Honungsfällor – IT-säkerhet med inbyggd risk
Honungsfällor kan användas i IT-system för att medvetet vilseleda eller studera angripare. Militära organisationer som Försvarsmakten kan ha nytta av tekniken för att skydda sig och samla information. Men metoden är inte riskfri, visar en studie av FOI.
Inom cybersäkerhet vill man i normala fall hålla angripare borta från datorer och nätverk. Men en honungsfälla fungerar tvärtom.
– I de här fallen vill man ha in angriparna. Det kan vara så att angriparen redan är inne och rotar i nätet och då vill man att de går till honungsfällorna istället för till de viktiga bitarna. Eller så vill man locka angripare innan de ens varit inne i systemet, säger Henrik Karlzén, forskare på avdelningen för ledningssystem i Linköping och författare till rapporten Honungsfällor – att vilseleda och studera cyberangripare som Försvarsmakten beställt av FOI.
Bygger upp trovärdig miljö
Att medvetet locka till sig angripare utifrån kan vara ett sätt att undersöka deras tillvägagångssätt, genom att studera vad angriparen gör i honungsfällan.
Den som sätter upp fällan vill att den ska se ut som ett vanligt system.
– För den som ska försvara sig blir det en avvägning mellan att skapa en trovärdig fasad som lurar angriparen, och att lägga rimligt med resurser på att bygga upp den. För att hantera enklare angrepp, ett virus till exempel, krävs det inte så mycket. Men när det är människor som utför angreppen måste man kanske bygga något som ser mer verkligt ut, säger Henrik Karlzén.
Honungsfällan kan placeras på olika ställen. Den kan ligga så att angriparen hittar den tidigt, eller finnas längre in i systemet. Det går också att anpassa och förändra honungsfällor över tid för att behålla ett verklighetstroget intryck.
Inom Försvarsmakten finns det vissa system där honungsfällor kan passa bra att använda, enligt Henrik Karlzén.
– Underrättelsefunktionen, att lära sig om angrepp, är Försvarsmakten förstås väldigt intresserade av. När man ska upprätthålla realismen gentemot angripare är det lätt att göra för standarddatorer. Det är ganska enkelt att bygga upp miljöer som ser ut som en vanlig Windows-dator.
Angriparen kan också vilseleda
En nackdel för Försvarsmakten är att organisationen också har system och miljöer som sticker ut.
– Och de angripare som Försvarsmakten kan drabbas av är förstås extra svåra att lura, säger Henrik Karlzén.
Det finns flera risker med att använda honungsfällor. Den första är att angriparen förstår att den har hamnat i en honungsfälla. Då är resurserna som lagts på att bygga upp fällan bortkastade.
En annan risk är att angriparen upptäcker honungsfällan men inte avslutar angreppet, utan ändrar det.
– På så sätt kan angriparen göra att vi lär oss felaktigt, och tror att angriparen typiskt angriper på ett sätt den inte gör. Det blir vilseledning åt båda hållen.
Fällan kan också tas över av angriparen, som utifrån honungsfällan kan ta sig vidare till de riktiga systemen.
– Det är kanske den största risken. I en honungsfälla har man ju på sätt och vis låtit angriparen ta sig in, det är lite som att man har gett bort sina resurser. Då blir man också lite ansvarig om angriparen skulle lyckas utnyttja tillfället, säger Henrik Karlzén.