Fitur honeypot cloud mendeteksi dan melacak sumber serangan, baik dari dalam maupun luar lingkungan cloud Anda. Terapkan honeypot di virtual private cloud (VPC) dan pada server yang dilindungi oleh Security Center untuk mencegat penyerang sebelum mereka mencapai aset nyata Anda.
Setiap upaya koneksi ke honeypot dianggap mencurigakan dan memicu peringatan—karena honeypot tidak memiliki fungsi bisnis yang sah, seluruh lalu lintas ke honeypot merupakan lalu lintas penyerang.
Honeypot menggunakan port pada host. Alokasikan port host dengan hati-hati untuk menghindari konflik dengan beban kerja produksi Anda.
Cara kerja
Pertahanan keamanan tradisional mengandalkan tanda tangan serangan yang telah diketahui, sehingga tidak efektif terhadap serangan advanced persistent threat (APT) yang mengeksploitasi kerentanan nol hari. Ketika server dikompromikan, tim keamanan hanya dapat merespons setelah insiden terjadi.
Honeypot cloud menerapkan pendekatan proaktif dengan menyediakan komponen yang tampak seperti aset bisnis nyata namun tidak memiliki tujuan produksi. Penyerang tertarik pada umpan ini, sehingga memberi waktu untuk mengamati perilaku mereka, mengumpulkan intelijen, dan memperkuat pertahanan aset nyata Anda.
Honeypot cloud menggunakan dua jenis probe untuk mengalihkan lalu lintas ke honeypot:
VPC probes — Lalu lintas yang ditujukan ke alamat IP yang tidak digunakan di VPC Anda dialihkan secara otomatis ke honeypot. VPC probes tidak mengonsumsi sumber daya host atau jaringan.
Host probes — Instal probe pada host tempat beban kerja Anda berjalan. Probe ini hanya meneruskan lalu lintas ke port yang tidak biasa ke kluster honeypot, dengan dampak minimal pada host dan tanpa memengaruhi aplikasi Anda.
Gunakan VPC probes dan host probes secara bersamaan untuk melindungi banyak alamat IP dengan biaya rendah.
Konsep utama
| Konsep | Deskripsi |
|---|---|
| VPC probe | Komponen cloud-native yang mengalihkan traffic dari alamat IP VPC yang tidak dapat dijangkau ke honeypot. Dikembangkan oleh tim Security Center dan jaringan. |
| Host probe | Agen ringan yang diinstal pada host produksi. Meneruskan traffic yang tidak biasa ke kluster honeypot tanpa memengaruhi stabilitas host atau kinerja aplikasi. Dapat diinstal pada perangkat keras dan sistem operasi umum. |
| Low-interaction honeypot | Layanan simulasi yang mendengarkan di semua port dan mencatat upaya koneksi. Memiliki fidelitas lebih rendah, tetapi cepat diterapkan dan mudah diskalakan. Pilih tipe ini untuk cakupan luas dengan biaya rendah. |
| High-interaction honeypot | Emulasi lengkap host atau layanan yang rentan. Mendukung tipe honeypot web, database, layanan sistem, cacat khusus, dan kustom. Memiliki fidelitas lebih tinggi serta menyediakan data perilaku penyerang yang lebih kaya. Pilih tipe ini ketika Anda membutuhkan intelijen rinci mengenai teknik penyerang. |
| Honeypot cluster | Kelompok honeypot bawaan dan kustom yang diterapkan bersama. Kluster meningkatkan cakupan penipuan dan menyulitkan penyerang membedakan honeypot dari aset nyata. |
| Custom honeypot | Honeypot berbasis kontainer yang Anda bangun untuk mensimulasikan lingkungan bisnis spesifik Anda. Mendukung simulasi bisnis tingkat tinggi. |
| Docker escape detection | Dibangun secara default di setiap kluster honeypot. Mendeteksi upaya penyerang untuk keluar dari kontainer. |
| Management node | Mengontrol aturan pengalihan lalu lintas dari host probes. Bahkan jika management node dikompromikan, penyerang tidak dapat menggunakannya untuk mengendalikan host yang mendasarinya. |
Lingkungan yang didukung
| Lingkungan | Jenis probe | Catatan |
|---|---|---|
| Alibaba Cloud | VPC probes | Mengalihkan traffic dari alamat IP VPC yang tidak dapat dijangkau ke honeypot. Biaya rendah, cakupan tinggi. |
| Cloud pihak ketiga | Host probes | Mengalihkan traffic yang tidak biasa ke kluster honeypot backend. |
| Pusat data | Host probes | Mengalihkan traffic yang tidak biasa ke kluster honeypot backend. |
Dampak potensial
Kinerja
| Komponen | Dampak |
|---|---|
| VPC probe | Tidak mengonsumsi sumber daya host atau jaringan |
| Host probe | Hanya meneruskan traffic port yang tidak biasa; penggunaan sumber daya sistem minimal |
Stabilitas
| Komponen | Dampak |
|---|---|
| VPC probe | Mensimulasikan interaksi dengan traffic pemindaian. Jika Anda menjalankan perangkat lunak deteksi aset yang melakukan pemindaian, hasil positif palsu mungkin dilaporkan. |
| Host probe | Menggunakan port pada host. Alokasikan port host dengan hati-hati sebelum penerapan. |
Keamanan
Isolasi jaringan diterapkan antara honeypot dan probe. Bahkan jika kluster honeypot dikompromikan, penyerang tidak dapat menjangkau jaringan produksi Anda melalui jalur komunikasi honeypot-ke-probe.
Setiap pengguna mendapatkan kluster honeypot unik dengan Docker escape detection yang diaktifkan secara default.
Batasan
Host probes
Host probes hanya dapat diinstal pada server yang muncul di modul Assets di Konsol Security Center dan dilindungi oleh Security Center.
VPC probes
VPC probes didukung di wilayah-wilayah berikut:
Tiongkok
Tiongkok (Qingdao)
Tiongkok (Beijing)
Tiongkok (Zhangjiakou)
Tiongkok (Hohhot)
Tiongkok (Ulanqab)
Tiongkok (Hangzhou)
Tiongkok (Shanghai)
Tiongkok (Shenzhen)
Tiongkok (Heyuan)
Tiongkok (Guangzhou)
Tiongkok (Chengdu)
Tiongkok (Hong Kong)
Luar Tiongkok
Jepang (Tokyo)
Singapura
Indonesia (Jakarta)
AS (Virginia)
AS (Silicon Valley)
Inggris (London)
UEA (Dubai)
Jerman (Frankfurt)