허니팟
빈 깡통같은 시스템을 그럴듯하게 허술하게 위장시켜 해커 공격을 유도한 뒤 공격 형태 등의 정보를 얻어내는 것
능동적 방어 범위에 포함된다.
허니팟의 종류
허니팟은 사용목적과 설계 방식에 따라 구분된다.
사용목적
- 프로덕션 허니팟
사용하기 쉽고 해커에게 제한된 정보만 허락해 주로 기업에서 사용된다.
다른 서버와 함께 기업 내부 네트워크에 구축되는 경우가 많고, 다른 허니팟과 상호작용 하지 않는다.
해커를 유인하는 목적이 크며, 해커에게 최소한의 정보를 제공한다. - 리서치 허니팟
해커의 공격 전략을 분석하는 게 목표다.
전문가들은 해커의 공격 과정을 단계별로 기록하고, 어떤 툴킷을 이용하는지 확인한다.
보안관제 능력이 없어서 순수 연구 목적으로 사용한다.
설계방식
- 순수 허니팟
중요한 데이터가 제거된 프로덕션 시스템의 복사본
완전히 기능하지만 실제로는 내부 시스템에 어떤 영향도 끼치지 않는 형태다. - 높은 상호작용의 허니팟
정식 운영체계와 마찬가지로 다른 허니팟을 포함해 여러 시스템과 상호 작용하는 허니팟 - 낮은 상호작용의 허니팟
기능을 제한해 에뮬레이팅한 서버나 시스템으로, 해커의 침입경로를 탐지하는 게 목적
취약점은
대부분 허니팟은 본 시스템과 격리돼 작동되어 위험성이 낮다.
하지만 낮은 상호작용의 허니팟은 해커가 에뮬레이트된 시스템을 우회해 본 시스템에 침입할 가능성이 존재한다.
높은 상호작용의 허니팟은 최상위제어권이 해커에 탈취될 수 있다. 이를 위해 침입방지시스템, 제어권분할, 대역폭 제한 등이 선행되어야 한다.
출처 : 보안뉴스 양원모 기자님
https://www.boannews.com/media/view.asp?idx=80130&kind=
https://youtu.be/ZDbyPi1PGOI
ICS보안을 위한 허니팟 conpot과 통합로그분석의 활용
더 공부해보기.
