Med en honungsfälla blir säkerhetspersonalen inte distraherad av verklig trafik i nätverket – de kan fokusera helt på hotet.
Honungsfällor kan även fånga upp interna hot. De flesta organisationer lägger ner tid på att försvara en skyddsmur, och på att säkerställa att utomstående och inkräktare inte kan ta sig in. Men om du bara står vid gränsen och spejar har hackare som tagit sig förbi muren fritt fram att ställa till med hur mycket skada som helst, nu när de är på insidan.
Brandväggar hjälper inte heller mot interna hot – en anställd som vill stjäla filer innan de börjar hos en konkurrent, till exempel. En honungsfälla kan ge dig lika bra information om interna hot, och visar sårbarheter inom sådana områden som behörigheter som gör att folk på insidan kan utnyttja systemet.
Och det är till och med så att när du lägger upp en honungsfälla är du altruistisk: du hjälper andra datoranvändare. Ju mer tid hackare slösar på honungsfällor, desto mindre tid kan de lägga på att hacka verkliga system och orsaka riktig skada – för dig eller för andra.
Farorna med honungsfällor
Även om cybersäkerhet som använder honungsfällor är till hjälp när du kartlägger hotmiljön, ser de inte allt som händer – bara aktivitet som är riktad mot honungsfällan. Du kan inte räkna med att ett hot inte finns bara för att det inte riktats mot honungsfällan. Det är viktigt att hålla sig à jour med nyheter inom IT-säkerhet, och inte bara förlita sig på att honungsfällor ska upptäcka alla nyheter.
En bra, korrekt konfigurerad honungsfälla lurar angripare att tro att de fått tillgång till det riktiga systemet. Den har samma varningsmeddelanden för inloggning, samma datafält och till och med samma utseende, känsla och logotyper som dina verkliga system. Men om en angripare lyckas identifiera den som en honungsfälla kan de fortsätta med att angripa dina verkliga system och lämna honungsfällan orörd.
När hackare har 'tagit fingeravtryck' på en honungsfälla kan de skapa falska attacker för att dra uppmärksamheten från en verklig exploatering som riktas mot dina produktionssystem. De kan också lämna felaktig information till honungsfällan.
Och i värsta fall kan en tillräckligt skicklig angripare kanske använda en honungsfälla som en väg in i dina system. Därför kan honungsfällor aldrig ersätta lämpliga säkerhetskontroller, till exempel brandväggar och andra system för att upptäcka intrång. Eftersom en honungsfälla kan vara startramp för ytterligare intrång ska du alltid se till att alla honungsfällor säkrats upp. En 'honungsvägg' kan ge honungsfällorna grundläggande säkerhet och stoppa attacker som riktas mot honungsfällan från att någonsin ta sig in i ditt verkliga system.
En honungsfälla kan ge dig information som hjälper dig att prioritera de resurser du lägger på cybersäkerhet – men den kan inte ersätta riktig cybersäkerhet. Oavsett hur många honungsfällor du har bör du överväga ett paket som Kasperskys Endpoint Security Cloud för att skydda verksamhetens tillgångar. (Kaspersky använder sina egna honungsfällor för att upptäcka hot på Internet, så att du ska slippa det.)
På det hela taget är nyttan med honungsfällor betydligt större än riskerna. Man tänker ofta på hackare som ett avlägset, osynligt hot – men om du använder honungsfällor kan du se exakt vad de gör i realtid, och använda den informationen för att hindra dem från att få vad de vill.
Relaterade länkar