Inloggen Geen profiel? Registreer hier.

Bouw verder aan cyberveiligheid in jouw lokaal bestuur: implementeer een honeypot!

23/06/2020

Een honeypot is een technische opstelling die je op verschillende niveaus kunt inzetten, bv. op serverniveau of op firewallniveau. Je gebruikt a.h.w. lokaas in bepaalde mappen om ransomware aan te trekken. Eens de ransomware op het netwerk zit, kun je intern de systeembeheerder op centrale wijze waarschuwen (bv. files die zijn veranderd in die map, verwijderd, of toegevoegd), en kunnen de nodige maatregelen (al dan niet automatisch) worden genomen om de dreiging onschadelijk te maken. Zo kun je bv. nieuwe verdachte bestanden automatisch laten verwijderen (bestanden met een ransomwareformaat) of accounts die bepaalde mappen proberen binnen te dringen tegenhouden (toegang blokkeren voor bepaalde tijdspannen).

Beschouw een honeypot als een extra laag security binnen een netwerk. Het vervangt geen antivirus- of antimalwaresysteem, maar kan tellen als extra veiligheidsmaatregel om jouw systemen veilig te houden. De opzet in dit geval is ontwikkeld binnen intercommunale Leiedal en werd reeds succesvol geïmplementeerd in een lokaal bestuur in Limburg. Het is gratis te gebruiken en te implementeren. De tool bevat niet alleen de gekende ransomwareformaten, maar kan bovendien op een moment naar keuze automatisch worden geüpdatet met de recentste formaten, zodat ook deze worden herkend.

Enkele waarschuwingen vooraf, want een honeypot installeren komt ook met een aantal risico’s:

  • Let op met het intern hosten van een honeypot. Dit kan ertoe leiden dat hackers sneller kwetsbaarheden in jouw systeem kunnen terugvinden.
    • Zorg best voor een aparte, onafhankelijke omgeving die de productieomgeving van het lokaal bestuur maximaal nabootst, met gelijkaardige documenten. Hoe meer documentformaten en hoe meer deze lijken op die van de productieomgeving, des te groter de kans dat je hackers hiernaartoe trekt (als ze jouw omgeving in het oog krijgen).
    • Voorbeelden van aparte lijnen/locaties zijn Azure (cloud) of aparte telefonielijnen dan die voor intern gebruik in het lokaal bestuur. Je redirect de host vanop DNS naar dyndns host.
    • Om de risico's van het gebruik van een honeypot in te perken, is het sterk aangewezen een voorafgaandelijke risicoanalyse uit te voeren, en in het beste geval door iemand met de nodige expertise. V-ICT-OR is facilitator in dit project van de lokale besturen en draagt geen verantwoordelijkheid voor eventuele incidenten ten gevolge van een implementatie.
  • Een honeypot installeren is één iets, de resultaten verwerken, interpreteren en er iets mee doen is een ander iets. Zorg dat je ruimte vrijhoudt om rapporten periodiek te onderzoeken en anomalieën te detecteren. Zorg dat je acties uitzet als er iets niet pluis is.
  • Heb je zelf niet de technische kennis om dit op te zetten? Of misschien heb je niet genoeg mankracht om zelf steekproefgewijs de resultaten door te lichten? Denk dan evt. aan een leverancier die wel dergelijke professionele teams aanbiedt. Vaak bieden leveranciers van antivirusprogramma’s of aanbieders van cybersecuritybegeleidingen gelijkaardige oplossingen aan waar dan direct al een professioneel team achter zit.

Wil je ermee aan de slag als Vlaams lokaal bestuur? Ga naar het team ‘RKK Overkoepelend’ waarin we een gloednieuw kanaal hebben gemaakt ‘project honeypot’. (nog geen toegang als lid van jouw lokaal bestuur? Contacteer dan vlavirgem@v-ict-or.be) In het team kun je onder het tabblad 'Bestanden' de bestanden downloaden waarmee je de opzet van de honeypot in eigen organisatie uitrolt. Lees zeker eerst de handleiding bij die bestanden, want daarin staan een aantal cruciale tips, waaronder aanvullingen uit de implementatie bij het Limburgse lokaal bestuur.

We hopen dat dit een oefening mag worden die blijft groeien, waarbij lokale besturen deze opzet verder versterken. We vermoeden dat de opzet telkens lichtjes kan wijzigen, afhankelijk van de securityopzet die jouw lokaal bestuur nu hanteert. Alle ervaringen zijn dus meer dan welkom, we kunnen maar van elkaar leren!

We hebben trouwens nog meer in petto qua communitywerking: een overkoepelend project rond de beveiliging van lokale wachtwoorden en een project rond het delen van deploymentprofielen. Houd ons nieuws dus in de gaten.