Question:
Un pot de miel est-il un moyen de dissuasion efficace contre les pirates informatiques qui réussissent à compromettre votre réseau?
Jason
2014-06-18 00:56:52 UTC
view on stackexchange narkive permalink

Selon Microsoft, l'ajout d'un pot de miel à votre réseau d'entreprise est un moyen efficace de dissuader les pirates de compromettre votre réseau.

Les pots de miel ne sont pas plus à des fins de recherche et non idéal pour les réseaux d'entreprise?

Le fait d'avoir un pot de miel sur votre réseau d'entreprise ne permettrait-il pas à un pirate de mieux maîtriser les attaques?

Plus d'informations:

Principes de base de la sécurité (Microsoft Virtual Academy). Le quiz pour # 4 a fait cette affirmation. J'ai répondu en fonction de ma compréhension dans le domaine de la sécurité et je me suis trompé. D'où ma confusion.

Où Microsoft prétend-il cela? Veuillez publier un lien afin que nous puissions voir le contexte et lire leur raisonnement derrière cette affirmation.
http://www.microsoftvirtualacademy.com/training-courses/security-fundamentals - Le quiz pour # 4 a fait cette affirmation. J'ai répondu sur la base de ma compréhension dans le domaine de la sécurité et je me suis trompé. D'où ma confusion. C'était peut-être juste une faute de frappe?
Je suppose que c'était un choix de mot erroné.
Cette question peut être améliorée en ajoutant une capture d'écran et / ou l'élément de quiz à cette question.
@Cupcake Alors, qu'attendez-vous?
[Microsoft a 1 million de serveurs, même si personne ne semble savoir pourquoi] (https://what-if.xkcd.com/63/) - hé, maintenant je sais!
Cinq réponses:
LSerni
2014-06-18 01:24:05 UTC
view on stackexchange narkive permalink

Déployer un pot de miel n'est pas sans rappeler l'ajout d'une porte peinte ou d'un faux coffre-fort à un coffre-fort de banque.

Cela ne dissuade personne (son objectif n'est pas pour être détecté comme un pot de miel). Peut-être quelqu'un a mal orthographié detect

Cela peut réduire (quelque peu) le temps passé par les attaquants contre la vraie porte. Pas de beaucoup.

De plus, il peut être optimisé pour la collecte de données (de manière simpliste, vous savez que personne n'utilisera jamais les services sur le pot de miel, vous pouvez donc tous les régler pour "tout enregistrer en haut volume paranoïde dump dump dump ". L'efficacité du service va au diable, mais dès que quelqu'un tente quoi que ce soit, vous n'avez besoin de rien deviner. > De plus, vous pouvez corréler ce qui se passe sur le pot de miel avec ce qui se passe dans le reste du réseau. Le pot de miel vous dira ce qui se cache derrière ce que les autres machines rapportent comme un bruit inhabituel mais aléatoire. ".

Enfin, le pot de miel peut apparemment permettre à une attaque de réussir, afin que vous puissiez collecter encore plus de données. Exemple: l'attaquant gagne un shell racine sur le pot de miel. Il procède au téléchargement d'outils plus sophistiqués. Vous avez maintenant au moins une copie de ces outils ainsi qu'une idée de l'endroit où il les a téléchargés.

(Si vous avoir le temps de t'écraser la connexion d'une manière pas trop suspecte et laissez-le se reconnecter plus tard après avoir ajouté une instrumentation appropriée à ses outils, qui ne sont plus les siens).

Vous pouvez déterminer s'il est juste un enfant de script à la recherche de certains warez rebondissent, ou quelqu'un qui a activement ciblé votre réseau. Même en évitant le pot de miel, il vous dira quelque chose qui vaut la peine d'être connu.

Mais à peu près rien de ce qui précède n'est gratuit ; il ne fonctionnera pas non plus par lui-même. Vous avez besoin de quelqu'un qui gère en permanence (normalement à un niveau très bas, mais continuellement et toujours prêt à escalader) le pot de miel. Le pot de miel doit être entretenu et mis à jour, tout autant (peut-être beaucoup plus ) que les autres boîtes.

Vous devez décider si le gain en vaut la peine, et si vous pouvez investir dans la douleur nécessaire.

Simplement "ajouter un pot de miel" ne fera rien pour augmenter la sécurité du réseau; au contraire, cela engendrera un peu de fausse sécurité, et peut-être une faille de sécurité si le pot de miel n'est pas aussi bien isolé et blindé que vous le pensiez; il pourrait également attirer plus d'attention que s'il n'y était pas, s'il offre des services ou des vulnérabilités que les autres machines ne partagent pas.

schroeder
2014-06-18 01:05:44 UTC
view on stackexchange narkive permalink

Les pots de miel ne sont pas un contrôle dissuasif, ils sont un contrôle détective. En tant que tels, ils peuvent être très puissants dans les réseaux de production d'entreprise.

Je lance de nombreux pots de miel et ils fournissent un ensemble de données utiles en dehors de IDS / IPS. Ils peuvent me dire l'intention d'une attaque active, la sophistication d'une attaque et tout contact avec un pot de miel indique un événement grave. Parfois, je vois ce que les gens «regardent» de toute évidence, et d'autres fois, je vois des attaques très complexes et planifiées. Les deux doivent être traités et je sais comment appliquer sérieusement des ressources pour enquêter.

Les pots de miel correctement configurés et sécurisés ne permettent pas aux attaquants de pivoter vers d'autres actifs (bien que certains puissent faire croire à l'attaquant qu'ils le sont!) .

Il est également vrai que les pots de miel peuvent être utilisés pour la recherche. Je dirige mon propre pot de miel dans ce but précis. Mais, en tant que contrôle de détection peu coûteux, il ajoute de la profondeur à ce qui n'est généralement vu que dans les journaux et les traces de paquets.

Dubu
2014-06-18 13:20:10 UTC
view on stackexchange narkive permalink

La question m'a rappelé un article d'un passé pas si lointain qui m'a surpris avec une affirmation similaire. J'ai pu le retrouver, c'était " 5 raisons pour lesquelles chaque entreprise devrait avoir un pot de miel" sur Dark Reading d'octobre 2013. En résumé, leurs cinq raisons sont:

  1. Les attaquants testent leurs outils contre un logiciel anti-malware standard, donc un pot de miel en tant que système avec peu de faux positifs sera bon pour détecter les attaques.
  2. Les pots de miel peuvent ralentir les attaquants en installant des leurres et en les distrayant des cibles réelles.
  3. Les honeypots de production ne nécessitent pas beaucoup de temps (par rapport aux honeypots de recherche) à moins qu'une alerte ne soit déclenchée.
  4. Les honeypots aident à former l'équipe de sécurité.
  5. Les pots de miel sont pas cher à mettre en place, car il existe de nombreux outils gratuits.

Je ne suis pas vraiment d'accord avec toutes leurs raisons. En fait, le seul convaincant pour moi est le n ° 4. Le numéro 2 peut être valide, mais nécessite une configuration sophistiquée et probablement coûteuse ou uniquement des attaquants inexpérimentés. Sinon, ils pourraient très bientôt regarder derrière le rideau et chercher les vrais atouts (peut-être même en exploitant une faiblesse du logiciel honeypot lui-même).

abhinav singh
2014-06-18 06:35:17 UTC
view on stackexchange narkive permalink

Les pots de miel ne sont pas un mécanisme défensif. Ils sont un support qui peut émuler votre réseau et peut vous aider à identifier les menaces potentielles sur votre réseau. La configuration de pots de miel dans les réseaux d'entreprise peut vous donner un aperçu de toutes les attaques dirigées contre votre entreprise. Sur la base des résultats capturés dans votre pot de miel, vous pouvez renforcer davantage les mécanismes de défense de votre organisation.

Votre réponse est correcte, sauf pour la première phrase. Les pots de miel ** sont ** un mécanisme défensif. La défense est tout autour de la détection et de l'alerte.
Karl Bielefeldt
2014-06-19 00:58:27 UTC
view on stackexchange narkive permalink

Bien que son objectif principal soit la détection et l'atténuation, je peux voir comment cela agirait également comme un moyen de dissuasion, si l'attaquant avait des soupçons raisonnables que vous utilisez des pots de miel, mais n'avait pas de moyen de déterminer exactement où. La question de savoir si une machine spécifique est un pot de miel doit être gardée secrète, mais il y a peu de risque à révéler le fait que certaines de vos machines parmi des centaines sont des pots de miel. Pour les gouvernements, les grandes entreprises et les petites entreprises sensibles à la sécurité, vous supposeriez quasiment qu'ils utilisent des pots de miel.

Pensez-y de cette façon. Toutes choses étant égales par ailleurs, si vous aviez le choix entre attaquer une installation qui a probablement des pots de miel et une qui n'en a probablement pas, laquelle choisiriez-vous? Bien sûr, ce n'est pas un très grand facteur de dissuasion, mais qu'est-ce que c'est?



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...