Untuk setiap organisasi bisnis di Internet, virus, worm, dan cracker hanyalah beberapa ancaman keamanan. Di atas segalanya, kami tidak dapat mengetahui kapan, di mana, dan bagaimana data kami atau informasi berharga lainnya akan dikompromikan. Satu-satunya hal yang dapat kami lakukan untuk memastikan keamanan data kami adalah dengan mengambil tindakan pencegahan. Honeypots adalah salah satu perangkat lunak pencegahan yang digunakan dalam jaringan untuk mempelajari jejak akses yang tidak sah dan pada saat yang sama memperingatkan administrator jaringan tentang kemungkinan penyusupan. Sebenarnya, ini adalah jebakan yang ditetapkan untuk mendeteksi upaya penggunaan sistem informasi yang tidak sah. Penyerang selalu berpikir bahwa dia sedang mengekstrak beberapa informasi yang berguna tetapi pada gilirannya, sistem yang diinstal honeypot menariknya menjauh dari sumber daya kritis dan menjebaknya dengan mengikuti jejaknya. Nilai Honeypot terletak pada penggunaan sumber daya tersebut secara tidak sah dan tidak sah.
Gagasan di balik honeypot adalah untuk menyiapkan sistem 'umpan' yang memiliki sistem operasi yang tidak dikeraskan atau yang tampaknya memiliki banyak kerentanan untuk akses mudah ke sumber dayanya. Honeypot dapat mendeteksi serangan dengan menangkap kode polimorfik, menangkap berbagai serangan, bekerja dengan data terenkripsi, dan memperoleh tanda tangan. Honeypots adalah alat pengawasan dan forensik jaringan yang berharga tetapi pada saat yang sama, mereka dapat membawa risiko ke jaringan dan harus ditangani dengan hati-hati. Ini membutuhkan banyak administrasi jaringan dan pemahaman tentang protokol dan keamanan.
Honeypot Bekerja dalam 2 Mode
Mode penelitian :Seperti namanya dalam mode ini, perangkat lunak mencoba mengkarakterisasi lingkungan berdasarkan motivasi penyerang, tren serangan, dan ancaman yang muncul.
Mode produksi :Ini adalah tempat di mana semua pekerjaan pencegahan dilakukan. Saat ini honeypot digunakan untuk mencegah, mendeteksi dan merespon serangan. Pencegahan dilakukan melalui pencegahan dan dengan mengalihkan penyerang untuk berinteraksi dengan 'umpan' daripada file penting.
Bagaimana cara kerja Honeypot?
Pot madu umumnya didasarkan pada server nyata, sistem operasi nyata, dan data yang tampak nyata. Salah satu perbedaan utama adalah lokasi mesin dalam kaitannya dengan server yang sebenarnya. Aktivitas terpenting dari honeypot adalah menangkap data, kemampuan untuk mencatat, memperingatkan, dan menangkap semua yang dilakukan orang jahat. Kebanyakan solusi honeypot, seperti Honeyd atau Spectre, memiliki kemampuan logging dan alert sendiri. Informasi yang dikumpulkan ini terbukti sangat penting bagi penyerang.
Keuntungan:
- Kumpulan data yang relevan :Meskipun Honeypots mengumpulkan sejumlah kecil data tetapi hampir semua data ini adalah serangan nyata atau aktivitas yang tidak sah.
- Mengurangi positif palsu :Dengan sebagian besar teknologi deteksi (IDS, IPS), sebagian besar peringatan adalah peringatan palsu, sedangkan dengan Honeypots tidak demikian.
- Efektif biaya :Honeypot hanya berinteraksi dengan aktivitas berbahaya dan tidak memerlukan sumber daya berkinerja tinggi.
- Kesederhanaan :Honeypot sangat mudah dipahami, diterapkan, dan dipelihara.
Kekurangan:
- Tampilan terbatas :Honeypots hanya melihat aktivitas yang berinteraksi dengan mereka dan tidak menangkap serangan, yang ditujukan terhadap sistem lain yang ada.
- Risiko disusupi :Honeypot dapat digunakan sebagai platform untuk meluncurkan serangan lebih lanjut.
Pada akhirnya, tidak salah untuk mengatakan bahwa honeypots adalah sumber daya yang baik untuk melacak penyerang, dan nilainya terletak pada serangan. Tetapi pada saat yang sama karena kerugian yang tercantum di atas, Honeypots tidak dapat menggantikan mekanisme keamanan apa pun; mereka hanya dapat bekerja untuk meningkatkan keamanan secara keseluruhan.