Veel bedrijven zijn momenteel afhankelijk van grote hoeveelheden gegevens die via web scraping op het internet zijn verkregen om zakelijke beslissingen te implementeren. Web scraping wordt echter vaak geconfronteerd met een aantal uitdagingen en een van die uitdagingen zijn de honeypotvallen.
Aan de andere kant zijn Honeypots ook van vitaal belang voor de Cybersecurity van je organisatie.
Dit artikel geeft dus een overzicht van honeypots voordat we verder gaan met hoe je honeypot-vallen kunt vermijden bij web scraping.
Honeypots in netwerkbeveiliging zijn een loksysteem dat ontworpen is als een legitiem gecompromitteerd systeem. Het primaire doel is om cybercriminelen tijd en moeite te laten investeren in het uitbuiten van opzettelijk zwakke plekken in een computersysteem. Vervolgens waarschuwt het uw interne cyberbeveiligingsteam voor de gecompromitteerde pogingen van aanvallers.
Deze alertheid stelt je beveiligingsteam in staat om de live aanvallen via honeypots te onderzoeken om kwetsbaarheden te beperken en de aanvallers weg te lokken van het berokkenen van schade aan het legitieme systeem.
Omdat honeypots identiek zijn aan een echt computersysteem met toepassingssoftware en gegevens om cybercriminelen te misleiden, worden ze opzettelijk ontwikkeld met veiligheidsleemtes. Een prominent voorbeeld zijn enkele kwetsbare poorten die open staan om aanvallers naar de honeypot te lokken in plaats van naar het echte systeem.
Een ander honeypot-scenario is het nabootsen van een Payment Gateway-pagina op internet, wat een ideaal doelwit zou zijn voor cybercriminelen om creditcardnummers te bespioneren. Zodra een cybercrimineel op zo'n pagina terechtkomt, kan je beveiligingsteam hun gedrag beoordelen en hun bewegingen volgen om de legitieme Payment Gateway veiliger te maken.
Vanuit de werking van de honeypots zou je het kunnen beschouwen als een waardevol hulpmiddel dat helpt bij het identificeren van zwakke plekken in de beveiliging van je organisatie en het opsporen van nieuwe bedreigingen. Bovendien kun je trends van aanvallers analyseren en mechanismen introduceren om je tegen dergelijke bedreigingen te beschermen.
Honeypots kunnen worden gecategoriseerd op basis van hun inzet- en betrekkingsniveau. Op basis van inzet kun je ze categoriseren als:
Vervolgens kunnen honeypots op basis van de betrokkenheidsniveaus als volgt worden geclassificeerd:
Tot nu toe heb je een honeypot ontdekt als een enkele Virtuele Machine in een netwerk. Honeynets zijn daarentegen een serie honeypots die met elkaar verbonden zijn, zoals in het onderstaande diagram. Een enkele honeypot is niet voldoende om verdacht verkeer te monitoren dat een uitgebreider netwerk binnenkomt.
De honeynets zijn verbonden met de rest van het netwerk via een "honeywall" gateway die het verkeer dat het netwerk binnenkomt controleert en doorstuurt naar de honeypot nodes.
Met behulp van een honeynet kan je beveiligingsteam grootschalige cyberbeveiligingsbedreigingen onderzoeken, zoals DDOS-aanvallen (Distributed Denial of Service) en ransomware. Vervolgens kan het beveiligingsteam relevante voorzorgsmaatregelen nemen om de aanvallers van het huidige systeem te verjagen.
Honeynets beschermen je hele netwerk tegen inkomend en uitgaand verdacht verkeer en maken deel uit van een uitgebreid inbraaknetwerk.
Nu mag je aannemen dat met de aanwezigheid van honeypots, je netwerk volledig veilig is. Dit is echter niet de realiteit, aangezien honeypots verschillende nadelen hebben en geen enkel beveiligingsmechanisme vervangen.
Honeypots kunnen niet alle beveiligingsbedreigingen detecteren die er zijn - alleen omdat een bepaalde bedreiging de mazen in de honeypot niet infiltreerde, betekent dit niet dat het het legitieme systeem niet zou binnendringen. Aan de andere kant zou een expert-hacker een honeypot als onwettig beschouwen en andere netwerksystemen aanvallen, terwijl hij de honeypot ongemoeid laat.
Een aanvaller kan ook spoof-aanvallen uitvoeren om je aandacht af te leiden van de daadwerkelijke exploit naar je productieomgeving.
Erger nog, een meer innovatieve hacker zou de honeypot gebruiken als een manier om toegang te krijgen tot je productieomgeving. Dit is de duidelijke reden waarom honeypots andere beveiligingsmechanismen zoals firewalls niet kunnen vervangen. Dus omdat de honeypot als lanceerplatform kan dienen om de rest van het systeem aan te vallen, moet je voldoende voorzorgsmaatregelen nemen voor elke honeypot in het netwerk.
Er zijn honeypotvallen om illegaal webschrapen te vermijden, wat inhoudt dat slechts een handvol scrapers auteursrechtelijk beschermde informatie schrapen. Helaas moeten door deze paar scrapers ook de legitieme scrapers af en toe de prijs betalen. Dit komt omdat de honeypots niet in staat zijn om legitieme scrapers te onderscheiden van niet-legitieme.
Webpagina's bevatten links waar alleen crawlers toegang toe hebben. Dus wanneer een crawler gegevens van die links schraapt, detecteert de website crawlingactiviteit. Een website met honeypot-traps kan je web scraping-activiteit dus gemakkelijk opsporen omdat het scrapen van deze sites illegaal is. Als gevolg daarvan wordt je IP waarschijnlijk geblokkeerd en krijg je dus niet de gewenste gegevens.
Om de scrapers te lokken, gebruiken sommige sites met honeypot links hun CSS display property op none. Daarom moet je ervoor zorgen dat je crawler alleen de zichtbare links volgt. Om blokkades te voorkomen, kun je ook het beste de regels en richtlijnen volgen van de website die je gaat scrapen.
Hoewel honeypots bepaalde risico's met zich meebrengen, wegen de voordelen zeker op tegen de risico's, zoals aangetoond in de sectie met beperkingen. Daarom zijn honeypots een essentieel mechanisme om te hebben wanneer je de beveiligingsinvestering voor je organisatie overweegt. Zorg er aan de andere kant ook voor dat professionals met expertise uw beveiliging en honeypots evalueren.
