Uma das principais lições que todo profissional de TI já teve a de sempre ter um processo de auditoria para casos de invasão. Caso você se depare com um ataque, terá como rastreá-lo, sabendo o que vai acesso, quando e onde. Além de uma avaliação mais completa sobre a invasão, isso é necessário porque muitas leis e regulamentos exigem essas pistas de auditoria.
Para facilitar esse processo, existe uma diversidade de ferramentas que monitoram dispositivos, sistemas, aplicativos e logs. Uma vez que estas ferramentas monitoram a rede 24h por dia, 7 dias por semana, são identificadas milhares de entradas de logs diariamente, muitas vezes deixando os administradores com excesso de dados. E esses dados incluem alertas, detecções de tentativa de invasão, sinais de alerta etc.
Pensando nessa enorme quantidade de informações, a questão é: será que o excesso de informações não faz com que seja mais difícil identificar um ataque real?
Essas ferramentas fazem o que são programadas para fazer. Mas, talvez, esse seja o problema. Se tudo é importante e deve ser investigado, logo, nada é importante.
É por isso que o honeypot se tornou uma ferramenta de segurança utilizada por muitos profissionais e, de certa forma, corrige falhas das ferramentas de monitoramento existentes.
O que é e quais são as vantagens do honeypot
O honeypot nada mais é do que uma espécie de isca, ou seja, senhas, vulnerabilidades e dados sensíveis falsos que são intencionalmente colocados na rede. O objetivo é atrair e enganar hackers que tentam invadir a rede de dados da empresa e, assim, monitorar todo o processo de ataque. O honeypot é monitorado por profissionais de TI, logo, qualquer invasor que tenta acessar essas iscas é identificado.
Uma das principais vantagens do honeypot é saber como o hacker entra na rede de dados da empresa, por onde ele entra, quais arquivos são excluídos e/ou adicionados e qual malware está sendo utilizado.
O honeypot emite alertas que devem ser investigados, ao contrário das outras ferramentas citadas acima. Ao invés de enviar inúmeras notificações ao profissionais de TI, sem filtrar alertas de alto e baixo risco, o honeypot consegue filtrar e enviar apenas o que realmente precisa ser analisado.
Essa ferramenta também pode ser utilizada como alternativa para prevenção de ransomware. Se você não tem um sistema automatizado de monitoramento, criar um honeypot com arquivos falsos e monitorar com frequência pode ser uma alternativa para prevenir ataques de ransomware.
E por que o honeypot não pode ser a única solução de segurança?
A solução de segurança ideal é aquela desenvolvida especialmente para uma empresa, pois cada rede de dados tem suas especificações únicas e soluções mais completas oferecem maior visibilidade. Os honeypots devem ser utilizados apenas como soluções pontuais de segurança, não como a única barreira contra ataques cibernéticos.
UBA é uma excelente solução para detectar invasores
O User Behavioral Analytics (UBA) é uma ferramenta que monitora o comportamento dos usuários dentro da rede de dados. No caso de um invasor dentro do sistema, é possível identificá-lo por meio de suas ações. Por exemplo, quando um hacker invade o sistema com credenciais de um funcionário, ele pode passar despercebido pelo TI, mas, se houver uma avaliação do que esse usuário está buscando na rede, quais arquivos e pastas ele está acessando etc., é possível identificar se este usuário é um invasor.