Bal küpü (honeypot) nedir?
“Bal küpü” teriminin kullanıldığını duymuş, ne olduğunu merak etmiş ve bilgisayar sisteminizi nasıl daha güvenli hale getirebileceğini öğrenmek istemiş olabilirsiniz. Bu makalede, bal küpleri ve siber güvenlik alanındaki yerleri hakkında bilmeniz gereken her şeyi anlattık.
Bal küpünün tanımı
Bal küpünün tanımlarından biri, sırları çalmak için romantik ilişkiler kuran Mata Hari tarzı casusların "bal tuzağı" veya "bal küpü" olarak tanımlandığı casusluk dünyasından gelir. Çoğu zaman bir düşman casusunun gizliliği, bir bal tuzağı tarafından ifşa edilir ve ardından bildiği her şeyi anlatması için şantaja uğrar.
Bilgisayar güvenliği açısından siber bal küpü de benzer şekilde çalışır ve korsanlara tuzak kurar. Bir yem gibi siber saldırıları çekmek için kendini kurban bir bilgisayar sistemidir. Korsanlar için bir hedefi taklit edip saldırı girişimlerini, siber suçlular ve çalışma biçimleri hakkında bilgi edinmek ya da diğer hedeflerden uzaklaştırmak için kullanır.
Bal küpleri nasıl çalışır?
Siber suçluları kandırmak için meşru bir hedef gibi görünen bal küpü, uygulamalar ve verilerle gerçek bir bilgisayar sistemine benzer. Örneğin kredi kartı numaraları bulmak isteyen suçlular için sık sık saldırı hedefi olan bir şirketin müşteri faturalandırma sistemini taklit edebilir. Korsanlar içeri sızdıktan sonra izlenebilir ve davranışları, gerçek ağın nasıl daha güvenli hale getirileceğine dair ipuçları açısından değerlendirilir.
Bal küpleri, kasıtlı güvenlik açıkları oluşturarak saldırganlar için cazip hale getirilir. Örneğin bir bal küpünün, bağlantı noktası taramasına veya zayıf parolalara yanıt veren bağlantı noktaları olabilir. Savunmasız bağlantı noktaları, saldırganları daha güvenli canlı ağ yerine bal küpü ortamına çekmek için açık bırakılabilir.
Bir bal küpü, güvenlik duvarı veya antivirüs gibi belirli bir sorunu ele alacak şekilde ayarlanmaz. Bunun yerine, işletmenize yönelik mevcut tehditleri anlamanıza ve ortaya çıkan yeni tehditleri tespit etmenize yardımcı olabilecek bir bilgi aracıdır. Bir bal küpünden elde edilen istihbarat ile güvenliği koruma çabalarına öncelik verilebilir ve odaklanılabilir.
Farklı bal küpü türleri ve bunların çalışma şekilleri
Farklı tehdit türlerini tespit etmek için farklı bal küpü türleri kullanılabilir. Bal küplerinin tanımları, hedef aldıkları tehdit türlerine dayanır. Kapsamlı ve etkili bir siber güvenlik stratejisinde hepsinin yeri vardır.
E-posta tuzakları veya istenmeyen posta tuzakları, yalnızca otomatik adres toplayıcısının bulabileceği gizli bir yere sahte bir e-posta adresi yerleştirir. Bu adres istenmeyen posta tuzağı dışında bir amaçla kullanılmadığından, kendisine gelen postaların istenmeyen posta olduğundan% 100 emin olabilirsiniz. İstenmeyen posta tuzağına gönderilenlerle aynı içeriğe sahip tüm iletiler otomatik olarak engellenebilir ve gönderenlerin kaynak IP'leri bir kara listeye eklenebilir.
Yazılımlardaki güvenlik açıklarını ve güvenli olmayan sistem mimarisinden yararlanan veya SQL ekleme, SQL hizmetlerinden faydalanma ya da ayrıcalığı kötüye kullanma gibi saldırıları izlemek için bir sahte veritabanı oluşturulabilir.
Kötü amaçlı yazılımlara yönelik bir bal küpü, kötü amaçlı yazılım saldırılarını davet etmek için yazılım uygulamalarını ve API'leri taklit eder. Kötü amaçlı yazılımın özellikleri, daha sonra kötü amaçlı yazılımdan koruma yazılımı geliştirmek veya API'deki güvenlik açıklarını kapatmak için analiz edilebilir.
Örümcek bal küpü, yalnızca gezginler tarafından erişilebilen web sayfaları ve bağlantılar oluşturarak web gezginlerini (“örümcekler”) yakalamaya yöneliktir. Gezginleri tespit etmek, kötü amaçlı botların yanı sıra reklam ağı gezginlerini de engellemeyi öğrenmenize yardımcı olabilir.
Bal küpü sistemine gelen trafiği izleyerek şunları değerlendirebilirsiniz:
- Siber suçluların nereden geldiğini
- Tehdidin düzeyini
- Hangi yöntemi kullandıklarını
- Hangi veri ve uygulamalarla ilgilendiklerini
- Güvenlik önlemlerinizin siber saldırıları durdurmak için ne kadar iyi çalıştığını
Başka bir bal küpü tanımı, bal küpünün yüksek etkileşimli mi yoksa düşük etkileşimli mi olduğuna bağlıdır. Düşük etkileşimli bal küpleri daha az kaynak kullanır; tehdidin seviyesi, türü ve nereden geldiği hakkında temel bilgiler toplar. Kurulumu kolay ve hızlıdır, genellikle simüle edilmiş bazı temel TCP ve IP protokolleri ve ağ hizmetleriyle yapılır. Ancak bal küpünde saldırganın uzun süre meşgul olacağı bir şey yoktur, bu yüzden alışkanlıkları veya karmaşık tehditler hakkında derinlemesine bilgi edinmezsiniz.
Öte yandan yüksek etkileşimli bal küpleri, korsanların bal küpünde mümkün olduğunca fazla zaman harcamalarını sağlayarak niyetleri ve hedefleri, yararlandıkları güvenlik açıkları ve yöntemleri hakkında bol miktarda bilgi vermeyi amaçlar. Bunu, saldırganı daha uzun süre meşgul edebilecek veritabanları, sistemler ve süreçler, başka bir deyişle "yapıştırıcı" içeren bir bal küpü olarak düşünün. Böylece araştırmacılar, saldırganların hassas bilgileri bulmak için sistemde nereye gittiklerini, ayrıcalıkları artırmak için hangi araçları kullandıklarını veya sistemin gizliliğini ihlal etmek için hangi açıklardan yararlandıklarını izleyebilir.
Bununla birlikte, yüksek etkileşimli bal küpü kaynağa açtır. Kurulması ve takip edilmesi daha zor ve zaman alıcıdır. Üstelik risk de oluşturabilir; bir “bal küpü güvenlik duvarı” ile güvenceye alınmazsa kararlı ve kurnaz bir korsan, diğer internet sunucularına saldırmak veya güvenliği ihlal edilmiş bir makineden istenmeyen posta göndermek için yüksek etkileşimli bal küpünü kullanabilir.
Her iki bal küpünün de bal küpü siber güvenliğinde bir yeri vardır. Her ikisinin bir karışımını kullanıp niyetler, iletişimler ve istismarlar hakkında yüksek etkileşimli bal küpünden edinilen bilgileri ekleyerek düşük etkileşimli bal küplerinden gelen tehdit türleri hakkındaki temel bilgileri daraltabilirsiniz.
Bir işletme, tehdit istihbaratı çerçevesi oluşturmak için, siber bal küplerini kullanarak siber güvenlik harcamalarını doğru yerlere hedeflediğinden emin olabilir ve zayıf güvenlik noktalarının nerede olduğunu görebilir.
Bal küplerini kullanmanın avantajları
Bal küpleri büyük sistemlerdeki güvenlik açıklarını ortaya çıkarmanın iyi bir yolu olabilir. Örneğin bir bal küpü, Nesnelerin İnterneti cihazlarına yapılan saldırılardan kaynaklanan yüksek tehdidi gösterebilir. Ayrıca güvenliğin nasıl iyileştirilebileceği yönünde tavsiyeler de verebilir.
Bir bal küpü kullanmak, gerçek sisteme izinsiz girişleri tespit etme konusunda pek çok avantaj sunar. Örneğin bir bal küpü doğası gereği hiçbir meşru trafik almamalıdır, bu nedenle kaydedilen tüm etkinliklerin bir yoklama veya saldırı girişimi olması muhtemeldir.
Bu, bir ağ taraması yapmak için kullanılan benzer IP adresleri (veya bir ülkeden gelen IP adresleri) gibi kalıpları tespit etmeyi çok daha kolay hale getirir. Buna karşılık, çekirdek ağınızdaki yüksek düzeyde meşru trafiğe bakarken bu tür saldırı belirtilerini fark etmeyebilirsiniz. Bal küpü güvenliğini kullanmanın en büyük avantajı, yalnızca gördüğünüz adreslerin bu kötü amaçlı adresler olabilmesi ve saldırının tespit edilmesini çok daha kolay hale getirmesidir.
Bal küpleri çok sınırlı trafikle uğraştıklarından kaynak kullanımı açısından da hafiftirler. Donanım konusunda büyük taleplerde bulunmazlar; artık kullanmadığınız eski bilgisayarları kullanarak bir bal küpü kurmanız mümkündür. Yazılıma gelince, çevrimiçi depolardan bir dizi hazır bal küpü temin edilebilir, böylece bir bal küpünü çalıştırmak için gerekli olan şirket içi efor da azaltılır.
Bal küplerinin yanlış pozitif oranı düşüktür. Bu, yüksek düzeyde yanlış uyarılar üretebilen geleneksel izinsiz giriş tespiti sistemlerinin (IDS) tam tersidir. Aynı şekilde, çabaları önceliklendirmeye yardımcı olur ve bir bal küpünden gelen kaynak talebini düşük seviyede tutar. (Aslında IDS, bal küpleri tarafından toplanan veriler kullanılarak ve bunlar diğer sistem ve güvenlik duvarı günlükleriyle ilişkilendirilerek, daha az yanlış pozitif üretmesi için daha alakalı uyarılarla yapılandırılabilir. Bu şekilde, bal küpleri diğer siber güvenlik sistemlerini geliştirmeye ve iyileştirmeye yardımcı olabilir.)
Bal küpleri size tehditlerin nasıl geliştiği konusunda güvenilir bir istihbarat verebilir. Saldırı vektörleri, istismarlar ve kötü amaçlı yazılımlar hakkında (e-posta tuzakları söz konusuysa istenmeyen posta gönderenler ve kimlik avı saldırıları hakkında) bilgi sağlarlar. Korsanlar izinsiz giriş tekniklerini sürekli olarak geliştirirken siber bal küpleri yeni ortaya çıkan tehditleri ve saldırıları tespit etmeye yardımcı olur. Bal küplerini verimli kullanarak kör noktaları da yok edebilirsiniz.
Ayrıca teknik güvenlik personeli için harika eğitim araçlarıdır. Bir bal küpü, saldırganların nasıl çalıştığını göstermeye ve farklı tehdit türlerini incelemeye yarayan kontrollü ve güvenli bir ortamdır. Bal küpü sayesinde gerçek trafik, ağı kullanan güvenlik personelinin dikkatini dağıtamaz; %100 tehdide odaklanabilirler.
Bal küpleri iç tehditleri de yakalayabilir. Çoğu kuruluş, zamanını çevre ağı savunmak, yabancıların ve davetsiz misafirlerin içeri girmesini engellemek için harcar. Ancak yalnızca çevre ağı savunursanız, güvenlik duvarınızı başarıyla aşmış bir korsan, artık her türlü zararı vermek için sınırsız yetkiye sahip olur.
Güvenlik duvarları sizi bir iç tehdide (örneğin işinden ayrılmadan önce dosyaları çalmak isteyen bir çalışan) karşı korumaz. Bir bal küpü ise size iç tehditler hakkında eşit derecede iyi bilgi verebilir ve içerideki kişilerin sistemden yararlanmasına imkân veren izinler gibi alanlardaki güvenlik açıklarını gösterebilir.
Bal küpü kurarak fedakâr davranmış ve diğer bilgisayar kullanıcılarına yardım etmiş olursunuz. Korsanlar bal küpünde çaba harcadıkça canlı sistemleri ele geçirmek ve size ya da başkalarına gerçekten zarar vermek için daha az zaman harcarlar.
Bal küplerinin tehlikeleri
Bal küpü siber güvenliği, tehdit ortamını göstermeye yardımcı olurken, bal küpleri devam eden her şeyi görmez (sadece bal küpüne yönelik etkinlikleri görür). Sadece bal küpüne belirli bir tehdit yönlendirilmediği için tehditlerin var olmadığını varsayamazsınız. Yalnızda tehditleri size bildiren bal küplerine güvenmekle kalmamalı, BT güvenlik haberlerini de takip etmelisiniz.
İyi, düzgün yapılandırılmış bir bal küpü, saldırganları gerçek sisteme eriştiklerine inandırır. Aynı giriş uyarısı mesajlarına, aynı veri alanlarına, hatta gerçek sistemlerinizle aynı görünüme logolara sahiptir. Ancak bir saldırgan bunun bal küpü olduğunu tespit ederse, bal küpüne dokunmadan diğer sistemlerinize saldırmaya devam edebilir.
Bal küpünde “parmak izi” olduğunda saldırgan, üretim sistemlerinize hedeflenen gerçek bir istismarı gözden kaçırmanız için sahte saldırılar oluşturabilir. Ayrıca bal küpünü kötü bilgiler de bekleyebilirler.
Daha da kötüsü, akıllı bir saldırgan muhtemelen bal küpünü sistemlerinize giden bir yol olarak kullanabilir. Bu nedenle bal küpleri, güvenlik duvarları ve diğer izinsiz giriş algılama sistemleri gibi yeterli güvenlik denetimlerinin yerini alamaz. Bir bal küpü daha fazla izinsiz giriş için başlangıç noktası olarak kullanılabilir, bu nedenle tüm bal küplerini sağlama aldığınızdan emin olun. Bir “bal küpü güvenlik duvarı” temel bal küpü güvenliği sağlayabilir ve bal küpüne yönelik saldırıların canlı sisteminize girmesini önleyebilir.
Bir bal küpü, siber güvenlik çabalarınızı önceliklendirmenize yardımcı olacak bilgiler vermelidir ancak uygun siber güvenliğin yerini alamaz. Kaç adet bal küpüne sahip olursanız olun, iş varlıklarınızı korumak için Kaspersky’nin Endpoint Security Cloud paketi gibi bir paket edinmeyi düşünmelisiniz. (Kaspersky, internet tehditlerini tespit etmek için kendi bal küplerini kullandığından bunu sizin yapmanıza gerek kalmaz.)
Genel olarak, bal küpü kullanmanın avantajları, risklerinden çok daha ağır basar. Korsanlar genellikle uzak, görünmez bir tehdit olarak düşünülür. Fakat bal küplerini kullanarak tam anlamıyla ne yaptıklarını gerçek zamanlı olarak görebilir ve bu bilgileri, istediklerini almalarını engellemek için kullanabilirsiniz.
İlgili bağlantılar
Nesnelerin İnterneti ateş altında:Kaspersky, 2019'un ilk yarısında akıllı cihazlara 100 milyondan fazla saldırı tespit etti
Kötü Amaçlı Yazılımlar Bilgisayarlara ve BT Sistemlerine Nasıl Nüfuz Eder?
Bal küpü (honeypot) nedir?
Kaspersky
