Selam dostlar, bu konuda sizlere honeypot sistemlerinden bahsedeceğim. Faydalı olması dileğiyle...
Honeypot
Honeypot, siber saldırganları kendine çekmek, bilgisayar korsanlığı girişimlerini tespit etmek, saptırmak ve incelemek için tuzak olarak kurulmuş sistemlerdir. Bir honeypot' un işlevi, kendisini internette saldırganlar için potansiyel bir hedef olarak tanıtmak, bilgi toplamak ve yetkisiz kullanıcılar tarafından honeypot erişim girişimleri hakkında yöneticileri bilgilendirmektir.
Honeypot Nasıl Çalışır?
Genel olarak, bir honeypot işlemi, finansal sistem, IoT cihazları, kamu hizmeti veya bir ulaşım ağı gibi saldırganlar için çekici olabilecek gerçek bir sistemin davranışını simüle eden bilgisayar, uygulamalar ve verilerden oluşur. Bir ağın parçası gibi görünür, ancak gerçekte izole edilir ve yakından izlenir. Siber suçlular bal küplerini ele geçirebilir ve bunları dağıtan kuruluşa karşı kullanabilir. Siber suçluların, araştırmacılar veya kuruluşlar hakkında istihbarat toplamak, tuzak görevi görmek ve yanlış bilgi yaymak için bal küplerini kullandığı da biliniyor. Sanal makineler genellikle honeypotları barındırmak için kullanılır. Bu şekilde, kötü amaçlı yazılım tarafından ele geçirilirlerse, h hızla geri yüklenebilir. Bir ağdaki iki veya daha fazla honeypot bir honey ağını oluşturur.
Honeypot Ne İçin Kullanılır?
Honeypot'lar, ağın yasal bir parçası gibi göründükleri için erişmeleri için kandırılan yetkisiz ve davetsiz misafirlerden bilgi toplamak için kullanılır. Güvenlik ekipleri, ağ savunma stratejilerinin bir parçası olarak bu tuzakları kullanır. Honeypot'lar ayrıca siber saldırganların davranışlarını ve ağlarla etkileşim yollarını araştırmak için de kullanılır. Honeypot'lar her zaman bir güvenlik önlemi olarak kullanılmaz. Bilgisayar korsanları da dahil olmak üzere herkes bunları ağ keşfi için kullanabilir.
Honeypot Yasa Dışı Mı?
Kişisel verileri toplayıp analiz edebilen honeypot gibi sistemlerle ilgili yasal ve etik hususları tartmak iyi olacaktır. Bilgisayar korsanlığı önleme yasalarıyla birlikte geçerli tüm gizlilik yasalarını göz önünde bulundurun. Koruyucu güvenlik nedenleriyle honeypotları kullanıyorsanız, koruma muafiyeti kapsamında koruma talep edebilirsiniz.
Honeynet
Bir honeypot ağı, ağ üzerindeki iki veya daha fazla honeypot' dan oluşur. Birbirine bağlı honeypot ağına sahip olmak faydalı olabilir. Kuruluşların bir saldırganın kaynak veya ağ noktasıyla nasıl etkileşime girdiğini izlemesini sağlar ve ayrıca saldırganın ağdaki noktalar arasında nasıl hareket ettiğini ve aynı anda birden çok noktayla nasıl etkileşime girdiğini izler. Amaç, bilgisayar korsanlarının ağı başarılı bir şekilde ihlal ettiklerine inandırmaktır, böylece daha fazla sahte ağ hedefine sahip olmak, kurulumu daha inandırıcı hale getirir.
Üretim ve Araştırma Honeypotları
İki ana honeypot türü vardır:
Honeypot
Honeypot, siber saldırganları kendine çekmek, bilgisayar korsanlığı girişimlerini tespit etmek, saptırmak ve incelemek için tuzak olarak kurulmuş sistemlerdir. Bir honeypot' un işlevi, kendisini internette saldırganlar için potansiyel bir hedef olarak tanıtmak, bilgi toplamak ve yetkisiz kullanıcılar tarafından honeypot erişim girişimleri hakkında yöneticileri bilgilendirmektir.
Honeypot Nasıl Çalışır?
Genel olarak, bir honeypot işlemi, finansal sistem, IoT cihazları, kamu hizmeti veya bir ulaşım ağı gibi saldırganlar için çekici olabilecek gerçek bir sistemin davranışını simüle eden bilgisayar, uygulamalar ve verilerden oluşur. Bir ağın parçası gibi görünür, ancak gerçekte izole edilir ve yakından izlenir. Siber suçlular bal küplerini ele geçirebilir ve bunları dağıtan kuruluşa karşı kullanabilir. Siber suçluların, araştırmacılar veya kuruluşlar hakkında istihbarat toplamak, tuzak görevi görmek ve yanlış bilgi yaymak için bal küplerini kullandığı da biliniyor. Sanal makineler genellikle honeypotları barındırmak için kullanılır. Bu şekilde, kötü amaçlı yazılım tarafından ele geçirilirlerse, h hızla geri yüklenebilir. Bir ağdaki iki veya daha fazla honeypot bir honey ağını oluşturur.
Honeypot Ne İçin Kullanılır?
Honeypot'lar, ağın yasal bir parçası gibi göründükleri için erişmeleri için kandırılan yetkisiz ve davetsiz misafirlerden bilgi toplamak için kullanılır. Güvenlik ekipleri, ağ savunma stratejilerinin bir parçası olarak bu tuzakları kullanır. Honeypot'lar ayrıca siber saldırganların davranışlarını ve ağlarla etkileşim yollarını araştırmak için de kullanılır. Honeypot'lar her zaman bir güvenlik önlemi olarak kullanılmaz. Bilgisayar korsanları da dahil olmak üzere herkes bunları ağ keşfi için kullanabilir.
Honeypot Yasa Dışı Mı?
Kişisel verileri toplayıp analiz edebilen honeypot gibi sistemlerle ilgili yasal ve etik hususları tartmak iyi olacaktır. Bilgisayar korsanlığı önleme yasalarıyla birlikte geçerli tüm gizlilik yasalarını göz önünde bulundurun. Koruyucu güvenlik nedenleriyle honeypotları kullanıyorsanız, koruma muafiyeti kapsamında koruma talep edebilirsiniz.
Honeynet
Bir honeypot ağı, ağ üzerindeki iki veya daha fazla honeypot' dan oluşur. Birbirine bağlı honeypot ağına sahip olmak faydalı olabilir. Kuruluşların bir saldırganın kaynak veya ağ noktasıyla nasıl etkileşime girdiğini izlemesini sağlar ve ayrıca saldırganın ağdaki noktalar arasında nasıl hareket ettiğini ve aynı anda birden çok noktayla nasıl etkileşime girdiğini izler. Amaç, bilgisayar korsanlarının ağı başarılı bir şekilde ihlal ettiklerine inandırmaktır, böylece daha fazla sahte ağ hedefine sahip olmak, kurulumu daha inandırıcı hale getirir.
Üretim ve Araştırma Honeypotları
İki ana honeypot türü vardır:
- Üretim Honeypotları: En yaygın honeypot türüdür. Bu tuzak, işletmeler tarafından üretim ağındaki siber saldırılar hakkında bilgi ve istihbarat toplamak için kullanılır. Bu, IP adreslerini, izinsiz giriş denemesi zamanını ve tarihlerini, trafik hacmini ve diğer nitelikleri içerebilir.
- Araştırma Honeypotları: Bir araştırma honeypotu, düşmanlar tarafından kullanılan belirli yöntem ve teknikler ve bu tür taktiklerle ilgili olarak sistemde hangi olası güvenlik açıklarının mevcut olduğu hakkında bilgi toplamak için tasarlanmıştır.
Karmaşıklığa Göre Honeypotlar
Honeypot'lar saf, yüksek etkileşimli veya düşük etkileşimli olarak sınıflandırılabilir:
- Düşük Etkileşimli Honeypotlar: Ağdaki en yaygın saldırıları simüle eder: saldırganların sıklıkla talep ettiği hizmetler.
- Saf Honeypotlar: Ağ bağlantısını izleyen üretim sistemleridir. En karmaşık ve bakımı zor olan honeypot' dur. Aynı zamanda sahte dosyalar ve kullanıcı bilgileri ile saldırganları aldatır.
- Yüksek Etkileşimli Honeypotlar: Üretim sistemlerinin faaliyetlerini taklit eder, çeşitli hizmetleri barındırır ve kapsamlı bilgi yakalar. Amaç, saldırganı sunucuya yönetici düzeyinde erişim sağlamasını ve ardından saldırganın etkinliğini izlemektir.
Honeypot Çeşitleri
Honeypot'lar, algıladıkları aktivite türüne göre de bölünebilir. Aşağıdakiler birkaç tür özel honeypot teknolojisi vardır:
- Client Honeypot: İstemci gibi davranır ve herhangi bir saldırının gerçekleşip gerçekleşmediğini incelemek için sunucuyla iletişime girmektedir. Bir saldırganın saldırı esnasında sunucuda neler yaptığını veya ne gibi değişiklikler yaptığını incelemek için kullanılır.
- Glastopf: Zafiyet barındıran bir web sunucusunu taklit eden, açık kaynaklı, kurulumu kolay ve basit olan honeypot' dur. Zafiyet bulunan web sayfalarını ve web sunucusunu taklit edebilir.
- Spectre: Ticari bir honeypot olarak kullanılmaktadır. GUI tabanlıdır. Büyük internet protokollerini taklit edebilir. Bu protokolleri taklit edebildiği için tam olarak sunucu gibi davranabilir.
- Database Honeypot: Database Honeypot genellikle veritabanına yönelik saldırıları incelemek için kullanılır. Bunun için sahte veri tabanları oluşturur ve bu veri tabanlarını düzenler.
- Honeynet: Honeynet, iki veya daha fazla honeypot' un bir araya geldiği ağlara denir. Honeynet DDOS saldırıları, CDN yönelik saldırılar gibi saldırıları inceler.
- Ghost USB: Kötü amaçlı yazılımların daha kolay tespit edilebilmesi ve analizini sağlamak için sahte bir USB sürücüsü olarak kullanılan honeypot' dur.
- Malware Honeypot: Kötü amaçlı yazılımları göz önünde bulundurarak bilinen saldırı türlerini kullanılırlar.
- KFSensor: Windows tabanlı, uzaktan yönetim ve ağ protokolleri gibi birçok eşsiz özellik içerir.
Honeypotların Faydaları ve Dezavantajları
Faydaları | Dezavantajları |
|---|---|
Honeypot'lar iyi yatırımlar olabilir. Çünkü yalnızca kötü amaçlı etkinliklerle etkileşime girerler ve yüksek performanslı kaynaklar gerektirmezler. | Yakalanan kötü amaçlı trafik, yalnızca saldırı honeypot ağını hedef aldığında toplanır. Saldırganlar bir ağın honeypot olduğundan şüphelenirse, bundan kaçınırlar. |
Honeypot'lar, gerçek saldırılardan ve diğer yetkisiz faaliyetlerden veri toplayarak analistlere zengin ve faydalı bilgi kaynağı sağlar. | Yakalanan kötü amaçlı trafik, yalnızca saldırı honeypot ağını hedef aldığında toplanır. Saldırganlar bir ağın honeypot olduğundan şüphelenirse, bundan kaçınırlar. |
Honeypot'lar, saldırgan şifreleme kullanıyor olsa bile kötü amaçlı etkinlikleri yakalar. | Gerçek ağdan izole edilmiş olmalarına rağmen, sonunda yöneticilerin içerdikleri bilgileri toplamasını sağlamak için bir şekilde bağlanırlar. |
| Honeypot'lar yalnızca bir saldırı gerçekleştiğinde bilgi toplar. |
Anlatımımı burada sonlandırıyorum, okuyan herkese teşekkür ederim. Esen kalın...
