Honeypot (Bal Küpü) Kavramı

Bal küplerinde istenerek güvenlik açıklığı bırakıldığı için siber korsanları cezbetmektedir. Legal  kullanıcılardan bal küplerine erişim talebi beklenmediğinden buraya gelen istekler şüpheli bir  saldırı hamlesi olarak değerlendirilir ve ilgili hareketler izlenilmeye ve kaydedilmeye başlanılır.  Böylelikle, ilgili siber korsanın tehdidi hangi ülkenden gerçekleştirdiği, hangi sistemleri hedef  aldığı ve hangi yöntemleri kullandığı gibi siber bilgiler elde edilir. Elde edilen bu bilgiler  sayesinde mevcutta bulunan sistemlerinizin ne kadar etkili çalıştığı görülür ve siber saldırgan  tarafından bulunan açıklıklarda giderilmeye çalışılır. Bal küpleri kullanmanın en büyük artısı da  bu denilebilir. 

 

Bal küplerini ağınızda bulunan her noktaya yerleştirebilirsiniz örneğin güvenlik duvarı önüne  veya arkasına yerleştirebilir ancak kullanım olarak daha çok ana ağa uzak olması bakımından DMZ (demilitarized zone-arındırılmış alan) bölümü seçilir. 

 

Figure 1: Bal küplerinin ağa konumlandırılması

 

Bal küpleri kullanım amaçlarına göre araştırma bal küpleri(research) ve çalışan canlı sistem (production) bal küpleri olarak ikiye ayrılır. Araştırma bal küpleri eğitimsel amaçlar ve güvenlik  geliştirmeleri için kullanılır. Çalışan canlı sistem bal küpleri ise gerçek sistemlerindeki kötü  niyetli ve tehlikeli aktiviteleri izlemek için kullanılır. Çalışan canlı sistem bal küplerinin  araştırma bal küplerine göre kurulumu daha kolaydır, siber suçlu ve kullandığı yöntemler bakımından daha az bilgi toplarlar. 

 

Bal küpleri topladığı siber bilgi ve etkileşimler  için kendi arasında saf, düşük, orta ve yüksek  bal küpü olarak sınıflandırılır. Bu sınıflandırmalar kompleksliğe, kullanılan sanal makine sayısına, kullandığı kaynak miktarına  (cpu, memory vb.), tespit edilme hızına ve savunma mekanizmasının ne kadar güvenlikli  olmasına göre değişir.  

 

Bal küplerinin aşağıdaki gibi farklı siber saldırıları anlamak ve tespit etmek için tipleri  mevcuttur.

 

• İstenmeyen e-posta bal küpleri (spam honeypots) 
• Kötü amaçlı yazılım bal küpleri (malware honeypots) 
• Veri tabanı bal küpleri (database honeypots) 
• Kullanıcı bal küpleri (client honeypots) 
• Tamamen bal küplerinden oluşan bir ağ (honeynets) 

 

Bal küpü kullanmanın dezavantajları da vardır. Örneğin; siber saldırgan, saldırdığı sistemin bal  küpü olduğunu anlayıp burada sahte girişimlerde bulunup (fingerprint) sizi yanıltabilir. Ayrıca en tehlikelisi, gerçek sistemlerinize gitmek için bu bal küplerini kullanabilirler, bu nedenle bal  küplerini ağınıza konumlandırırken güvenli ve izole olmasına dikkat etmelisiniz. Bunun gibi  birçok sebepten dolayı bal küpleri geleneksel güvenlik sistemlerinin yerini almamalıdır sadece  artı bir sistem olarak düşünülmelidir.

 

Günümüzde bal küpleri aktif bir şekilde birçok siber güvenlik firması tarafından  kullanılmaktadır. Birçok ddos atağı vektörlerinin izlenmesi bal küpleri sayesinde yapılabilmektedir. Örneğin aşağıda görseli bulunan bir ddos atak türü olan büyütme atak  türünün (Amplification DDoS attack) her gün ne kadar sayıda gerçekleştiği bilgisi bal küpleri  sayesinde gözlemlenmiştir. 

 

Figure 2: Büyütme ddos atak türünün (Amplification DDoS Attack) günlük atak sayısı [1] 

 

Yukarda bal küpleri (honeypots) kavramının ne olduğu ile ilgili özet bilgiler vermeye çalıştım  bir sonraki güncel siber güvenlik kavramı yazısında görüşmek üzere. 

 

Kaynaklar 

 

^[1]https://labs.ripe.net/author/johannes_krupp/honeypot-based-monitoring-of-amplification-ddos-attacks/ 
https://www.imperva.com/learn/application-security/honeypot-honeynet/
https://usa.kaspersky.com/resource-center/threats/what-is-a-honeypot
https://www.techtarget.com/searchsecurity/definition/honey-pot 
https://en.wikipedia.org/wiki/Honeypot_(computing) 
https://www.fortinet.com/resources/cyberglossary/what-is-honeypot