Honungsfällor - Att vilseleda och studera cyberangripare

Författare:

  • Henrik Karlzén

Publiceringsdatum: 2021-12-14

Rapportnummer: FOI-R--5217--SE

Sidor: 35

Skriven på: Svenska

Forskningsområde:

  • Informationssäkerhet

Nyckelord:

  • honungsfälla
  • honungsnätverk
  • vilseledning
  • cybersäkerhet

Sammanfattning

Den här rapporten beskriver grunderna om honungsfällor i cyberdomänen. En honungsfälla (eng. honeypot) definieras här som en cybersäkerhetsfunktion som med hjälp av vilseledning lockar till sig angripare och får dem att stanna kvar. Honungsfällor används för att förskona ägarens IT-system från angrepp samtidigt som lärdomar för framtiden kan dras om angreppen. Inom forskningslitteraturen finns dock ingen fullständig enighet om hur begreppet honungsfälla ska definieras. Det finns många typer av honungsfällor och de kan delas in efter deras placering, nätverksroll, syfte, interaktionsnivå, samverkan, dynamik och omdirigeringsförmåga. Utöver honungsfällor finns det även liknande cybersäkerhetsfunktioner. Exempelvis rör det sig om tjärgropar (eng. tarpits) där angripare fördröjs samt en cybervariant av kamouflage. Att använda honungsfällor är inte riskfritt. Om angriparen inte blir vilseledd har försvararen i bästa fall kastat bort sina pengar. I värsta fall kan angriparen vända på rollerna och börja vilseleda försvararen. En annan risk är att välvilliga utomstående upptäcker honungsfällan men utan att inse att den är en honungsfälla. Den utomstående kan då känna sig manad att rapportera den ovanliga aktiviteten som en incident vilket kan ge förvirring och skapa onödigt arbete. En tredje risk är att en angripare lyckas använda honungsfällan som språngbräda in i produktionsmiljön. Därtill finns det vissa frågetecken kring vilken användning av honungsfällor som är tillåten juridiskt. Forskningen om honungsfällor har lett till att många olika honungsfällor tagits fram genom åren. Vad gäller mognaden hos dagens honungsfällor så är den tillräcklig för att möta enkla breddangrepp. Mognadsgraden är betydligt lägre vad gäller avancerade riktade angrepp. Honungsfällor har dock använts för att upptäcka tidigare okända sårbarheter (eng. zero-days). Det finns potentiell nytta med att använda honungsfällor i en militär organisation som Försvarsmakten eftersom det finns stort behov av den typ av underrättelser och skydd som honungsfällor kan bidra med. Utöver nyttan finns dock också särskilda utmaningar med att använda honungsfällor i Försvarsmakten. Dessa utmaningar följer av att Försvarsmakten har en särskild hotbild och delvis ovanliga typer av IT-system. Försvarsmakten behöver därför göra en avvägning mellan honungsfällors potentiella nytta och den svårighet och risk som är förknippad med deras införande.