Een honeypot is een technische opstelling die je op verschillende niveaus kunt inzetten, bv. op serverniveau of op firewallniveau. Je gebruikt a.h.w. lokaas in bepaalde mappen om ransomware aan te trekken. Eens de ransomware op het netwerk zit, kun je intern de systeembeheerder op centrale wijze waarschuwen (bv. files die zijn veranderd in die map, verwijderd, of toegevoegd), en kunnen de nodige maatregelen (al dan niet automatisch) worden genomen om de dreiging onschadelijk te maken. Zo kun je bv. nieuwe verdachte bestanden automatisch laten verwijderen (bestanden met een ransomwareformaat) of accounts die bepaalde mappen proberen binnen te dringen tegenhouden (toegang blokkeren voor bepaalde tijdspannen).
Beschouw een honeypot als een extra laag security binnen een netwerk. Het vervangt geen antivirus- of antimalwaresysteem, maar kan tellen als extra veiligheidsmaatregel om jouw systemen veilig te houden. De opzet in dit geval is ontwikkeld binnen intercommunale Leiedal en werd reeds succesvol geïmplementeerd in een lokaal bestuur in Limburg. Het is gratis te gebruiken en te implementeren. De tool bevat niet alleen de gekende ransomwareformaten, maar kan bovendien op een moment naar keuze automatisch worden geüpdatet met de recentste formaten, zodat ook deze worden herkend.
Enkele waarschuwingen vooraf, want een honeypot installeren komt ook met een aantal risico’s:
Wil je ermee aan de slag als Vlaams lokaal bestuur? Ga naar het team ‘RKK Overkoepelend’ waarin we een gloednieuw kanaal hebben gemaakt ‘project honeypot’. (nog geen toegang als lid van jouw lokaal bestuur? Contacteer dan vlavirgem@v-ict-or.be) In het team kun je onder het tabblad 'Bestanden' de bestanden downloaden waarmee je de opzet van de honeypot in eigen organisatie uitrolt. Lees zeker eerst de handleiding bij die bestanden, want daarin staan een aantal cruciale tips, waaronder aanvullingen uit de implementatie bij het Limburgse lokaal bestuur.
We hopen dat dit een oefening mag worden die blijft groeien, waarbij lokale besturen deze opzet verder versterken. We vermoeden dat de opzet telkens lichtjes kan wijzigen, afhankelijk van de securityopzet die jouw lokaal bestuur nu hanteert. Alle ervaringen zijn dus meer dan welkom, we kunnen maar van elkaar leren!
We hebben trouwens nog meer in petto qua communitywerking: een overkoepelend project rond de beveiliging van lokale wachtwoorden en een project rond het delen van deploymentprofielen. Houd ons nieuws dus in de gaten.