사이버 보안의 허니팟 및 허니넷 설명

by

자신의 게임에서 해커를 능가하는 것을 생각해 본 적이 있습니까? 아니면 나쁜 기술자를 방어하는 데 지쳤을 수도 있습니다. 두 경우 모두 허니팟과 허니넷 사용을 고려해야 할 때입니다.

허니팟에 대해 이야기할 때 공격자를 유인하고 그들의 움직임을 기록하도록 특별히 설계된 컴퓨터 시스템을 말합니다. 이것을 정보 수집 시스템으로 생각하십시오.

현재 현재 160만 개가 넘는 사이트가 있습니다. 해커는 인터넷 주소를 통해 지속적으로 보안이 취약한 시스템을 검색합니다. 허니팟은 의도적으로 취약할 수 있는 해커 대상으로 침투를 유발하지만 완전히 계측됩니다. 공격자가 시스템에 침투하는 경우 침입 방법을 배우고 조직에 부과된 최신 익스플로잇에 대비할 수 있습니다.

이 기사는 허니팟과 허니넷을 기반으로 하며 이 사이버 보안 도메인에 대해 교육하기 위해 핵심으로 뛰어듭니다. 마지막으로 해당 영역과 보안에서의 역할에 대해 확실하게 이해해야 합니다.

허니팟은 공격자를 속이고 그들의 행동을 학습하여 보안 정책을 개선하는 것을 목표로 합니다. 다이빙하자.

허니팟이란 무엇입니까?

허니팟은 공격자에게 함정을 설정하는 데 사용되는 보안 메커니즘입니다. 따라서 해커가 보안 취약점을 악용할 수 있도록 의도적으로 컴퓨터 시스템을 손상시킵니다. 귀사는 공격자의 패턴을 연구하고 새로 획득한 지식을 사용하여 디지털 제품의 보안 아키텍처에 영향을 미치고자 합니다.

소프트웨어, 네트워크, 파일 서버, 라우터 등을 포함한 모든 컴퓨터 리소스에 허니팟을 적용할 수 있습니다. 조직의 보안 팀은 허니팟을 사용하여 사이버 범죄 수행 방식에 대한 정보를 수집하는 사이버 보안 침해를 조사할 수 있습니다.

합법적인 활동을 유도하는 기존의 사이버 보안 조치와 달리 허니팟은 오탐의 위험을 줄입니다. 허니팟은 설계마다 다릅니다. 그러나 그들은 모두 합법적이고 취약하며 사이버 범죄자를 유인하는 것으로 범위를 좁힐 것입니다.

왜 허니팟이 필요한가요?

사이버 보안의 허니팟에는 연구와 생산이라는 두 가지 주요 용도가 있습니다. 대부분의 경우 허니팟은 합법적인 대상이 공격을 받기 전에 사이버 범죄 근절과 정보 수집 사이에서 균형을 유지하면서 여전히 공격자를 실제 대상으로부터 멀어지게 합니다.

허니팟은 효율적이고 비용을 절감합니다. 더 이상 해커를 찾는 데 시간과 리소스를 소비할 필요가 없으며 해커가 위조된 대상을 공격하기를 기다립니다. 결과적으로 공격자가 시스템에 침투하여 정보 도용을 시도한다고 생각하는 동안 공격자를 관찰할 수 있습니다.

허니팟을 사용하여 최신 공격 동향을 평가하고, 원래 위협 소스를 매핑하고, 향후 위협을 완화하는 보안 정책을 정의할 수 있습니다.

허니팟 디자인

허니팟은 목표와 상호 작용 수준에 따라 분류됩니다. 허니팟의 목적을 보면 연구 및 생산 허니팟의 두 가지 디자인이 있음을 알 수 있습니다.

  AWS 관련 약어 및 두문자어
  • 프로덕션 허니팟: 서버와 함께 프로덕션에 배포됩니다. 이 클래스는 프런트 엔드 트랩 역할을 합니다.
  • Research Honeypot: 이 클래스는 연구원과 명시적으로 연결되어 있으며 해커 공격을 분석하고 이러한 공격을 방지하는 기술을 안내하는 데 사용됩니다. 그들은 도난당했을 때 추적할 수 있는 데이터를 포함하여 교육합니다.

    • 다음으로 허니팟의 유형을 살펴보겠습니다.

    허니팟의 종류

    식별하려는 위협을 기반으로 철저하고 효과적인 보안 전략을 사용하여 각기 다른 허니팟을 설정할 수 있습니다. 다음은 사용 가능한 모델의 분석입니다.

    #1. 이메일 트랩

    스팸 트랩이라고도 합니다. 이 유형은 자동 주소 수집자만 찾을 수 있는 숨겨진 위치에 가짜 이메일 주소를 배치합니다. 주소는 스팸 트랩 이외의 다른 역할에 사용되지 않으므로 해당 주소로 들어오는 모든 이메일이 스팸임을 확신할 수 있습니다.

    스팸 트랩과 유사한 콘텐츠가 포함된 모든 메시지는 시스템에서 자동으로 차단되고 보낸 사람의 IP 주소가 거부 목록에 추가됩니다.

    #2. 미끼 데이터베이스

    이 방법에서는 안전하지 않은 아키텍처, SQL 주입, 기타 서비스 악용 및 권한 남용을 악용하는 소프트웨어 취약성 및 공격을 모니터링하도록 데이터베이스를 설정합니다.

    #삼. 스파이더 허니팟

    이 클래스는 크롤러 전용 액세스 웹사이트 및 웹 페이지를 생성하여 웹 크롤러(스파이더)를 트랩합니다. 크롤러를 감지할 수 있으면 봇 및 광고 네트워크 크롤러를 차단할 수 있습니다.

    #4. 멀웨어 허니팟

    이 모델은 소프트웨어 프로그램 및 애플리케이션 인터페이스(API)를 모방하여 맬웨어 공격을 유발합니다. 맬웨어 특성을 분석하여 맬웨어 방지 소프트웨어를 개발하거나 취약한 API 엔드포인트를 해결할 수 있습니다.

    허니팟은 상호 작용 수준에 따라 다른 차원에서 볼 수도 있습니다. 분석은 다음과 같습니다.

  • 낮은 상호 작용 허니팟: 이 클래스는 공격자에게 약간의 통찰력과 네트워크 제어를 제공합니다. 자주 요청되는 공격자 서비스를 자극합니다. 이 기술은 아키텍처에 기본 운영 체제를 포함하므로 덜 위험합니다. 리소스가 거의 필요하지 않고 배포하기 쉽지만 숙련된 해커가 쉽게 식별하고 피할 수 있습니다.
  • 중간 상호작용 허니팟: 이 모델은 낮은 상호작용 허니팟과 달리 해커와 상대적으로 더 많은 상호작용을 허용합니다. 그들은 특정 활동을 기대하고 기본 또는 낮은 상호 작용 이상의 특정 응답을 제공하도록 설계되었습니다.
  • 높은 상호 작용 허니팟: 이 경우 공격자에게 많은 서비스와 활동을 제공합니다. 해커가 보안 시스템을 우회하는 데 시간이 걸리므로 네트워크는 이에 대한 정보를 수집합니다. 따라서 이러한 모델에는 실시간 운영 체제가 포함되며 해커가 허니팟을 식별하면 위험합니다. 이러한 허니팟은 비싸고 구현하기 복잡하지만 해커에 대한 광범위한 정보를 제공합니다.

    • 허니팟은 어떻게 작동합니까?

    출처: wikipedia.org

    다른 사이버 보안 방어 조치와 비교할 때 허니팟은 명확한 방어선이 아니라 디지털 제품에 대한 고급 보안을 달성하는 수단입니다. 모든 면에서 허니팟은 실제 컴퓨터 시스템과 유사하며 사이버 범죄자가 이상적인 목표로 간주하는 애플리케이션과 데이터로 로드됩니다.

    예를 들어 신용 카드 번호, 개인 정보, 거래 세부 정보 또는 은행 계좌 정보와 같은 민감한 더미 소비자 데이터로 허니팟을 로드할 수 있습니다. 다른 경우에는 허니팟이 더미 영업 비밀이나 귀중한 정보가 있는 데이터베이스를 쫓을 수 있습니다. 그리고 손상된 정보를 사용하든 사진을 사용하든 정보 수집에 관심이 있는 공격자를 유인하는 것이 핵심입니다.

      오래된 iPhone을 최고 달러에 판매하는 방법

    해커가 미끼 데이터에 액세스하기 위해 허니팟에 침입하면 정보 기술(IT) 팀은 사용된 다양한 기술과 시스템의 장애 및 강점을 지적하면서 시스템 위반에 대한 절차적 접근 방식을 관찰합니다. 이 지식은 네트워크를 강화하는 전반적인 방어를 개선하는 데 사용됩니다.

    해커를 시스템으로 유인하려면 해커가 악용할 수 있는 몇 가지 취약점을 만들어야 합니다. 시스템에 대한 액세스를 제공하는 취약한 포트를 노출하여 이를 달성할 수 있습니다. 불행하게도 해커들은 허니팟을 실제 표적으로부터 우회시키는 허니팟을 식별할 만큼 똑똑합니다. 함정이 제대로 작동하려면 진정성 있게 보이면서도 관심을 끄는 매력적인 허니팟을 구축해야 합니다.

    허니팟 제한 사항

    허니팟 보안 시스템은 합법적인 시스템의 보안 위반을 탐지하는 것으로 제한되며 공격자를 식별하지 않습니다. 관련된 위험도 있습니다. 공격자가 허니팟을 성공적으로 악용하면 전체 프로덕션 네트워크를 해킹할 수 있습니다. 프로덕션 시스템을 악용할 위험을 방지하려면 허니팟을 성공적으로 격리해야 합니다.

    향상된 솔루션으로 허니팟을 다른 기술과 결합하여 보안 운영을 확장할 수 있습니다. 예를 들어 여러 버전의 민감한 정보를 내부 고발자와 공유하여 정보 유출을 돕는 카나리아 트랩 전략을 사용할 수 있습니다.

    허니팟의 장점

  • 방어적인 플레이를 통해 시스템의 허점을 강조하여 조직의 보안을 업그레이드하는 데 도움이 됩니다.
  • 제로 데이 공격을 강조 표시하고 사용된 해당 패턴과 함께 공격 유형을 기록합니다.
  • 실제 프로덕션 네트워크 시스템에서 공격자를 우회합니다.
  • 유지 보수 횟수가 적어 비용 효율적입니다.
  • 배포 및 작업이 쉽습니다.

    • 다음으로 Honeypot의 몇 가지 단점을 살펴보겠습니다.

    허니팟의 단점

  • 트래픽 및 수집된 데이터를 분석하는 데 필요한 수동 작업은 철저합니다. 허니팟은 정보를 수집하는 수단이지 처리하는 수단이 아닙니다.
  • 직접 공격만 식별하도록 제한됩니다.
  • 허니팟의 서버가 손상된 경우 공격자가 다른 네트워크 영역에 노출될 위험이 있습니다.
  • 해커의 행동을 식별하는 데는 시간이 많이 걸립니다.

    • 이제 허니팟의 위험성을 살펴보십시오.

    허니팟의 위험

    허니팟 사이버 보안 기술은 위협 환경을 추적하는 데 도움이 되지만 허니팟에서만 활동을 모니터링하는 것으로 제한됩니다. 그들은 시스템의 다른 모든 측면이나 영역을 모니터링하지 않습니다. 위협이 존재할 수 있지만 허니팟으로 향하지 않습니다. 이 운영 모델에서는 다른 시스템 부분을 모니터링해야 하는 또 다른 책임이 있습니다.

    성공적인 허니팟 운영에서 허니팟은 해커가 중앙 시스템에 액세스했다고 속입니다. 그러나 그들이 허니팟을 식별하면 트랩을 건드리지 않은 채 실제 시스템으로 전환할 수 있습니다.

    허니팟 대 사이버 속임수

    사이버 보안 업계에서는 종종 “허니팟”과 “사이버 속임수”를 같은 의미로 사용합니다. 그러나 두 도메인 간에는 중요한 차이점이 있습니다. 보시다시피 허니팟은 보안상의 이유로 공격자를 유인하도록 설계되었습니다.

    반대로 사이버 속임수는 잘못된 시스템, 정보 및 서비스를 사용하여 공격자를 오도하거나 함정에 빠뜨리는 기술입니다. 두 가지 방법 모두 보안 현장 운영에 도움이 되지만 속임수를 적극적인 방어 방법으로 고려할 수 있습니다.

      Microsoft Word에서 브로셔를 만드는 방법

    디지털 제품을 사용하는 많은 회사에서 보안 전문가는 시스템이 공격받지 않도록 유지하는 데 상당한 시간을 할애합니다. 회사를 위해 강력하고 안전하며 신뢰할 수 있는 네트워크를 구축했다고 상상할 수 있습니다.

    그러나 시스템을 위반할 수 없다고 확신할 수 있습니까? 약점이 있습니까? 외부인이 들어올까요? 그렇다면 다음에 무슨 일이 일어날까요? 더 이상 걱정하지 마십시오. 허니넷이 답입니다.

    허니넷이란 무엇입니까?

    허니넷은 고도로 모니터링되는 네트워크에서 허니팟 컬렉션을 포함하는 미끼 네트워크입니다. 실제 네트워크와 유사하고 여러 시스템이 있으며 각각 고유한 환경을 나타내는 하나 또는 몇 개의 서버에서 호스팅됩니다. 예를 들어 Windows, Mac 및 Linux 허니팟 머신을 가질 수 있습니다.

    허니넷이 필요한 이유는 무엇입니까?

    허니넷은 고급 부가 가치 기능을 갖춘 허니팟으로 제공됩니다. 허니넷을 사용하여 다음을 수행할 수 있습니다.

    • 침입자를 전환하고 그들의 행동 및 운영 모델 또는 패턴에 대한 자세한 분석을 수집합니다.
    • 감염된 연결을 종료합니다.
    • 네트워크 또는 해당 데이터를 사용하여 공격자의 의도를 볼 수 있는 로그인 세션의 대용량 로그를 저장하는 데이터베이스입니다.

    허니넷은 어떻게 작동합니까?

    사실적인 해커 함정을 만들고 싶다면 그것이 공원을 산책하는 것이 아니라는 데 동의할 것입니다. 허니넷은 원활하게 함께 작동하는 일련의 요소에 의존합니다. 구성 부분은 다음과 같습니다.

    • 허니팟(Honeypots): 해커를 가두기 위해 특별히 설계된 컴퓨터 시스템으로, 다른 경우에는 연구를 위해 배치되며 때로는 귀중한 리소스에서 해커를 유인하는 미끼로도 사용됩니다. 많은 냄비가 모이면 그물이 형성됩니다.
    • 애플리케이션 및 서비스: 해커가 유효하고 가치 있는 환경에 침입하고 있음을 확신시켜야 합니다. 값은 명확해야 합니다.
    • 승인된 사용자 또는 활동 없음: 진정한 허니넷은 해커만 가두어 둡니다.
    • Honeywalls: 여기, 당신은 공격을 연구하는 것을 목표로 하고 있습니다. 시스템은 허니넷을 통해 이동하는 트래픽을 기록해야 합니다.

    당신은 해커를 당신의 허니넷 중 하나로 유인하고 그들이 당신의 시스템으로 더 깊이 들어가려고 시도함에 따라 당신은 당신의 연구를 시작합니다.

    허니팟 대 허니넷

    다음은 허니팟과 허니넷의 차이점을 요약한 것입니다.

  • 허니팟은 단일 장치에 배포되는 반면 허니넷에는 여러 장치와 가상 시스템이 필요합니다.
  • 허니팟은 로깅 용량이 낮고 허니넷은 로깅 용량이 높습니다.
  • 허니팟에 필요한 하드웨어 용량은 낮고 보통인 반면, 허니넷은 높고 여러 장치가 필요합니다.
  • 허니팟 기술로 제한되는 반면 허니넷에는 암호화 및 위협 분석 솔루션과 같은 여러 기술이 포함됩니다.
  • 허니팟은 정확도가 낮고 허니넷은 정확도가 높습니다.

    • 마지막 말

    본 바와 같이 허니팟은 자연(실제) 시스템과 유사한 단일 컴퓨터 시스템인 반면 허니넷은 허니팟 모음입니다. 둘 다 공격 탐지, 공격 데이터 수집, 사이버 보안 공격자의 행동 연구에 유용한 도구입니다.

    또한 허니팟 유형 및 디자인과 비즈니스 틈새 시장에서의 역할에 대해서도 배웠습니다. 또한 이점과 관련 위험도 알고 있습니다. 어느 쪽이 다른 쪽을 압도하는지 궁금하다면 더 큰 쪽이 가치 있는 부분입니다.

    네트워크에서 악의적인 활동을 식별하기 위한 비용 효율적인 솔루션에 대해 걱정하고 있다면 허니팟 및 허니넷 사용을 고려하십시오. 해킹의 작동 방식과 현재 위협 환경에 대해 알고 싶다면 Honeynet 프로젝트를 예리하게 따라가는 것이 좋습니다.

    이제 초보자를 위한 사이버 보안 기초 입문서를 확인하세요.