โดยปกติแล้วเมื่อระบบนั้นเผชิญกับความเสี่ยงด้านความปลอดภัย ผู้บริหารระบบส่วนใหญ่จะป้องกันเน็ตเวิร์คของพวกเขา แต่ก็มีคนอีกส่วนหนึ่งที่อยากเรียนรู้เกี่ยวกับพฤติกรรมของผู้บุกรุกสู่ระบบ และทำเช่นนั้น เพื่อให้รู้ถึงจุดอ่อนที่อาจเป็นไปได้ในการออกแบบระบบของพวกเขา วิธีหนึ่งคือการใช้ honeypot ซึ่งเป็นระบบคอมพิวเตอร์ที่ลงระบบโดยไม่แก้ไขช่องโหว่ใด ๆ เพื่อล่อให้นักเจาะเข้ามาและบันทึกกิจกรรมที่พวกเขาทำ
แนวคิดของ honeypot นำมาจากหนังสือ The Cuckoo's Egg ของ Clifford Stoll ที่เขาได้สร้างระบบ honeypot เพื่อเฝ้าดูนักเจาะคนหนึ่ง
เนื่องจากอินเทอร์เน็ตมีการเติบโตอย่างต่อเนื่อง จำนวนของผู้โจมตีที่เป็นไปได้มีเพิ่มขึ้น ทำให้ honeypot เป็นเครื่องมือที่มีประโยชน์สำหรับการรักษาความปลอดภัย
การสร้าง honeypot นั้นเพียงแต่หาเครื่อง PC เก่า ๆ มาเครื่องหนึ่ง ลงระบบปฏิบัติการแล้วจึงต่อเข้ากับอินเทอร์เน็ต สิ่งที่เพิ่มเข้ามาพิเศษคือการลงซอฟท์แวร์ที่สามารถบันทึกกิจกรรมของผู้บุกรุก และต้องมั่นใจว่า honeypot ไม่ได้ทำให้ระบบอื่น ๆ อยู่ในความเสี่ยงด้วย
เนื่องจากการติดต่อสื่อสารที่เข้าไปยัง honeypot นั้นถือว่าเป็นการสื่อสารที่ต้องมีการจับตามองเป็นพิเศษ ดังนั้นระบบบันทึกการเฝ้าดูสิ่งที่เกิดขึ้นนั้นจึงใช้ง่ายกว่าระบบที่ใช้ทำงานจริง ๆ แต่ก็ยังมีความท้าทายอยู่
"สิ่งที่น่ากังวลอย่างหนึ่งคือ องค์กรที่กำลังเฝ้าดูชุมชน black hat ที่พยายามเจาะระบบนั้น จะต้องมีความสามารถในการวิเคราะห์ได้ว่าพวกเขากำลังทำอะไรอยู่ ถ้าองค์กรนั้นไม่มีความสามารถในระดับสูงแล้ว เครื่องมือที่ใช้เฝ้าดูนั้นก็อาจมีประโยชน์จำกัดในระดับหนึ่งเท่านั้น" Tim Smith ซึ่งเป็น business manager ของ
Dimension Data กล่าว
black hat ซึ่งเป็นสัญลักษณ์ของผู้ร้ายในหนังคาวบอย เป็นนักเจาะที่บุกรุกเข้าสู่ระบบหรือเน็ตเวิร์คด้วยเจตนาร้าย
ถึงแม้จะไม่มีการวิเคราะห์ในรายละเอียด ระบบ honeypot ก็ยังอาจมีประโยชน์ในฐานะการเป็นระบบเตือนภัยซึ่งเตือนคุณให้เห็นถึงผู้ที่อาจโจมตีระบบของคุณในอนาคตได้
"honeypot เป็นวิธีการที่ไม่แพงในการติดตั้งระบบป้องกันขโมย" Craig Allen ซึ่งเป็น managing director ของ Virtual offis กล่าว
นอกจากนี้องค์ประกอบสำคัญ ๆ ของแผนการรักษาความปลอดภัยสารสนเทศอื่น ๆ เช่น ไฟร์วอล (firewall) ซอฟท์แวร์แอนตี้ไวรัส และการพัฒนานโยบาย จำเป็นต้องใช้ก่อนที่จะมีการพิจารณาใช้ honeypot ด้วย
honeypot ยังทำให้เกิดคำถามเกี่ยวกับความปลอดภัยของมันด้วย Leanne Fleming training manager ของ eSign ให้ความเห็น
"คุณต้องมั่นใจได้ว่า ถ้ามีใครบุกรุกเข้าสู่ระบบ honeypot แล้วพวกเขาจะไม่สามารถโจมตีระบบอื่นจากที่นี่ได้" Leanne Fleming กล่าว
บริษัทใดที่ honeynet ถูกใช้เพื่อโจมตีโฮสต์อื่นก็อาจถูกดำเนินการทางกฏหมายได้
"เป็นอันตรายเช่นกันถ้าคุณไม่รู้ว่าคุณกำลังทำอะไรอยู่" Smith แห่ง Dimension Data กล่าว
อย่างไรก็ตามระบบที่ปฏิเสธการสื่อสารขาออกทั้งหมดก็ใช่ว่าจะมีประสิทธิภาพ Mike Mychalczuk senior product manager ของ NetIQ กล่าว
"นักเจาะใช้เวลาไม่นานนักที่จะรู้ว่ามี honeypot ทำงานอยู่ ความเสี่ยงคือพวกเขาสามารถตรวจพบได้ว่าระบบนี้สามารถเชื่อมโยงเข้ามาได้แต่ไม่สามารถติดต่อออกไปได้"
จากการรวบรวมข้อมูลการวิจัยของ Honeynet Project พบว่า เมื่อเซ็ตระบบ honeypot โดยไม่ให้สามารถติดต่อออกไปได้นักเจาะจะใช้เวลาเพียง 15 นาทีเท่านั้นก็สามารถรู้ได้ว่าระบบนั้นติดตั้งแบบหลอก ๆ และแก้เผ็ดโดยลบไฟล์ทั้งหมดที่อยู่ในระบบ
"honeypot ส่วนใหญ่จะยอมให้มีการเชื่อมโยงเข้ามามากเท่าที่ต้องการ แต่ใช้ไฟร์วอลเพื่อกลั่นกรองการสื่อสารที่ออกไป Fleming แห่ง eSign กล่าว
วิธีที่ปลอดภัยที่สุดคือการเชื่อมต่อ honeypot โดยตรงเข้ากับอินเทอร์เน็ตโดยไม่เกี่ยวข้องกับระบบอื่น ๆ ในองค์กร และยอมให้มีการเชื่อมโยงออกได้อย่างจำกัด
ทั้ง ๆ ที่มีความเสี่ยงแต่ honeypot ก็มีประโยชน์อย่างเด่นชัด
"การลงทุนอย่างหนึ่งที่ดีที่สุดที่คุณสามารถทำได้สำหรับองค์กรด้านการรักษาความปลอดภัยสารสนเทศ คือการให้การศึกษา และ honeypot เป็นวิธีที่มีค่าใช้จ่ายถูกที่จะทำเช่นนั้น" Mychalczuk แห่ง NetIQ กล่าว
Fleming บอกว่า "จุดแข็งอย่างหนึ่งของมันคือ ความสามารถในการบันทึกหลักฐานเพื่อใช้ในการสืบสวนสอบสวน (forensic evidence capability) ถ้าคุณกำหนดค่าอย่างถูกต้อง และมีการเฝ้าดูระบบ (audit) และการบันทึกในระบบ (logging) อย่างเพียงพอ"
การวิจัยของ Honeypot ยังทำให้เกิดเครื่องมือที่ใช้เพื่อควบคุมนักเจาะแบบอื่น ๆ ขึ้นด้วยเช่น "tar pitting" ซึ่งเป็นซอฟท์แวร์ที่สร้างระบบจำลองขึ้นมาเพื่อดึงความสนใจ และทำให้นักเจาะเสียเวลากับมัน ซึ่งจะลดความสามารถในการโจมตีเครื่องคอมพิวเตอร์อื่น ๆ
"การใช้ Honeypot จะช่วยให้การโจมตีทางอินเทอร์เน็ตช้าลงได้โดยการหันเหความสนใจของนักเจาะ" Mychalczuk กล่าว
Reply With Quote
