위협 인텔리전스 팁 - 허니팟

국제적인 허니팟 기술 연구기관인 허니넷 프로젝트(Honeynet Project)의 창립자인 랜스(Lance)는

스피츠너(Spitzner)는 허니팟에 대해 권위 있는 정의를 내렸다. 허니팟은 스캔되는 것에 가치가 있는 보안 자원이다. 공격하고 포획하세요. 허니팟은 외부 사용자에게 어떠한 서비스도 제공하지 않습니다. 허니팟으로 들어오고 나가는 모든 네트워크 트래픽은 불법이며 스캔 및 공격을 나타낼 수 있습니다. 허니팟의 핵심 가치는 이러한 불법 활동을 모니터링, 탐지 및 분석하는 것입니다.

허니팟은 이러한 공격을 이해하기 위해 침입자를 유인하는 데 사용됩니다. 허니팟은 공격자가 악용할 수 있는 하나 이상의 취약점을 갖고 있는 서버나 컴퓨터 호스트처럼 보입니다. 이는 취약성과 손상 가능성이 가득한 기본 설치된 운영 체제일 뿐입니다.

허니팟의 목표와 기능

허니팟 기술은 네트워크의 호스트에 대한 공격을 식별할 수 있을 뿐만 아니라 공격이 수행되는 방식을 모니터링하고 기록할 수 있습니다. 허니팟은 침입 탐지 IDS와 함께 작동할 수 있습니다.

IDS에 비해 허니팟은 오탐률이 낮습니다. 이는 허니팟이 네트워크 서비스를 제공하지도 않고 합법적인 사용자도 갖지 않으며, 네트워크에서 유휴 장치가 아니기 때문입니다. 따라서 허니팟을 오가는 모든 네트워크 트래픽은 의심스러울 수 있으며 네트워크가 공격을 받고 있다는 신호일 수 있습니다.

허니팟의 주된 목적은 침입자가 스스로 공격하는 것을 허용하고, 공격 시 침입자의 공격 도구, 방법, 동기, 목적 등의 행위 정보를 기록하고 수집하는 것이다. 특히 침입자가 새롭고 알려지지 않은 공격 행위를 사용하는 경우, 이 정보를 수집하여 이를 기반으로 네트워크 보안 정책을 조정하고 시스템 보안 성능을 향상시킵니다. 동시에 허니팟은 공격자의 주의를 돌리고 공격 자원과 의지를 소비하며 실제 대상 시스템을 간접적으로 보호하는 기능도 가지고 있습니다.

허니팟 분류

허니팟은 모든 운영 체제와 다양한 서비스를 실행할 수 있습니다. 허니팟은 상호작용 수준(레벨

관여도)에 따라 고상호작용 허니팟과 저상호작용 허니팟으로 나눌 수 있습니다. 허니팟의 상호작용 정도는 공격자와 허니팟 사이의 상호작용 정도를 의미하며, 고상호작용 허니팟은 침입자에게 실제적인 상호작용 시스템을 제공한다.

반대로 상호작용이 적은 허니팟은 시스템 기능의 일부만 시뮬레이션할 수 있습니다. 높은 상호작용 허니팟은 실제 시스템처럼 완전히 손상될 수 있으므로 침입자가 시스템에 대한 전체 액세스 권한을 얻고 이를 발판으로 사용하여 추가 사이버 공격을 수행할 수 있습니다. 이와 대조적으로 상호 작용이 적은 허니팟은 일부 서비스, 포트 및 응답만 시뮬레이션할 수 있으며 침입자는 이러한 서비스를 공격하여 전체 액세스 권한을 얻을 수 없습니다.

구현 방식에 있어서 허니팟은 물리적 허니팟과 가상 허니팟으로 나눌 수 있다. 물리적 허니팟은 네트워크상의 완전한 실제 컴퓨터이고, 가상 허니팟은 컴퓨터에 의해 시뮬레이션되지만 가상 허니팟으로 전송되는 네트워크 트래픽에 응답하는 시스템입니다.