Microsoft heeft kortgeleden onthuld dat het werkt aan ‘honingpot’-technologie om internetwormen te verdelgen. Deskundigen zeggen dat honingpotten een sleutelrol zullen spelen in de strijd tegen kwaadaardige aanvallen en dat de stap van Microsoft meer ondernemingen bewust kan maken van de potentiële kracht van dit verdedigingswapen.
Honingpotten doen hun werk door als een makkelijk te overmeesteren doelwit voor kwaadaardige aanvallen op te treden. Dit doelwit wordt scherp in de gaten gehouden om aanvallen te identificeren. Microsoft onderzoekt op welke manier deze technologie geïntegreerd kan worden in het Windows-platform en hoopt automatische wormenverdelgende tools te kunnen bouwen, alsook meer proactieve systemen om bedreigingen te ontwaren.
Dit soort systemen voor inbraakbeveiliging (IPS, intrusion prevention systems) kan van vitaal belang worden in het beschermen van ondernemingen, nu de tijd tussen het ontdekken van een kwetsbaarheid en de release van exploits die daarvan misbruik maken steeds korter wordt. “Op toegangspoorten (gateways) gebaseerde antivirussystemen werken alleen als de definities van de gevaren up to date is. Ze kunnen niets uitrichten tegen exploits die snel worden uitgebracht”, zegt Bart De Maertelaere van ict-dienstverlener Unisys. “Honingpotten zijn niet het ei van Columbus, maar ze moeten wel een vitaal onderdeel worden van onze it-verdediging, zeker tegen aanvallen op dezelfde dag (zero-day attacks).
Miles Clement, projectmanager Veiligheid bij het Information Security Forum onderstreept de oproep om tot proactieve technologie te komen, in het bijzonder als die gebundeld meegeleverd zou worden met Windows. “Als je de honingpotten niet zelf hoeft te configureren, brengt dat de beheerkosten flink omlaag”, zegt Clement.
Andere deskundigen beweren echter dat de aanpak van Microsoft onvoldoende kan zijn. Federico Barbieri, virusonderzoeker bij beveiligingsonderneming McAfee zegt: “De meest effectieve honingpot wordt op bestelling gemaakt. Hun specifieke aard vereist deskundige planning, installatie en onderhoud en dat valt verdraaid lastig onder te brengen in een eenvoudig te gebruiken product.”
Barbieri, die al een aantal jaren met honingpotten heeft gewerkt, stelt ook dat een Windows-honingpot eenvoudig kan worden herkend door de ervaren hacker, en goed-gecodeerde wormen kunnen de val ontwijken. Barbieri zou desalniettemin graag zien dat meer ondernemingen dergelijke technologie benutten. “Honingpotten zijn een kostbare, maar belangrijke component van een totaal IPS-systeem en moeten op veel grotere schaal ingezet worden”, zegt hij.
Roger Howorth
