Honeypot Nedir?
İngilizce: Honeypot
Honeypot, saldırgan davranışını gözlemlemek ve erken uyarı üretmek için izole edilen sahte sistem, servis veya veri tuzağıdır.
Honeypot Nedir?
Honeypot, saldırganın ilgisini çekmek için bilinçli olarak hazırlanmış sahte sistem, servis, hesap veya veri kümesidir. Amaç üretim sistemini “güvenli hale getirdiğini” varsaymak değil; saldırı yöntemlerini gözlemek, erken uyarı almak ve savunma kurallarını iyileştirmektir.
Örneğin internete açık gibi görünen bir SSH servisi gerçek sunucuya bağlanmaz; giriş denemelerini, kullanıcı adlarını, IP adreslerini ve kullanılan araçları kaydeder.
Nasıl Çalışır?
Honeypot düşük etkileşimli veya yüksek etkileşimli olabilir. Düşük etkileşimli sistemler belirli servis davranışlarını taklit eder ve daha az risk taşır. Yüksek etkileşimli sistemler saldırgana daha gerçekçi ortam sunar, fakat izolasyon ve izleme daha zordur.
Güvenli kullanım için honeypot üretim ağından ayrılmalı, dışarı saldırı başlatamayacak şekilde sınırlandırılmalı ve logları merkezi izleme sistemine aktarılmalıdır. Yanlış yapılandırılmış bir honeypot saldırgan için sıçrama noktasına dönüşebilir.
Güvenlikte Kullanımı
Honeypot; kaba kuvvet denemelerini, bot davranışlarını, zararlı payload örneklerini ve yeni tarama kalıplarını anlamak için kullanılır. Toplanan sinyaller firewall, IDS, SIEM veya WAF kurallarının iyileştirilmesine yardımcı olabilir.
Penetrasyon testi gibi kontrollü güvenlik çalışmalarından farklı olarak honeypot gerçek saldırgan davranışını pasif biçimde gözler. Yine de tek başına koruma katmanı değildir; segmentasyon, yama yönetimi ve erişim kontrolüyle birlikte düşünülmelidir.