Honeypots de olho na empresa

ID do Artigo: 2371

Introduo
Definies
Como os honeypots funcionam
Vantagens dos Honeypots
Como os honeypots aumentam o IDS
Concluso
A tecnologia dos sistemas de deteco de intruses baseados em dissimulao, ou "honeypots", vem
evoluindo cada vez mais. Utilizados inicialmente por pesquisadores como uma forma de atrair
hackers a um sistema de rede, para que seus movimentos e comportamentos pudessem ser
estudados, os honeypots hoje passam a representar um importante papel na segurana corporativa.
Proporcionando a deteco preventiva de atividades de rede no autorizadas, os honeypots hoje so
muito importantes para os profissionais de segurana de TI. Este artigo analisa como os honeypots
funcionam e como a sua tecnologia est emergindo como um componente-chave no uso de camadas
para a proteo contra intruses.
Definies
O primeiro passo para entender os honeypots a definio do que eles so. Um honeypot
geralmente um sistema que colocado em uma rede para que possa ser sondado e atacado.
Como o honeypot no possui nenhum valor produtivo, no h nenhum uso "legtimo" para ele. Isso
significa que qualquer interao com o honeypot, como uma sondagem ou verificao, pode ser, a
princpio, suspeita.
Em geral, existem dois tipos de honeypots: o de produo e o de pesquisa:

Honeypots de pesquisa Os honeypots de pesquisa tm despertado muita ateno, pois so

usados para obter informaes sobre as aes de intrusos. O Honeynet Project, por
exemplo, uma organizao voluntria de pesquisa de segurana que utiliza os honeypots
para coletar informaes sobre ataques cibernticos.

Honeypots de produo Os honeypots de produo tm despertado menos ateno,

apesar de serem utilizados para proteger as empresas. Porm, cada vez mais os honeypots
vm sendo reconhecidos pela capacidade de deteco que podem proporcionar e pelas
maneiras com que suplementam a proteo contra intruses baseadas na rede e no host.

Como os honeypots funcionam

Os honeypots podem tambm ser descritos como de alta ou baixa interao, uma distino baseada
no nvel de atividade que o honeypot permite a um agressor. Um sistema de baixa interao oferece
atividades limitadas; na maioria dos casos funciona atravs de servios de emulao e sistemas
operacionais. Uma das principais vantagens dos honeypots de baixa interao que eles so
relativamente fceis de implementar e manter, alm de representarem um risco mnimo, pois um
agressor nunca tem acesso a um sistema operacional real para que possa danificar os sistemas de
seus usurios.
O "Honeyd" um exemplo de um honeypot de baixa interao, sendo que sua funo principal
monitorar o espao de endereos IPs no utilizados. Quando o Honeyd encontra uma tentativa de
conexo a um sistema que no existe, ele intercepta a conexo e interage com o agressor, posandose de vtima, alm de capturar e registrar o ataque.
Por outro lado, os honeypots de alta interao envolvem sistemas operacionais e aplicativos reais, e
nada emulado. Ao permitir que os agressores interajam com sistemas reais, as empresas podem
aprender muito sobre seu comportamento. Os honeypots de alta interao no fazem nenhuma
suposio sobre o comportamento de um agressor, e podem fornecer um ambiente que rastreia

todas as atividades. Isso permite que as empresas conheam comportamentos aos quais, do
contrrio, no teriam acesso.
Os sistemas de alta interao so tambm flexveis e os profissionais de segurana de TI podem
implement-los como desejarem. Alm disso, esse tipo de honeypot fornece um alvo mais realista,
capaz de detectar um calibre mais alto de um agressor. Os honeypots de alta interao podem ser
complexos para implementar, e requerem que tecnologias adicionais sejam implementadas para
evitar que os agressores utilizem os honeypots para iniciar ataques em outros sistemas.
O Symantec Decoy Server e o Honeynet Project so exemplos de honeypots de alta interao.
Vantagens dos Honeypots
Os especialistas de segurana afirmam que os honeypots podem obter sucesso em reas onde os
IDSs tradicionais so procurados. Especialmente nas situaes a seguir:

Excesso de dados Um dos problemas comuns com o IDS tradicional que eles geram um
volume enorme de alertas. Esse excesso de alertas resulta em gasto de tempo e recursos,
alm de encarecer tambm a reviso de dados. Por outro lado, os honeypots coletam dados
somente quando algum interage com eles. Pequenos conjuntos de dados tornam simples e
econmicas a identificao de atividades no autorizadas e as aes a serem tomadas.

Falsos positivos. Um dos maiores problemas do IDS que muitos dos alertas gerados so
falsos. Falsos positivos representam um grande problema at mesmo para as empresas que
gastam muito tempo ajustando seus sistemas. Se um IDS cria falsos positivos
continuamente, os administradores podem passar a ignor-los. Os honeypots evitam esse
problema, pois todas as atividades com eles sero, por padro, no autorizadas. Isso permite
que as empresas reduzam ou eliminem os alertas falsos.

Falsos negativos. As tecnologias IDS podem tambm encontrar dificuldades na

identificao de ataques ou comportamentos desconhecidos. Assim, tambm, qualquer
atividade com um honeypot considerada anormal, destacando quaisquer ataques novos ou
conhecidos.

Recursos. Um IDS necessita de hardware com muitos recursos para acompanhar o trfego
de rede de uma empresa. medida que uma rede aumenta sua velocidade e gera mais
dados, o IDS deve se tornar maior para que possa acompanh-la. (O gerenciamento de
todos os dados tambm requer muitos recursos.) Os honeypots necessitam de recursos
mnimos, mesmo em redes de grande porte. De acordo com Lance Spitzner, fundador do
Honeynet Project, um nico computador Pentium com 128MB de RAM pode ser usado para
monitorar milhes de endereos IP.

Criptografia. Cada vez mais empresas esto criptografando todos os seus dados, devido
aos problemas de segurana ou s regulamentaes (como HIPAA). No portanto surpresa
que mais agressores tambm utilizem a criptografia. Isso compromete a habilidade de um
IDS de monitorar o trfego da rede. Com um honeypot, independente de um agressor utilizar
criptografia, as atividades ainda assim sero capturadas.

Como os honeypots aumentam o IDS

A evoluo dos honeypots pode ser entendida atravs da observao das maneiras como esses
sistemas so utilizados juntamente com os IDSs para evitar, detectar e ajudar a responder aos
ataques. Os honeypots esto, com certeza, encontrando seu lugar junto s solues de proteo
contra intruses baseadas em rede ou em host.
Os honeypots podem evitar ataques de vrias maneiras. A primeira atravs da reduo ou
interrupo de ataques automticos, como worms ou auto-rooters. Esses so ataques que
aleatoriamente verificam toda a rede procura de sistemas vulnerveis. (Os honeypots utilizam uma
variedade de truques de TCP para colocar o agressor em um "padro pendente".) A segunda maneira

 a deteno de ataques humanos, em que os honeypots tentam distrair um agressor, fazendo com
que prestem ateno s atividades que no causam perdas ou danos, permitindo que as empresas
tenham tempo para responder ao ataque e bloque-lo.
Conforme vimos acima, os honeypots podem fornecer deteco preventiva de ataques atravs da
abordagem de problemas associados com IDSs tradicionais, como falsos positivos e a incapacidade
de detectar novos tipos de ataques, ou ataques no dia zero. Alm disso, os honeypots so cada vez
mais utilizados para detectar ataques internos, que so normalmente mais sutis (e causam mais
prejuzo) do que os ataques externos.
Os honeypots vm ainda ajudando as empresas a responder a ataques. A anlise de um sistema de
produo atacado por hackers pode ser difcil, pois no fcil discernir entre atividades dirias de
rotina e atividades de agressores. Como os honeypots capturam somente as atividades no
autorizadas, eles podem ser muito eficazes como uma ferramenta de respostas a incidentes, porque
podem ser colocados off-line para anlise, sem afetar as operaes de negcios. Os honeypots mais
recentes apresentam mecanismos de resposta mais fortes, inclusive o recurso de encerrar sistemas
com base nas atividades do agressor e polticas baseadas em freqncia, que permitem aos
administradores de segurana controlar as aes de um agressor no honeypot.
Concluso
Como todas as tecnologias, os honeypots tambm tm seus problemas, sendo que o maior deles o
seu limitado campo de viso. Os honeypots s capturam as atividades direcionadas contra eles e no
detectam ataques contra outros sistemas.
Por essa razo, os especialistas de segurana no recomendam que esses sistemas substituam as
tecnologias de segurana j existentes, mas vm os honeypots como uma tecnologia complementar
de rede e de proteo contra intruses baseadas em host.
As vantagens trazidas pelos honeypots s solues de proteo contra intruses so difceis de
serem ignoradas, principalmente agora que os honeypots de proteo esto comeando a ser
implementados. Com o tempo, medida que as implementaes se proliferarem, os honeypots
podero se tornar um elemento essencial nas operaes de uma empresa no nvel corporativo.

http://www.symantec.com/region/br/enterprisesecurity/content/framework/BR_23
71.html