(http://idgnow.uol.com.br/seguranca/2010/07/06/potes-de-mel-ajudam-a-prevenir-ataques-a-redes-corporativas)
Por IDG News Service
Publicada em 06 de julho de 2010 às 16h57
Técnica ajuda a detectar atividades incomuns; caso um vírus tente acessar um endereço indevido de IP, um alerta denunciará o invasor.
A maioria das redes corporativas carece de fiscalização séria e frequente, principalmente porque monitorar as redes e os sistemas de computador é algo muito caro e requer muito trabalho.
Assim, não é de se admirar que ataques internos passam desapercebidos por meses e malwares se proliferam furtivamente, enquanto hackers se infiltram cada vez mais, sem serem detectados.
É simplesmente muito difícil diferenciar atividades legítimas das ilegítimas ou maliciosas. Ainda mais no atual contexto da Internet, com o enorme volume de logs, tráfegos de rede e a sobrecarga de informação. Enfim, como saber o que é bom?
"Potes de Mel" como solução de segurançaO projeto "Pote de Mel" (Honeypot, no original em inglês) é uma tática subutilizada. Cada ataque, seja manual ou automatizado, tem um componente exploratório. Assim, hackers ou vírus sondam redes e sistemas, geralmente, sem que sejam percebidos, e a menos que causem uma falha no sistema ou uma sobrecarga, as chances de detecção são muito baixas.
"Pote de Mel" é um sistema que detecta atividades incomuns. Então, se alguém tenta acessar um endereço IP que não é usado, um alerta pode ser gerado. Similarmente, é possível responder às solicitações de portas TCP não utilizadas, criando a ilusão de serviços. Computadores inteiros ou mesmo redes de computadores, podem ser criadas para atrair e confudir os ataques.
Alguns podem se opor ao uso do "Pote de Mel", pois eles podem ser vistos como "armadilhas" sob o ponto de vista da lei. É recomendando o uso somente para detectar e prevenir ataques, e não para executar ataques. Se alguém está acessando um sistema sem nome de DNS, sem serviços públicos ou registros, ou sem nenhuma função legítima, então é bem provável que eles até não sejam bons.
Alertar sobre esse acesso pode dar aos profissionais de segurança avisos sobre possíveis ataques, com pouca chance de falso positivo. Claro, existem ferramentas de rede de diagnóstico e outras ferramentas de gestão que sondam redes inteiras, mas isso não é muito difícil de excluir. Com esse método, ainda podem automatizar a prevenção de intrusão, temporariamente, na lista negra de endereços IP, agindo assim como armadilhas para os atacantes.
O software de virtualização pode criar data centers fantasmas que, de tão sofisticados, podem até "seduzir" os atacantes, criando a ilusão do sucesso.
Há muito poucas razões legítimas para sondar, sem conhecimento prévio, sistemas operacionais ou aplicativos. O "Pote de Mel" nos garante a oportunidade de montar armadilhas nesses espaços, fazendo análises sobre um possível ataque.
A miragem de falsos sistemas pode fazer o vírus perder tempo, permitindo um avanço na detecção e identificação.
Assim, não é de se admirar que ataques internos passam desapercebidos por meses e malwares se proliferam furtivamente, enquanto hackers se infiltram cada vez mais, sem serem detectados.
É simplesmente muito difícil diferenciar atividades legítimas das ilegítimas ou maliciosas. Ainda mais no atual contexto da Internet, com o enorme volume de logs, tráfegos de rede e a sobrecarga de informação. Enfim, como saber o que é bom?
"Potes de Mel" como solução de segurançaO projeto "Pote de Mel" (Honeypot, no original em inglês) é uma tática subutilizada. Cada ataque, seja manual ou automatizado, tem um componente exploratório. Assim, hackers ou vírus sondam redes e sistemas, geralmente, sem que sejam percebidos, e a menos que causem uma falha no sistema ou uma sobrecarga, as chances de detecção são muito baixas.
"Pote de Mel" é um sistema que detecta atividades incomuns. Então, se alguém tenta acessar um endereço IP que não é usado, um alerta pode ser gerado. Similarmente, é possível responder às solicitações de portas TCP não utilizadas, criando a ilusão de serviços. Computadores inteiros ou mesmo redes de computadores, podem ser criadas para atrair e confudir os ataques.
Alguns podem se opor ao uso do "Pote de Mel", pois eles podem ser vistos como "armadilhas" sob o ponto de vista da lei. É recomendando o uso somente para detectar e prevenir ataques, e não para executar ataques. Se alguém está acessando um sistema sem nome de DNS, sem serviços públicos ou registros, ou sem nenhuma função legítima, então é bem provável que eles até não sejam bons.
Alertar sobre esse acesso pode dar aos profissionais de segurança avisos sobre possíveis ataques, com pouca chance de falso positivo. Claro, existem ferramentas de rede de diagnóstico e outras ferramentas de gestão que sondam redes inteiras, mas isso não é muito difícil de excluir. Com esse método, ainda podem automatizar a prevenção de intrusão, temporariamente, na lista negra de endereços IP, agindo assim como armadilhas para os atacantes.
O software de virtualização pode criar data centers fantasmas que, de tão sofisticados, podem até "seduzir" os atacantes, criando a ilusão do sucesso.
Há muito poucas razões legítimas para sondar, sem conhecimento prévio, sistemas operacionais ou aplicativos. O "Pote de Mel" nos garante a oportunidade de montar armadilhas nesses espaços, fazendo análises sobre um possível ataque.
A miragem de falsos sistemas pode fazer o vírus perder tempo, permitindo um avanço na detecção e identificação.
(Andreas M. Antonopoulos)
Copyright 2010 Now!Digital Business Ltda. Todos os direitos reservados.
0 comentários:
Postar um comentário