4
Honeypots de olho na empresa ID do Artigo: 2371 Introdução Definições Como os honeypots funcionam Vantagens dos Honeypots Como os honeypots aumentam o IDS Conclusão A tecnologia dos sistemas de detecção de intrusões baseados em dissimulação, ou "honeypots", vem evoluindo cada vez mais. Utilizados inicialmente por pesquisadores como uma forma de atrair hackers a um sistema de rede, para que seus movimentos e comportamentos pudessem ser estudados, os honeypots hoje passam a representar um importante papel na segurança corporativa. Proporcionando a detecção preventiva de atividades de rede não autorizadas, os honeypots hoje são muito importantes para os profissionais de segurança de TI. Este artigo analisa como os honeypots funcionam e como a sua tecnologia está emergindo como um componente-chave no uso de camadas para a proteção contra intrusões. Definições O primeiro passo para entender os honeypots é a definição do que eles são. Um honeypot geralmente é um sistema que é colocado em uma rede para que possa ser sondado e atacado. Como o honeypot não possui nenhum valor produtivo, não há nenhum uso "legítimo" para ele. Isso significa que qualquer interação com o honeypot, como uma sondagem ou verificação, pode ser, a princípio, suspeita. Em geral, existem dois tipos de honeypots: o de produção e o de pesquisa: Honeypots de pesquisa Os honeypots de pesquisa têm despertado muita atenção, pois são usados para obter informações sobre as ações de intrusos. O Honeynet Project, por exemplo, é uma organização voluntária de pesquisa de segurança que utiliza os honeypots para coletar informações sobre ataques cibernéticos. Honeypots de produção Os honeypots de produção têm despertado menos atenção, apesar de serem utilizados para proteger as empresas. Porém, cada vez mais os honeypots vêm sendo reconhecidos pela capacidade de detecção que podem proporcionar e pelas maneiras com que suplementam a proteção contra intrusões baseadas na rede e no host. Como os honeypots funcionam Os honeypots podem também ser descritos como de alta ou baixa interação, uma distinção baseada no nível de atividade que o honeypot permite a um agressor. Um sistema de baixa interação oferece atividades limitadas; na maioria dos casos funciona através de serviços de emulação e sistemas

Honeypot Artigo 2

Embed Size (px)

DESCRIPTION

Resenha critica Segurança de Redes

Citation preview

Page 1: Honeypot Artigo 2

Honeypots de olho na empresaID do Artigo: 2371

IntroduçãoDefiniçõesComo os honeypots funcionamVantagens dos HoneypotsComo os honeypots aumentam o IDSConclusão

A tecnologia dos sistemas de detecção de intrusões baseados em dissimulação, ou "honeypots", vem evoluindo cada vez mais. Utilizados inicialmente por pesquisadores como uma forma de atrair hackers a um sistema de rede, para que seus movimentos e comportamentos pudessem ser estudados, os honeypots hoje passam a representar um importante papel na segurança corporativa. Proporcionando a detecção preventiva de atividades de rede não autorizadas, os honeypots hoje são muito importantes para os profissionais de segurança de TI. Este artigo analisa como os honeypots funcionam e como a sua tecnologia está emergindo como um componente-chave no uso de camadas para a proteção contra intrusões.

DefiniçõesO primeiro passo para entender os honeypots é a definição do que eles são. Um honeypot geralmente é um sistema que é colocado em uma rede para que possa ser sondado e atacado. Como o honeypot não possui nenhum valor produtivo, não há nenhum uso "legítimo" para ele. Isso significa que qualquer interação com o honeypot, como uma sondagem ou verificação, pode ser, a princípio, suspeita.

Em geral, existem dois tipos de honeypots: o de produção e o de pesquisa:

Honeypots de pesquisa Os honeypots de pesquisa têm despertado muita atenção, pois são usados para obter informações sobre as ações de intrusos. O Honeynet Project, por exemplo, é uma organização voluntária de pesquisa de segurança que utiliza os honeypots para coletar informações sobre ataques cibernéticos.

Honeypots de produção Os honeypots de produção têm despertado menos atenção, apesar de serem utilizados para proteger as empresas. Porém, cada vez mais os honeypots vêm sendo reconhecidos pela capacidade de detecção que podem proporcionar e pelas maneiras com que suplementam a proteção contra intrusões baseadas na rede e no host.

Como os honeypots funcionamOs honeypots podem também ser descritos como de alta ou baixa interação, uma distinção baseada no nível de atividade que o honeypot permite a um agressor. Um sistema de baixa interação oferece atividades limitadas; na maioria dos casos funciona através de serviços de emulação e sistemas operacionais. Uma das principais vantagens dos honeypots de baixa interação é que eles são relativamente fáceis de implementar e manter, além de representarem um risco mínimo, pois um agressor nunca tem acesso a um sistema operacional real para que possa danificar os sistemas de seus usuários.

O "Honeyd" é um exemplo de um honeypot de baixa interação, sendo que sua função principal é monitorar o espaço de endereços IPs não utilizados. Quando o Honeyd encontra uma tentativa de conexão a um sistema que não existe, ele intercepta a conexão e interage com o agressor, posando-se de vítima, além de capturar e registrar o ataque.

Por outro lado, os honeypots de alta interação envolvem sistemas operacionais e aplicativos reais, e nada é emulado. Ao permitir que os agressores interajam com sistemas reais, as empresas podem aprender muito sobre seu comportamento. Os honeypots de alta interação não fazem nenhuma suposição sobre o comportamento de um agressor, e podem fornecer um ambiente que rastreia

Page 2: Honeypot Artigo 2

todas as atividades. Isso permite que as empresas conheçam comportamentos aos quais, do contrário, não teriam acesso.

Os sistemas de alta interação são também flexíveis e os profissionais de segurança de TI podem implementá-los como desejarem. Além disso, esse tipo de honeypot fornece um alvo mais realista, capaz de detectar um calibre mais alto de um agressor. Os honeypots de alta interação podem ser complexos para implementar, e requerem que tecnologias adicionais sejam implementadas para evitar que os agressores utilizem os honeypots para iniciar ataques em outros sistemas.

O Symantec Decoy Server e o Honeynet Project são exemplos de honeypots de alta interação.

Vantagens dos HoneypotsOs especialistas de segurança afirmam que os honeypots podem obter sucesso em áreas onde os IDSs tradicionais são procurados. Especialmente nas situações a seguir:

Excesso de dados Um dos problemas comuns com o IDS tradicional é que eles geram um volume enorme de alertas. Esse excesso de alertas resulta em gasto de tempo e recursos, além de encarecer também a revisão de dados. Por outro lado, os honeypots coletam dados somente quando alguém interage com eles. Pequenos conjuntos de dados tornam simples e econômicas a identificação de atividades não autorizadas e as ações a serem tomadas.

Falsos positivos. Um dos maiores problemas do IDS é que muitos dos alertas gerados são falsos. Falsos positivos representam um grande problema até mesmo para as empresas que gastam muito tempo ajustando seus sistemas. Se um IDS cria falsos positivos continuamente, os administradores podem passar a ignorá-los. Os honeypots evitam esse problema, pois todas as atividades com eles serão, por padrão, não autorizadas. Isso permite que as empresas reduzam ou eliminem os alertas falsos.

Falsos negativos. As tecnologias IDS podem também encontrar dificuldades na identificação de ataques ou comportamentos desconhecidos. Assim, também, qualquer atividade com um honeypot é considerada anormal, destacando quaisquer ataques novos ou conhecidos.

Recursos. Um IDS necessita de hardware com muitos recursos para acompanhar o tráfego de rede de uma empresa. À medida que uma rede aumenta sua velocidade e gera mais dados, o IDS deve se tornar maior para que possa acompanhá-la. (O gerenciamento de todos os dados também requer muitos recursos.) Os honeypots necessitam de recursos mínimos, mesmo em redes de grande porte. De acordo com Lance Spitzner, fundador do Honeynet Project, um único computador Pentium com 128MB de RAM pode ser usado para monitorar milhões de endereços IP.

Criptografia. Cada vez mais empresas estão criptografando todos os seus dados, devido aos problemas de segurança ou às regulamentações (como HIPAA). Não é portanto surpresa que mais agressores também utilizem a criptografia. Isso compromete a habilidade de um IDS de monitorar o tráfego da rede. Com um honeypot, independente de um agressor utilizar criptografia, as atividades ainda assim serão capturadas.

Como os honeypots aumentam o IDSA evolução dos honeypots pode ser entendida através da observação das maneiras como esses sistemas são utilizados juntamente com os IDSs para evitar, detectar e ajudar a responder aos ataques. Os honeypots estão, com certeza, encontrando seu lugar junto às soluções de proteção contra intrusões baseadas em rede ou em host.

Os honeypots podem evitar ataques de várias maneiras. A primeira é através da redução ou interrupção de ataques automáticos, como worms ou auto-rooters. Esses são ataques que aleatoriamente verificam toda a rede à procura de sistemas vulneráveis. (Os honeypots utilizam uma variedade de truques de TCP para colocar o agressor em um "padrão pendente".) A segunda maneira é a detenção de ataques humanos, em que os honeypots tentam distrair um agressor,

Page 3: Honeypot Artigo 2

fazendo com que prestem atenção às atividades que não causam perdas ou danos, permitindo que as empresas tenham tempo para responder ao ataque e bloqueá-lo.

Conforme vimos acima, os honeypots podem fornecer detecção preventiva de ataques através da abordagem de problemas associados com IDSs tradicionais, como falsos positivos e a incapacidade de detectar novos tipos de ataques, ou ataques no dia zero. Além disso, os honeypots são cada vez mais utilizados para detectar ataques internos, que são normalmente mais sutis (e causam mais prejuízo) do que os ataques externos.

Os honeypots vêm ainda ajudando as empresas a responder a ataques. A análise de um sistema de produção atacado por hackers pode ser difícil, pois não é fácil discernir entre atividades diárias de rotina e atividades de agressores. Como os honeypots capturam somente as atividades não autorizadas, eles podem ser muito eficazes como uma ferramenta de respostas a incidentes, porque podem ser colocados off-line para análise, sem afetar as operações de negócios. Os honeypots mais recentes apresentam mecanismos de resposta mais fortes, inclusive o recurso de encerrar sistemas com base nas atividades do agressor e políticas baseadas em freqüência, que permitem aos administradores de segurança controlar as ações de um agressor no honeypot.

ConclusãoComo todas as tecnologias, os honeypots também têm seus problemas, sendo que o maior deles é o seu limitado campo de visão. Os honeypots só capturam as atividades direcionadas contra eles e não detectam ataques contra outros sistemas.

Por essa razão, os especialistas de segurança não recomendam que esses sistemas substituam as tecnologias de segurança já existentes, mas vêm os honeypots como uma tecnologia complementar de rede e de proteção contra intrusões baseadas em host.

As vantagens trazidas pelos honeypots às soluções de proteção contra intrusões são difíceis de serem ignoradas, principalmente agora que os honeypots de proteção estão começando a ser implementados. Com o tempo, à medida que as implementações se proliferarem, os honeypots poderão se tornar um elemento essencial nas operações de uma empresa no nível corporativo.

http://www.symantec.com/region/br/enterprisesecurity/content/framework/BR_2371.html

http://www.symantec.com/region/br/enterprisesecurity/content/framework/BR_2371.html

Artigo 2013-2 - Revisado

Artigo 2013-2 - Revisado

Documents
005 - Segurança Em SI - Honeypot

005 - Segurança Em SI - Honeypot

Documents
HONEYPOT - TRABALHO DE SEGURANÇA

HONEYPOT - TRABALHO DE SEGURANÇA

Documents
Utilização de honeypot e estudo comportamental de ... · ferramentas de controle, análise e diagnóstico de segurança que podem ser de extrema utilidade aos administradores de

Utilização de honeypot e estudo comportamental de ... · ferramentas de controle, análise e diagnóstico de segurança que podem ser de extrema utilidade aos administradores de

Documents
Artigo - Dever de Proteção 2

Artigo - Dever de Proteção 2

Documents
Artigo Rnc Professora Lilian 2

Artigo Rnc Professora Lilian 2

Documents
FACULDADES INTEGRADAS DE CARATINGAdspace.doctum.edu.br/bitstream/123456789/1136/1/TCC... · 2019. 5. 16. · Honeypot de alta interação, com serviços e sistemas operacionais reais,

FACULDADES INTEGRADAS DE CARATINGAdspace.doctum.edu.br/bitstream/123456789/1136/1/TCC... · 2019. 5. 16. · Honeypot de alta interação, com serviços e sistemas operacionais reais,

Documents
Luana - Aula 10 artigo 2

Luana - Aula 10 artigo 2

Technology
Artigo clonagem 2

Artigo clonagem 2

Documents
Artigo - Rogério Sousa Silva 2

Artigo - Rogério Sousa Silva 2

Documents
Artigo Ciencia Politica - 2 Bimestre

Artigo Ciencia Politica - 2 Bimestre

Documents
Artigo Centro Hipico - GLDT (2)

Artigo Centro Hipico - GLDT (2)

Documents
Honeypot Um honeypot é: Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots: Os de baixa

Honeypot Um honeypot é: Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots: Os de baixa

Documents
artigo ansiedade 2

artigo ansiedade 2

Documents
Artigo 2 - Módulo 1

Artigo 2 - Módulo 1

Documents
Artigo Simulação LEAN 2

Artigo Simulação LEAN 2

Documents
2-3 ARTIGO-KATIA-RICARDO.P65

2-3 ARTIGO-KATIA-RICARDO.P65

Documents
TC034 Artigo 2 Reologia

TC034 Artigo 2 Reologia

Documents
Artigo Endomarketing - Versão 2

Artigo Endomarketing - Versão 2

Documents
Artigo 2 - RS

Artigo 2 - RS

Documents
Honeypot - Defesa contra ataques

Honeypot - Defesa contra ataques

Documents
Honeypot: enganando e conhecendo o inimigo Carlos Manoel de Oliveira Junior Felipe Soares de Deco Simone da Silva Antonio

Honeypot: enganando e conhecendo o inimigo Carlos Manoel de Oliveira Junior Felipe Soares de Deco Simone da Silva Antonio

Documents
Atmosfera Modificada Artigo (2)

Atmosfera Modificada Artigo (2)

Documents
artigo obesidade 2.pdf

artigo obesidade 2.pdf

Documents
RELATÓRIO E ARTIGO COMPLETO(2)

RELATÓRIO E ARTIGO COMPLETO(2)

Documents
artigo científico tcc revisado 2

artigo científico tcc revisado 2

Documents
ARTIGO TCC 2 - REVISADO

ARTIGO TCC 2 - REVISADO

Documents
Artigo Missa (2)

Artigo Missa (2)

Documents
Artigo 2 O Ato Ilicito

Artigo 2 O Ato Ilicito

Documents
Construções finais recorrentes em textos de Pediatria e …§ão em um texto. 1 no artigo 1 1 no artigo 2 2 no artigo 3 1 no artigo 4 1 no artigo 5 3 no artigo 6 1 no artigo 7 2

Construções finais recorrentes em textos de Pediatria e …§ão em um texto. 1 no artigo 1 1 no artigo 2 2 no artigo 3 1 no artigo 4 1 no artigo 5 3 no artigo 6 1 no artigo 7 2

Documents