content/fi-fi/images/repository/isc/2020/how-honeypots-work.jpg

Olet ehkä kuullut termin "hunajapurkki" ja miettinyt, mikä se oikein on ja kuinka se voi parantaa tietokonejärjestelmäsi tietoturvaa. Tässä artikkelissa kerrotaan kaikki tarvittava hunajapurkeista ja niiden tehtävästä kyberturvallisuudessa.

Hunajapurkin määritelmä

Eräs määritelmä tulee vakoilun maailmasta, jossa Mata Harin kaltaiset vakoojat käyttivät viettelyä hyväkseen urkkiessaan vastapuolen salaisuuksia. Tällaista asetelmaa kutsutaan hunaja-ansaksi tai hunajapurkiksi. Hunaja-ansan houkutukseen lankeavaa vihollisvakoojaa voidaan kiristää luovuttamaan kaikki tietonsa.

Tietoturvan maailmassa hunajapurkki toimii samaan tapaan: ansana hakkereille. Hunajapurkki on tietokonejärjestelmä, joka toimii syöttinä kyberhyökkäyksille. Se tekeytyy hakkeroinnin kohteeksi ja käyttää tunkeutumisyrityksiä keinona kerätä tietoja kyberrikollisista ja heidän toimintatavoistaan. Samalla se kääntää hakkereiden huomiota pois muista kohteista.

Näin hunajapurkki toimii

Hunajapurkki näyttää todelliselta tietokonejärjestelmältä ja siinä on sovelluksia ja dataa, minkä vuoksi kyberrikolliset erehtyvät pitämään sitä todellisena kohteena. Hunajapurkki voi esimerkiksi tekeytyä yrityksen laskutusjärjestelmäksi, joka on tavallinen kohde luottokorttinumeroita urkkiville rikollisille. Kun hakkeri pääsee sisään järjestelmään, häntä voidaan jäljittää ja hänen toimiensa perusteella saadaan vihiä siitä, kuinka todellisesta tietoverkosta voitaisiin tehdä turvallisempi.

Hunajapurkeista tehdään houkuttelevia hakkerointikohteita rakentamalla niihin tarkoituksellisesti tietoturvahaavoittuvuuksia. Hunajapurkissa voi esimerkiksi olla portteja, joille voi tehdä porttiskannauksia, tai heikkoja salasanoja. Haavoittuvia portteja voidaan jättää auki hyökkääjien houkuttelemiseksi hunajapurkkiympäristöön paremmin suojatun varsinaisen verkon sijaan.

Hunajapurkkia ei käytetä yksittäisen, esimerkiksi palomuuriin tai virustentorjuntaan liittyvän ongelman selvittämiseen. Kyseessä on tiedonkeruun työkalu, jonka avulla voidaan ymmärtää paremmin nykyisiä uhkia yritykselle sekä tunnistaa uusia nousevia uhkia. Hunajapurkista saatavan tiedon perusteella tietoturvatyötä voidaan priorisoida ja keskittää todellisen tarpeen mukaan.

Erityyppisiä hunajapurkkeja ja niiden toimintaperiaatteita

Erilaisten hunajapurkkien avulla voidaan tunnistaa erityyppisiä uhkia. Hunajapurkkien eri määritelmät perustuvat siihen, millaisten uhkien torjumiseen ne on tarkoitettu. Niillä kaikilla on oma paikkansa toimivassa, perinpohjaisessa kyberturvallisuusstrategiassa.

Sähköpostiansa tai roskapostiansa on kätkössä toimiva valesähköpostiosoite, johon vain automaattiset osoitteenpoimijat löytävät tiensä. Koska osoitetta käytetään vain ja ainoastaan roskapostiansana, kaikki siihen tuleva posti on sataprosenttisen varmasti roskapostia. Näin kaikki viestit, joissa käytetään samaa sisältöä kuin roskapostiansaan tulleissa viesteissä, voidaan torjua automaattisesti, ja lähettäjien lähde-IP-osoite voidaan lisätä estettyjen listalle.

Houkutintietokanta voidaan määrittää seuraamaan ohjelmistojen haavoittuvuuksia ja havaitsemaan hyökkäyksiä, joissa hyödynnetään tietoturvaltaan puutteellista järjestelmäarkkitehtuuria tai käytetään esimerkiksi SQL-injektiota, SQL-palveluiden hyväksikäyttöä ja käyttöoikeuksien väärinkäytöksiä.

Haittaohjelmien hunaja-ansa vetää puoleensa haittaohjelmahyökkäyksiä jäljittelemällä sovelluksia ja ohjelmointirajapintoja. Haittaohjelmien ominaisuuksia voidaan tällöin analysoida, ja tämän perusteella voidaan kehittää haittaohjelmien torjuntaohjelmistoja tai paikata ohjelmointirajapinnan tietoturva-aukkoja.

Hakurobottien hunaja-ansoja käytetään hakurobottien pyydystämiseen. Tämä tapahtuu luomalla verkkosivuja ja linkkejä, joita vain hakurobotit voivat selata. Hakurobotteja tunnistamalla saadaan tietoa siitä, kuinka haitallisia botteja tai mainosverkostojen hakurobotteja voidaan torjua.

Seuraamalla hunajapurkkiin tulevaa liikennettä voit arvioida

  • mistä kyberrikolliset ovat peräisin
  • kuinka merkittävä uhka on kyseessä
  • mitä tekotapaa käytetään
  • mistä tiedoista tai sovelluksista he ovat kiinnostuneet
  • kuinka hyvin käytössä olevat suojauskeinot estävät kyberhyökkäyksiä.

Hunajapurkin tyyppiä määritettäessä tarkastellaan myös sitä, onko kyseessä korkean vuorovaikutuksen vai matalan vuorovaikutuksen hunajapurkki. Matalan vuorovaikutuksen hunajapurkit käyttävät vähemmän resursseja ja keräävät perustason tietoja uhkien vakavuudesta ja alkuperästä. Niitä on helppo perustaa, sillä siihen riittää yleensä tavallinen simuloitu TCP- ja IP-protokolla ja verkkopalvelut. Hunajapurkissa ei kuitenkaan ole mitään, mikä pitäisi hyökkääjän kovin kauan kiinnostuneena, eikä tällainen hunajapurkki tuota perusteellisia tietoja hakkereiden menetelmistä tai monimutkaisista uhkatilanteista ylipäätään.

Korkean vuorovaikutuksen hunajapurkeilla pyritään puolestaan siihen, että hakkeri viettää hunajapurkissa mahdollisimman paljon aikaa. Näin saadaan rutkasti tietoa hakkerin aikeista, kohteista ja menetelmistä sekä haavoittuvuuksista, joita hän hyödyntää. Hunajapurkissa on ikään kuin enemmän tarttumapintaa – tietokantoja, järjestelmiä ja prosesseja, jotka pitävät hakkerin työn touhussa huomattavasti pidempään. Näin tutkijat voivat jäljittää, kuinka hakkeri etenee järjestelmässä etsiessään luottamuksellista tietoa, mitä keinoja hän käyttää oikeuksien laajentamiseen tai mitä järjestelmän haavoittuvuuksia hyödyntäviä menetelmiä hän käyttää.

why honeypots are used for cybersecurity

Korkean vuorovaikutuksen hunajapurkit ovat kuitenkin resurssisyöppöjä. Niiden määrittäminen ja valvonta vie huomattavasti enemmän aikaa. Niihin voi myös liittyä riskejä; jos hunajapurkkia ei suojata honeywall-palomuurilla, ovela ja periksiantamaton hakkeri saattaa valjastaa korkean vuorovaikutuksen hunajapurkin muihin Internet-isäntiin kohdistuviin hyökkäyksiin tai murretulta koneelta tapahtuvaan roskapostitukseen.

Molemmilla hunajapurkkityypeillä on paikkansa kyberturvallisuudessa. Voit esimerkiksi täydentää matalan vuorovaikutuksen hunajapurkista saatavaa eri uhkatyyppejä koskevaa perustietoa korkean vuorovaikutuksen hunajapurkin tiedoilla, jotka koskevat hakkereiden aikeita, tietoliikennettä sekä haavoittuvuuksia hyödyntäviä menetelmiä.

Hunajapurkkien avulla yritys voi rakentaa eräänlaisen kyberuhkien tiedustelujärjestelmän, jonka tuottaman tiedon perusteella kyberturvallisuuden investoinnit voidaan kohdistaa oikein ja verkon tietoturva-aukkoja ja heikkouksia selvittää.

Hunajapurkkien käyttämisen hyödyt

Hunajapurkki voi olla hyvä tapa selvittää tärkeiden järjestelmien haavoittuvuuksia ja tietoturva-aukkoja. Hunajapurkin avulla voidaan esimerkiksi löytää korkean tason uhkia, joita IoT-laitteisiin kohdistuvat hyökkäykset aiheuttavat. Hunajapurkin avulla voidaan myös saada vihiä siitä, kuinka tietoturvaa voitaisiin parantaa.

Hunajapurkista on monenlaista etua verrattuna siihen, että merkkejä tunkeutumisesta haravoitaisiin todellisesta järjestelmästä. Hunajapurkki on määritelmällisesti sellainen, että siihen ei pitäisi kohdistua oikeaa liikennettä. Kaikki tapahtumat ovat siis todennäköisesti tunnusteluja tai tunkeutumisyrityksiä.

Tämä helpottaa huomattavasti toistuvuuksien hahmottamista – esimerkiksi tilanteita, joissa samantyyppisiä (tai alkuperämaaltaan samoja) IP-osoitteita käytetään tietoverkon tunnusteluun. Tällaiset selkeätkin merkit tai hyökkäykset hukkuvat kuitenkin helposti ydinverkon muuhun liikenteeseen, kun myös todellista liikennettä on valtavasti. Kun tietoturvassa käytetään hunajapurkkia, haittatarkoituksessa käytettävät osoitteet saattavat olla ainoita osoitteita, jolloin hyökkäys on huomattavasti helpompi tunnistaa.

Koska liikenteen määrä hunajapurkeissa on vähäinen, ne eivät juuri myöskään kuluta resursseja. Myös laitteistovaatimukset ovat vaatimattomat. Hunajapurkin voi perustaa vaikka vanhaan tietokoneeseen, jolle ei enää ole muuta käyttöä. Verkkokirjastoissa on useita valmiiksi ohjelmoituja hunajapurkkeja, ja myös tämä on omiaan vähentämään omien resurssien tarvetta hunajapurkin käyttöönotossa.

Hunajapurkit eivät myöskään juuri anna vääriä hälytyksiä. Ero on merkittävä verrattuna perinteisiin tunkeutumisia tunnistaviin järjestelmiin, jotka voivat tuottaa huomattavan määrän vääriä hälytyksiä. Myös tämä helpottaa työn priorisointia ja pitää hunajapurkin resurssitarpeen vähäisenä. (Kun hunajapurkkien keräämää tietoa käytetään ja verrataan muihin järjestelmä- ja palomuurilokeihin, tunkeutumisia tunnistavaan järjestelmään voidaan määrittää tarkoituksenmukaisempia hälytysperiaatteita ja näin vähentää väärien hälytysten määrää. Hunajapurkkien avulla voidaan siis tarkentaa ja parantaa muiden kyberturvallisuusjärjestelmien toimintaa.)

pros and cons of honey pots

Hunajapurkista voi saada luotettavaa tietoa siitä, kuinka uhkat kehittyvät. Ne antavat tietoa hyökkäysvektoreista, haavoittuvuuksia hyödyntävistä menetelmistä sekä haittaohjelmista. Roskapostiansat puolestaan antavat tietoa roskapostittajista ja tietojenkalasteluhyökkäyksistä. Hakkerit parantelevat tunkeutumismenetelmiään jatkuvasti, mutta hunajapurkin avulla voidaan havaita nousevia uhkia ja uudenlaisia tunkeutumistapoja. Hunajapurkkeja voidaan käyttää myös niin kutsuttujen kuolleiden kulmien poistamiseen.

Ne ovat myös erinomaisia opetustyökaluja tietoturvahenkilöstön kouluttamiseen. Hunajapurkki on hallittu ja turvallinen ympäristö, jossa voidaan havainnollistaa hakkereiden työskentelytapoja ja tutkia erityyppisiä uhkia. Hunajapurkin ansiosta verkon todellinen liikenne ei ole tietoturvahenkilöstön tiellä, vaan he voivat keskittyä sataprosenttisesti varsinaiseen uhkaan.

Hunajapurkkien avulla voidaan torjua myös sisäisiä uhkia. Useimmat organisaatiot panostavat tietoverkon äärialueiden suojaukseen ja huolehtivat siitä, että ulkopuoliset ja tunkeilijat eivät pääse sisään. Mutta jos vain äärialueet suojataan, palomuurin läpäisseellä hakkerilla on vapaat kädet tehdä niin paljon vahinkoa kuin mieli tekee.

Palomuureista ei myöskään ole hyötyä sisäisiä uhkia vastaan – esimerkiksi työntekijää, joka haluaa varastaa tiedostoja ennen irtisanoutumista. Hunajapurkin avulla voit niin ikään saada hyvää tietoa sisäisistä uhkista sekä osoittaa haavoittuvuuksia – esimerkiksi käyttöoikeuksiin liittyviä ongelmia, joiden avulla yhtiön sisäiset toimijat voivat hyödyntää järjestelmää.

Hunajapurkki on aina myös epäitsekäs teko, sillä autat samalla muita tietokoneiden käyttäjiä. Mitä enemmän hakkeri käyttää aikaa hunajapurkissa, sitä vähemmän hän ehtii hakkeroida todellisia järjestelmiä ja aiheuttaa todellista vahinkoa – sinulle tai muille.

Hunajapurkkien vaarat

Vaikka kybersuojaukseen valjastettu hunajapurkki auttaakin kartoittamaan tietoturvaympäristön uhkia, se ei kuitenkaan havaitse kaikkea – ainoastaan hunajapurkkiin kohdistuvan aktiviteetin. Hunajapurkki ei sulje pois sellaisten uhkien mahdollisuuksia, joita hunajapurkkiin ei ole kohdistunut. Siksi on tärkeää pysytellä IT-tietoturva-asioissa ajan tasalla eikä laskea uhkien kartoittamisessa pelkästään hunajapurkkien varaan.

Toimiva ja oikein määritetty hunajapurkki huijaa hyökkääjän uskomaan, että hän on päässyt sisään todelliseen järjestelmään. Siinä on samat kirjautumista koskevat varoitusviestit, samat tietokentät ja jopa sama yleisilme ja logot kuin todellisissa järjestelmissäsi. Jos hyökkääjä kuitenkin onnistuu tunnistamaan järjestelmän hunajapurkiksi, hän voi kohdistaa hyökkäyksen muihin järjestelmiisi ja jättää hunajapurkin rauhaan.

Kun hunajapurkki on tunnistettu, hyökkääjä voi luoda tekaistuja hyökkäyksiä ja kääntää näin huomion pois todellisesta hyökkäyksestä, jossa hän hyödyntääkin todellisten tuotantojärjestelmiesi haavoittuvuutta. Hän voi myös syöttää hunajapurkkiin väärää tietoa.

Mikä pahinta, taitava hyökkääjä voi jopa käyttää hunajapurkkia väylänä järjestelmiisi. Siksi hunajapurkki ei koskaan voi korvata normaaleja tietoturvatoimia, kuten palomuureja ja muita tunkeutumisen havaitsemiseen käytettäviä järjestelmiä. Koska hunajapurkki voi toimia ponnahduslautana jatkossa tapahtuvalle tunkeutumiselle, huolehdi siitä, että kaikki hunajapurkit on suojattu hyvin. Niin kutsuttu honeywall-palomuuri voi antaa perustason suojauksen ja estää hunajapurkkiin kohdistuvia hyökkäyksiä leviämästä varsinaiseen järjestelmääsi.

Hunajapurkin pitäisi antaa sinulle tietoa siitä, kuinka kyberturvallisuustyö kannattaa priorisoida. Hunajapurkki ei kuitenkaan ole hyvän kyberturvallisuuden korvike. Voit käyttää yrityksen omaisuuden suojaamiseen esimerkiksi Kasperskyn Endpoint Security Cloudia tai vastaavaa ratkaisua – riippumatta siitä, kuinka monta hunajapurkkia sinulla on käytössäsi. (Kaspersky käyttää omia hunajapurkkejaan Internet-uhkien tunnistamiseen, jotta sinun ei tarvitse tehdä sitä itse.)

Hunajapurkkien käytön hyödyt ovat kuitenkin selvästi riskejä suurempia. Hakkereita pidetään usein kaukaisina, näkymättöminä uhkina. Hunajapurkkien avulla näet kuitenkin tarkkaan ja reaaliajassa, mitä he tekevät, ja saamiesi tietojen avulla voit estää hakkereita pääsemästä käsiksi havittelemiinsa tietoihin.

Aiheeseen liittyviä linkkejä

Esineiden Internet (IoT) hyökkäyksen kohteena:Kaspersky havaitsi yli 100 miljoonaa älylaitteisiin kohdistunutta hyökkäystä vuoden 2019 ensimmäisellä puoliskolla

Näin haittaohjelmat tunkeutuvat tietokoneisiin ja IT-järjestelmiin

Mikä on selaimen kaappaus?

Mitä hunajapurkilla tarkoitetaan?

Mitä hunajapurkilla tarkoitetaan? Lue lisää hunajapurkeista, niiden käyttämisestä "ansoina" kyberhyökkääjille sekä siitä, kuinka voit parantaa tietokoneesi suojausta.
Kaspersky Logo