Академический Документы
Профессиональный Документы
Культура Документы
ID do Artigo: 2371
Introduo
Definies
Como os honeypots funcionam
Vantagens dos Honeypots
Como os honeypots aumentam o IDS
Concluso
A tecnologia dos sistemas de deteco de intruses baseados em dissimulao, ou "honeypots", vem
evoluindo cada vez mais. Utilizados inicialmente por pesquisadores como uma forma de atrair
hackers a um sistema de rede, para que seus movimentos e comportamentos pudessem ser
estudados, os honeypots hoje passam a representar um importante papel na segurana corporativa.
Proporcionando a deteco preventiva de atividades de rede no autorizadas, os honeypots hoje so
muito importantes para os profissionais de segurana de TI. Este artigo analisa como os honeypots
funcionam e como a sua tecnologia est emergindo como um componente-chave no uso de camadas
para a proteo contra intruses.
Definies
O primeiro passo para entender os honeypots a definio do que eles so. Um honeypot
geralmente um sistema que colocado em uma rede para que possa ser sondado e atacado.
Como o honeypot no possui nenhum valor produtivo, no h nenhum uso "legtimo" para ele. Isso
significa que qualquer interao com o honeypot, como uma sondagem ou verificao, pode ser, a
princpio, suspeita.
Em geral, existem dois tipos de honeypots: o de produo e o de pesquisa:
todas as atividades. Isso permite que as empresas conheam comportamentos aos quais, do
contrrio, no teriam acesso.
Os sistemas de alta interao so tambm flexveis e os profissionais de segurana de TI podem
implement-los como desejarem. Alm disso, esse tipo de honeypot fornece um alvo mais realista,
capaz de detectar um calibre mais alto de um agressor. Os honeypots de alta interao podem ser
complexos para implementar, e requerem que tecnologias adicionais sejam implementadas para
evitar que os agressores utilizem os honeypots para iniciar ataques em outros sistemas.
O Symantec Decoy Server e o Honeynet Project so exemplos de honeypots de alta interao.
Vantagens dos Honeypots
Os especialistas de segurana afirmam que os honeypots podem obter sucesso em reas onde os
IDSs tradicionais so procurados. Especialmente nas situaes a seguir:
Excesso de dados Um dos problemas comuns com o IDS tradicional que eles geram um
volume enorme de alertas. Esse excesso de alertas resulta em gasto de tempo e recursos,
alm de encarecer tambm a reviso de dados. Por outro lado, os honeypots coletam dados
somente quando algum interage com eles. Pequenos conjuntos de dados tornam simples e
econmicas a identificao de atividades no autorizadas e as aes a serem tomadas.
Falsos positivos. Um dos maiores problemas do IDS que muitos dos alertas gerados so
falsos. Falsos positivos representam um grande problema at mesmo para as empresas que
gastam muito tempo ajustando seus sistemas. Se um IDS cria falsos positivos
continuamente, os administradores podem passar a ignor-los. Os honeypots evitam esse
problema, pois todas as atividades com eles sero, por padro, no autorizadas. Isso permite
que as empresas reduzam ou eliminem os alertas falsos.
Recursos. Um IDS necessita de hardware com muitos recursos para acompanhar o trfego
de rede de uma empresa. medida que uma rede aumenta sua velocidade e gera mais
dados, o IDS deve se tornar maior para que possa acompanh-la. (O gerenciamento de
todos os dados tambm requer muitos recursos.) Os honeypots necessitam de recursos
mnimos, mesmo em redes de grande porte. De acordo com Lance Spitzner, fundador do
Honeynet Project, um nico computador Pentium com 128MB de RAM pode ser usado para
monitorar milhes de endereos IP.
Criptografia. Cada vez mais empresas esto criptografando todos os seus dados, devido
aos problemas de segurana ou s regulamentaes (como HIPAA). No portanto surpresa
que mais agressores tambm utilizem a criptografia. Isso compromete a habilidade de um
IDS de monitorar o trfego da rede. Com um honeypot, independente de um agressor utilizar
criptografia, as atividades ainda assim sero capturadas.
a deteno de ataques humanos, em que os honeypots tentam distrair um agressor, fazendo com
que prestem ateno s atividades que no causam perdas ou danos, permitindo que as empresas
tenham tempo para responder ao ataque e bloque-lo.
Conforme vimos acima, os honeypots podem fornecer deteco preventiva de ataques atravs da
abordagem de problemas associados com IDSs tradicionais, como falsos positivos e a incapacidade
de detectar novos tipos de ataques, ou ataques no dia zero. Alm disso, os honeypots so cada vez
mais utilizados para detectar ataques internos, que so normalmente mais sutis (e causam mais
prejuzo) do que os ataques externos.
Os honeypots vm ainda ajudando as empresas a responder a ataques. A anlise de um sistema de
produo atacado por hackers pode ser difcil, pois no fcil discernir entre atividades dirias de
rotina e atividades de agressores. Como os honeypots capturam somente as atividades no
autorizadas, eles podem ser muito eficazes como uma ferramenta de respostas a incidentes, porque
podem ser colocados off-line para anlise, sem afetar as operaes de negcios. Os honeypots mais
recentes apresentam mecanismos de resposta mais fortes, inclusive o recurso de encerrar sistemas
com base nas atividades do agressor e polticas baseadas em freqncia, que permitem aos
administradores de segurana controlar as aes de um agressor no honeypot.
Concluso
Como todas as tecnologias, os honeypots tambm tm seus problemas, sendo que o maior deles o
seu limitado campo de viso. Os honeypots s capturam as atividades direcionadas contra eles e no
detectam ataques contra outros sistemas.
Por essa razo, os especialistas de segurana no recomendam que esses sistemas substituam as
tecnologias de segurana j existentes, mas vm os honeypots como uma tecnologia complementar
de rede e de proteo contra intruses baseadas em host.
As vantagens trazidas pelos honeypots s solues de proteo contra intruses so difceis de
serem ignoradas, principalmente agora que os honeypots de proteo esto comeando a ser
implementados. Com o tempo, medida que as implementaes se proliferarem, os honeypots
podero se tornar um elemento essencial nas operaes de uma empresa no nvel corporativo.
http://www.symantec.com/region/br/enterprisesecurity/content/framework/BR_23
71.html