Honeypot Nedir? Nasıl Çalışır?
Blue Team

Honeypot Nedir? Nasıl Çalışır?

Honeypot Nedir?

Honeypot (Bal küpü), kuruluşunuzda veya belirli bir bilgi sistem ortamında işlem yapılan cihazlarınızın yanına konumlandırılan, yetkisiz kullanıma yönelik girişimleri tespit etmek, saptırmak, saldırılara karşı koymak için ayarlanmış bir bilgisayar güvenlik mekanizmasıdır. Honeypot’lar saldırganlar tarafından savunmasız, çekici hedefler gibi görünecek şekilde tasarlanmıştır ve sistemlerden sorumlu ekiplerin sistemdeki güvenlik yanıtlarını izlemesini, saldırganın yaptığı hareketleri, izlediği yolları tespit ederek saldırgana karşı yeni güvenlik önlemleri geliştirmesidir. Honeypot çözümleri genel olarak gelen ve giden tüm trafiği kontrol eden, belirli filtrelerden geçirip, ağ trafiği içerisindeki zararlı eylemleri durdurmayı amaçlayan firewall (güvenlik duvarı) sistemlerinin arkasına konumlandırılır. Asıl amaç saldırganı önemli sistemlerden uzakta tutup, sahte olan sistemlerde hareket etmesini sağlayarak saldırganın honeypot içerisinde daha fazla zaman geçirmesini, etkinliklerinin yetkililer tarafından izlenmesini sağlamaktır. Dikkat edilmesi gereken bir husus ise saldırganların honeypot’u bir basamak olarak kullanmasını önlemektir. Saldırgan honeypot içerisinden bir zafiyet yardımıyla asıl sistemlere sızabilir bu yüzden önceden tüm güvenlik önlemleri alınmış olmalıdır. 

Nasıl Çalışır?

Siber suçluları kandırmak için meşru bir hedef gibi görünen bal küpü, uygulamalar ve verilerle gerçek bir bilgisayar sistemine benzer. Örneğin kredi kartı numaraları bulmak isteyen suçlular için sık sık saldırı hedefi olan bir şirketin müşteri faturalandırma sistemini taklit edebilir. Korsanlar içeri sızdıktan sonra izlenebilir ve davranışları, gerçek ağın nasıl daha güvenli hale getirileceğine dair ipuçları açısından değerlendirilir. Bal küpleri, kasıtlı güvenlik açıkları oluşturarak saldırganlar için cazip hale getirilir. Örneğin bir bal küpünün, bağlantı noktası taramasına veya zayıf parolalara yanıt veren bağlantı noktaları olabilir. Savunmasız bağlantı noktaları, saldırganları daha güvenli canlı ağ yerine bal küpü ortamına çekmek için açık bırakılabilir. Bir bal küpü, güvenlik duvarı veya antivirüs gibi belirli bir sorunu ele alacak şekilde ayarlanmaz. Bunun yerine, işletmenize yönelik mevcut tehditleri anlamanıza ve ortaya çıkan yeni tehditleri tespit etmenize yardımcı olabilecek bir bilgi aracıdır. Bir bal küpünden elde edilen istihbarat ile güvenliği koruma çabalarına öncelik verilebilir ve odaklanılabilir.

Honeypot Araçları Neledir ?

  • TPOT Honeypot
  • Cowrie Honetpot
  • Django-Honeypot
  • CONPOT (Scada Honeypot)
  • HoneyDrive
  • Miniprint
  • HonTel
  • BlueHive

Honeypot Çeşitleri Nelerdir?

Tam olarak çeşitlendirilemese de honeypotlar yerleşim ve etkileşim seviyelere göre ayrılır.

 Yerleşimlerine göre honeypotlar:

  • Production honeypots
  • Research honeypots

Etkileşim seviyelerine göre bal küpleri:

  • pure honeypots
  • high-interaction honeypots
  • low-interaction honeypots

a) Production Honeypots
Bir sistemin üretim ağı içinde siber güvenlikle ilgili bilgileri toplamak için kullanılan bir honeypot türüdür. Bir kez konuşlandırıldıktan sonra, üretim honeypotu saldırı bekleyecektir. Bir saldırı meydana gelirse, kaynak İnternet Protokolü (IP) adresleri, trafik sıklığı ve hacmi, dizin aksesuarları ve daha fazlası gibi verileri toplayabilir. Production honeypoları genellikle işletmeler ve şirketler tarafından kullanılır.
b) Research Honeypots
Bilgisayar korsanlarının kullandığı belirli yöntemler ve taktikler hakkında bilgi toplamak için kullanılan bir tür honeypottur. Üretim honeypotları gibi, bilgisayar korsanları için hassas ve değerli görünen sahte verilerden oluşurlar. Araştırma bal küpleri ayrıca saldırılar ve güvenlik açıkları hakkında bilgi toplar. Research honeypots genellikle büyük kuruluşlar tarafından tercih edilir ve oldukça karmaşıktır. Karmaşık olması nedeniyle araştırma honeypotlar saldırgan hakkında daha fazla bilgi toplar.
a) Pure Honeypots
Honeypotlar arasında ağ bağlantısını izleyen tam teşekküllü üretim sistemleridir. En karmaşık ve bakımı zor olanlardır.
b) High-Interaction Honeypots
Çeşitli servisler sağlayarak gerçek sistemlerin hareketlerini taklit ederler, böylece saldırganın zamanını harcayabileceği birçok servisi kullanmasına izin verilir. Yüksek etkileşimli honeypotlar, düşük etkileşimli honeypotlara göre daha zor tespit edilebilmektedirler. Fakat maliyet bakımından biraz tuzludur.
c) Low-Interaction Honeypots
Saldırganlar tarafından sık kullanılan servisleri taklit ederler. Yüksek etkileşimli honeypotlara kıyasla az servis kullandıkları için daha az kaynak harcarlar böylelikle birden fazla sanal makine oluşturulabilir.

Honeypot Kullanmanın Avantajları

Honeypotlar büyük sistemlerdeki güvenlik açıklarını ortaya çıkarmanın iyi bir yolu olabilir. Örneğin bir honeypot, IOTİ cihazlarından kaynaklanan yüksek tehdidi gösterebilir. Ayrıca güvenliğin nasıl iyileştirilebileceği yönünde tavsiyeler de verebilir.
Honeypot kullanmak, gerçek sisteme izinsiz girişleri tespit etme konusunda pek çok avantaj sunar. Örneğin bir honeypot doğası gereği hiçbir meşru trafik almamalıdır, bu nedenle kaydedilen tüm etkinliklerin bir yoklama veya saldırı girişimi olması muhtemeldir. Bu, bir ağ taraması yapmak için kullanılan benzer IP adresleri (veya bir ülkeden gelen IP adresleri) gibi kalıpları tespit etmeyi çok daha kolay hale getirir. Buna karşılık, çekirdek ağınızdaki yüksek düzeyde meşru trafiğe bakarken bu tür saldırı belirtilerini fark etmeyebilirsiniz. Bal küpü güvenliğini kullanmanın en büyük avantajı, yalnızca gördüğünüz adreslerin bu kötü amaçlı adresler olabilmesi ve saldırının tespit edilmesini çok daha kolay hale getirmesidir.
Honeypotlar çok sınırlı trafikle uğraştıklarından kaynak kullanımı açısından da hafiftirler. Donanım konusunda büyük taleplerde bulunmazlar; artık kullanmadığınız eski bilgisayarları kullanarak bir honeypot kurmanız mümkündür. Yazılıma gelince, çevrimiçi depolardan bir dizi hazır honeypot temin edilebilir, böylece bir honeypotu çalıştırmak için gerekli olan şirket içi efor da azaltılır.
Honeypotların false pozitif oranı düşüktür. Bu, yüksek düzeyde yanlış uyarılar üretebilen geleneksel izinsiz giriş tespiti sistemlerinin (IDS) tam tersidir. Aynı şekilde, çabaları önceliklendirmeye yardımcı olur ve bir honeytottan gelen kaynak talebini düşük seviyede tutar. (Aslında IDS, honeypot tarafından toplanan veriler kullanılarak ve bunlar diğer sistem ve güvenlik duvarı günlükleriyle ilişkilendirilerek, daha az fasle pozitif üretmesi için daha alakalı uyarılarla yapılandırılabilir. Bu şekilde, honeypotlar diğer siber güvenlik sistemlerini geliştirmeye ve iyileştirmeye yardımcı olabilir.)
Honeytot size tehditlerin nasıl geliştiği konusunda güvenilir bir istihbarat verebilir. Saldırı vektörleri, istismarlar ve kötü amaçlı yazılımlar hakkında (e-posta tuzakları söz konusuysa istenmeyen posta gönderenler ve kimlik avı saldırıları hakkında) bilgi sağlarlar. Korsanlar izinsiz giriş tekniklerini sürekli olarak geliştirirken siber honeypotlar yeni ortaya çıkan tehditleri ve saldırıları tespit etmeye yardımcı olur. Honeypotları verimli kullanarak kör noktaları da yok edebilirsiniz.
Ayrıca teknik güvenlik personeli için harika eğitim araçlarıdır. Bir Honeypot, saldırganların nasıl çalıştığını göstermeye ve farklı tehdit türlerini incelemeye yarayan kontrollü ve güvenli bir ortamdır. Honeypot sayesinde gerçek trafik, ağı kullanan güvenlik personelinin dikkatini dağıtamaz; %100 tehdide odaklanabilirler.
Honeypot iç tehditleri de yakalayabilir. Çoğu kuruluş, zamanını çevre ağı savunmak, yabancıların ve davetsiz misafirlerin içeri girmesini engellemek için harcar. Ancak yalnızca çevre ağı savunursanız, güvenlik duvarınızı başarıyla aşmış bir korsan, artık her türlü zararı vermek için sınırsız yetkiye sahip olur.
Güvenlik duvarları sizi bir iç tehdide (örneğin işinden ayrılmadan önce dosyaları çalmak isteyen bir çalışan) karşı korumaz. Bir honeypot ise size iç tehditler hakkında eşit derecede iyi bilgi verebilir ve içerideki kişilerin sistemden yararlanmasına imkân veren izinler gibi alanlardaki güvenlik açıklarını gösterebilir.
Honeypot kurarak fedakâr davranmış ve diğer bilgisayar kullanıcılarına yardım etmiş olursunuz. Korsanlar honeypotta çaba harcadıkça canlı sistemleri ele geçirmek ve size ya da başkalarına gerçekten zarar vermek için daha az zaman harcarlar.

Honeypotların Tehlikeleri

Honeypot siber güvenliği, tehdit ortamını göstermeye yardımcı olurken, honeypot devam eden her şeyi görmez. Sadece honeypota belirli bir tehdit yönlendirilmediği için tehditlerin var olmadığını varsayamazsınız. Yalnızda tehditleri size bildiren honeypotlara güvenmekle kalmamalı, BT güvenlik haberlerini de takip etmelisiniz.
İyi, düzgün yapılandırılmış bir honeypot, saldırganları gerçek sisteme eriştiklerine inandırır. Aynı giriş uyarısı mesajlarına, aynı veri alanlarına, hatta gerçek sistemlerinizle aynı görünüme logolara sahiptir. Ancak bir saldırgan bunun honeypot  olduğunu tespit ederse, ona dokunmadan diğer sistemlerinize saldırmaya devam edebilir.
honeypota “parmak izi” olduğunda saldırgan, üretim sistemlerinize hedeflenen gerçek bir istismarı gözden kaçırmanız için sahte saldırılar oluşturabilir. Ayrıca honeypota kötü bilgiler de bekleyebilirler.
Daha da kötüsü, akıllı bir saldırgan muhtemelen honeypotu sistemlerinize giden bir yol olarak kullanabilir. Bu nedenle bal küpleri, güvenlik duvarları ve diğer izinsiz giriş algılama sistemleri gibi yeterli güvenlik denetimlerinin yerini alamaz. Bir honeypot daha fazla izinsiz giriş için başlangıç noktası olarak kullanılabilir, bu nedenle tüm honeypotları sağlama aldığınızdan emin olun. Bir temel bal küpü güvenliği sağlayabilir ve bal küpüne yönelik saldırıların canlı sisteminize girmesini önleyebilir.

Yazar: Hasan Öztürk
Etiketler: honeypot,
Blog sayfamız henüz aktif değil!