Hva er en honningsfelle?

Du kan ha hørt om begrepet "honningfelle" og lurt på hva det er, og hvordan det kan gjøre datasystemet ditt sikrere. Denne artikkelen forteller deg alt du trenger å vite om honningfeller og deres rolle innen cybersikkerhet.

Definisjonen av en honningfelle

En typisk honningfelle finner vi i historien om Mata Hari, som brukte en romantisk relasjon som en måte å stjele hemmeligheter på. Dette er beskrevet som å sette en "honningfelle". Ofte blir en fiendtlig spion lurt i en honningfelle og deretter utpresset til å overlevere alt han/hun vet.

I forbindelse med datasikkerhet er en honningfelle en lignende måte å sette en felle på for hackere. Det er et ekstra datasystem som er ment å trekke til seg cyberangrep, en slags lokkedue. Det etterligner et mål for hackere, og bruker deres inntrengingsforsøk til å innhente informasjon om de cyberkriminelle og måten de opererer på eller for å avlede dem fra andre mål.

Hvordan honningfeller virker

Honningfellen ser ut som et ekte datasystem, med applikasjoner og data, for å lure cyberkriminelle til å tro at den er et passende mål. En honningfelle kan for eksempel etterligne et firmas faktureringssystem – et vanlig angrepsmål for kriminelle som ønsker å finne kredittkortnumre. Så snart hackere er innenfor, kan de spores og deres atferd vurderes for å få holdepunkter om hvordan det reelle nettverket kan gjøres sikrere.

Honningfeller kan gjøres attraktive for angripere ved å legge inn tilsiktede sårbarheter. En honningfelle kan for eksempel ha porter som reagerer på en portskanning eller svake passord. Sårbare porter kan stå åpne for å lokke angripere inn i honningfellemiljøet, i stedet for det bedre sikrede faktiske nettverket.

En honningfelle blir ikke satt opp for å løse et bestemt problem, som brannmurer eller antivirusprogramvare er beregnet på. I stedet er det et informasjonsverktøy som kan hjelpe deg med å forstå eksisterende trusler mot din virksomhet og oppdage fremveksten av nye trusler. Med informasjon innhentet fra en honningfelle er det lettere å prioritere og fokusere sikkerhetsarbeidet.

Forskjellige typer honningfeller og hvordan de virker

Forskjellige typer honningfeller kan brukes til å identifisere forskjellige typer trusler. Forskjellige honningfelledefinisjoner tar utgangspunkt i trusseltypen det fokuseres på. Alle har sin plass i en grundig og effektiv strategi for cybersikkerhet.

E-postfeller eller spamfeller plasserer en falsk e-postadresse på et skjult sted hvor bare en automatisert adressehøster kan finne den. Fordi adressen ikke brukes til noe annet formål enn spamfellen, er det 100 % sikkert at all innkommende post er spam. Alle meldinger som inneholder samme innhold som blir sendt til spamfellen, kan blokkeres automatisk, og avsendernes IP-adresse kan settes på svarteliste.

En lokkeduedatabase kan settes opp for å overvåke sårbarheter i programvare og oppdage angrep som utnytter usikret systemarkitektur eller bruker metoder som SQL-injeksjon, utnyttelse av SQL-tjenester eller misbruk av rettigheter.

En malwarehonningfelle etterligner programvareapper og APIer for å invitere til malwareangrep. Malwarens kjennetegn kan deretter analyseres for å utvikle antimalwareprogramvare eller utbedre sårbarheter i APIet.

En edderkopphonningfelle er ment å fange webcrawlere ("spiders") ved å opprette nettsider og koblinger som bare er tilgjengelige for crawlere. Å oppdage crawlere kan hjelpe deg med å lære hvordan du blokkerer ondsinnede bots, samt annonsenettverkscrawlere.

Ved å overvåke inngående trafikk i honningsfellesystemet kan du studere:

• hvor cyberkriminelle kommer fra
• trusselnivået
• hvilken modus operandi de bruker
• hvilke data eller applikasjoner de er interessert i
• hvor godt dine sikkerhetstiltak virker for å stoppe cyberangrep

En annen honningfelledefinisjon undersøker om en honningfelle har høy interaksjon eller lav interaksjon. Honningfeller med lav interaksjon bruker færre ressurser og samler grunnleggende informasjon om trusselnivå- og type og hvor trusler stammer fra. Det går raskt og enkelt å sette dem opp, vanligvis med bare noen enkle simulerte TCP- og IP-protokoller og nettverkstjenester. Men det er ingenting i honningfellen som engasjerer angriperen veldig lenge, og du vil ikke motta dyp informasjon om deres vaner eller om komplekse trusler.

Honningfeller med høy interaksjon tar på den annen side sikte på å få hackere til å bruke så mye tid som mulig i honningfellen, røpe mengder av informasjon om sine intensjoner og mål, hvilke sårbarheter de utnytter og deres modus operandi. Tenk på det som en honningfelle med ekstra "lim" – databaser, systemer og prosesser som kan engasjere en angriper mye lenger. Dette setter forskere i stand til å spore hvor angripere beveger seg i systemet for å finne sensitiv informasjon, hvilke verktøy de bruker til å eskalere privilegier eller hvilke sårbarheter de utnytter for å trenge inn i systemet.

Honningfeller med høy interaksjon er imidlertid ressurskrevende. Det er vanskeligere og mer tidkrevende å sette opp og overvåke dem. De kan også utgjøre en risiko. Hvis de ikke er sikret med en "honningmur", kan en virkelig besluttsom og ressurssterk hacker bruke en honningfelle med høy interaksjon til å angripe andre Internett-verter eller til å sende spam fra en eksponert maskin.

Begge typer honningfelle har en plass innen god cybersikkerhetpraksis. Ved å utnytte en kombinasjon av begge kan du bygge på basisinformasjonen om trusseltyper du får fra honningfeller med lav interaksjon, ved å legge til informasjon om intensjoner, kommunikasjon og utnyttelsesforsøk som du får fra en honningfelle med høy interaksjon.

Ved å bruke cyberhonningsfeller til å skape et rammeverk for trusselinformasjon kan en virksomhet sikre at den setter inn sine cybersikkerhetinvesteringer på rett sted, og det blir mulig å oppdage hvor organisasjonen har svake sikkerhetspunkter.

Fordelene med å bruke honningfeller

Honningfeller kan med fordel benyttes til å avdekke sårbarheter i større systemer. En honningfelle kan for eksempel vise det høye trusselnivået fra angrep mot IoT-enheter. Den kan også foreslå måter å forbedre sikkerheten på.

Å bruke en honningfelle byr på flere fordeler sammenlignet med å oppdage inntrenging i det virkelige systemet. Per definisjon bør en honningfelle ikke motta noen legitim trafikk, så enhver logget aktivitet vil sannsynligvis være en sondering eller et inntrengingsforsøk.

Dette gjør det mye enklere å oppdage mønstre, for eksempel at beslektede IP-adresser (eller at alle IP-adresser stammer fra ett land) brukes til å utføre en nettverkssveiping. Avslørende tegn på et angrep kan du derimot lett gå glipp av i all støyen du opplever pga. høye nivåer av legitim trafikk i kjernenettverket. Den store fordelen med å bruke honningfellesikkerhet er at disse ondsinnede adressene kan være de eneste du ser, slik at angrepet blir mye lettere å identifisere.

Fordi honningfeller håndterer veldig begrenset trafikk, er de også lite ressurskrevende. De stiller ikke store krav til maskinvare. Det er mulig å sette opp en honningfelle ved hjelp av gamle datamaskiner du ikke bruker mer. Når det gjelder programvare, finnes det et antall ferdigskrevne honningfeller fra onlinekilder. Det reduserer arbeidet med å sette opp en honningfelle ytterligere.

Honningfeller har få falske positive. Dette står i sterk kontrast til tradisjonell inntrengingsdeteksjon (Intrusion-Detection Systems – IDS), som kan generere et høyt antall falske varsler. De få falske positive gjør det lettere å prioritere innsatser og begrense honningfellers ressurskrav. (Ved å bruke data innsamlet av honningfeller og sammenholde dem med andre system- og brannmurlogger kan IDS-miljøet konfigureres med mer relevante varsler slik at det genereres færre falske positive. På den måten kan honningfeller bidra til å videreutvikle og forbedre andre cybersikkerhetssystemer.)

Honningfeller kan gi deg pålitelig informasjon om hvordan trusler utvikler seg. De leverer informasjon om angrepsvektorer, sårbarheter og malware, og for e-postfeller også informasjon om spammere og phishingangrep. Hackere forbedrer kontinuerlig sine inntrengingsteknikker. En cyberhonningfelle hjelper deg med å oppdage nye trusler og inntrengingsforsøk. Fornuftig bruk av honningfeller kan også hjelpe deg med å eliminere blindsoner.

Honningfeller er også glimrende opplæringsverktøy for teknisk sikkerhetspersonale. En honningfelle er et kontrollert og sikkert miljø for å vise hvordan angripere arbeider, og studere forskjellige typer trusler. Ved bruk av en honningfelle vil ikke sikkerhetspersonell bli forstyrret av ekte trafikk som bruker nettverket – de vil være i stand til å fokusere 100 % på trusselen.

Honningfeller kan også fange opp interne trusler. De fleste organisasjoner bruker sin tid på å forsvare omkretsen, og sikre at outsidere og inntrengere ikke kan komme inn. Men hvis du bare forsvarer omkretsen, kan alle hackere som har kommet seg forbi brannmuren, gjøre stor skade når de først er på innsiden.

Brannmurer vil heller ikke hjelpe mot en intern trussel – ansatte som ønsker å stjele filer før de slutter i jobben, for eksempel. En honningfelle kan gi deg like god informasjon om interne trusler og vise deg sårbarheter, for eksempel knyttet til tillatelser som lar folk på innsiden utnytte systemet.

Et siste poeng er at ved å sette opp en honningfelle er du faktisk ganske altruistisk, og hjelper andre datamaskinbrukere. Jo lengre tid hackere bruker på honningfeller, desto mindre tid får de til å hacke faktiske systemer og forårsake virkelig skade – for deg eller andre.

Farene ved honningfeller

Selv om honningfellebasert cybersikkerhet vil hjelpe deg med å kartlegge trusselmiljøet, vil honningfeller ikke se alt som skjer – bare aktivitet som er rettet mot honningfellen. Bare fordi en bestemt trussel ikke har vært rettet mot honningfellen, kan du ikke anta at den ikke eksisterer. Det er viktig å følge med på nyheter om IT-sikkerhet, og ikke bare stole på at honningfeller varsler deg om truslene.

En god, riktig konfigurert honningfelle vil lure angripere til å tro at de har fått tilgang til et virkelig system. Det vil ha de samme advarselsmeldingene ved pålogging, de samme datafeltene og til og med samme utseende og logoer som dine virkelige systemer. Hvis en angriper imidlertid klarer å identifisere det som en honningfelle, kan de fortsette med å angripe andre systemer og la honningfellen være.

Så snart en honningfelle er "identifisert", kan en angriper lage etterligningsangrep for å avlede oppmerksomhet fra et virkelig angrep som rettes mot produksjonssystemene dine. De kan også mate falsk informasjon til honningfellen.

Enda verre er det at en smart angriper potensielt kan bruke en honningfelle som en port inn i systemene dine. Det er derfor honningfeller aldri kan erstatte gode sikkerhetskontroller, f.eks. brannmurer og andre systemer for å oppdage inntrenging. Fordi en honningfelle kan fungere som utgangspunkt for ytterligere inntrenging, må alle honningfeller være godt sikret. En "honningmur" kan tilby grunnleggende honningfellesikkerhet og forhindre at angrep rettet mot honningfellen noensinne trenger inn i det faktiske systemet.

En honningfelle bør gi deg informasjon som hjelper deg med å prioritere dine cybersikkerhetstiltak – men den kan ikke erstatte god cybersikkerhet. Uansett hvor mange honningfeller du har bør du vurdere en pakke som Kasperskys Endpoint Security Cloud for å beskytte dine forretningsaktiva. (Kaspersky bruker sine egne honningfeller til å oppdage Internett-trusler, slik at du slipper.)

IoT under angrep: Kaspersky oppdager mer enn 100 millioner angrep på smarte enheter i H1 2019

Hvordan malware trenger inn i datamaskiner og IT-systemer

Hva er nettleserkapring?