Honeypot

Model Honeypoot

Apa itu honeypot? Bisa dianalogikan seperti apa?

Honeypot adalah sebuah sistem yang dirancang untuk “memikat” penyerang. Sistem ini dibuat dengan fungsi dan memberikan interaksi yang sama dengan sistem yang aslinya sehingga penyerang tidak menyadari sudah masuk dalam perangkap.

Interaksi penyerang berupa identitas penyerang dan teknik penyerang masuk ke dalam sistem dapat direkam oleh Honeypot sehingga informasi tersebut dapat menjadi sumber informasi penting dalam mempelajari teknik yang digunakan penyerang.

Kumpulan honeypot yang saling terhubung dalam sebuah sistem disebut “honeynet”.

Berbeda dengan Intrusion Detection System (IDS), yang melakukan pemantauan semua serangan siber yang masuk dalam jaringan (dari semua sumber ke semua destinasi), honeypot hanya memantau serangan yang dilakukan pada alamat yang honeypot tersebut pantau

Berarti honeypot hanya memantau alamat tertentu?

Maksudnya begini, misalnya, di infrastruktur Cyberthreat.id ada empat server: tiga server utama dan satu server honeypot. Empat server tersebut memiliki alamat sendiri-sendiri (alamat IP). Jadi, honeypot hanya memantau di alamatnya dia saja, enggak bisa memantau alamat server lain.

Kapan dibuatnya?

Honeynet Indonesia awalnya merupakan riset yang dilakukan oleh Indonesian Honeynet Project (IHP). IHP didirikan pada 25 November 2011 berdasarkan petisi dari 15 anggota yang mewakili akademisi, praktisi keamanan informasi, dan pemerintah yang mengajukan untuk berdirinya Honeynet Project–Indonesia Chapter yang juga didukung (endorse) oleh Singapore Chapter.

Indonesia Chapter resmi berdiri pada 9 Januari 2012 setelah mendapat persetujuan dari Honeynet Global. Pada saat ini, anggota IHP sudah lebih dari 350 anggota (akademisi, praktisi, dan pemerintah).

Setelah itu Honeynet bersama IHP diampu oleh Kementerian Kominfo. Pada saat itu sudah tergelar 21 titik sensor honeypot di enam provinsi. Tetapi, setelah adanya perpres tentang berdirinya BSSN, honeynet dialihkan ke BSSN pada 2018 sesuai dengan surat dari Kominfo terkait pengalihan tugas bidang keamanan informasi. Pada 2018, BSSN menjalankan honeynet dan sampai sekarang sudah tergelar 56 titik sensor honeypot di 18 provinsi.

Urgensinya apa menggunakan honeypot ini?

Awalnya karena muncul dari komunitas, honeypot dibuat untuk digunakan sebagai riset dan penelitian karena kemampuanya untuk mendeteksi serangan siber dan malware. Data yang ada digunakan oleh akademisi untuk melakukan penelitian dibidang keamanan siber. Selanjutnya karena ada benefit lain dari honeypot itu sendiri, honeypot dibuat dan disebar ke beberapa titik di indonesia yang berguna untuk menjadi alat deteksi dini serangan siber yang masuk ke Indonesia.

Apa saja yang bisa dilakukan honeypot?

Dua fungsi utama yang bisa dilakukan oleh honeypot adalah Sebagai decoy (umpan) penyerang dan sebagai deteksi serangan siber dan malware.

Bagaimana mekanisme kerjanya?

Sederhananya, cara kerja honeypot adalah sebagai sistem jebakan (server palsu) yang mengemulasikan servis seperti sistem asli. Servise yang dimaksud seperti SSH, FTP, HTTP, Telnet, dll. Jadi, honeypot menjalankan servis tersebut dan vulnerable (rentan) untuk diserang. Pada saat penyerang melakukan scanning pada jaringan yang terdapat honeypot didalamnya, penyerang akan menemukan bahwa honeypot adalah sistem yang paling lemah sehingga menarik untuk dilakukan serangan.

Pada saat penyerang melakukan serangan, honeypot akan merekam segala aktivitas serangan dan disimpan dalam log. Data log serangan tersebut yang kemudian akan dianalisis oleh analis untuk melakukan deteksi dini dan juga dapat melakukan analisis lainya seperti analisis malware, analisis behaviour serangan, analisis forcasting serangan, dll.

Honeypot ini berbentuk apa?

Bisa berbentuk software  ataupun hardware. Ada yang berbentuk dedicated server, ada yang bentuknya virtual machine.

Seberapa detail honeypot dalam melakukan sensor?

Honeypot akan sangat detail dalam melakukan loging serangan karena tidak berbasis pada signature seperti deteksi yang dilakukan oleh IDS.

Apa beda IDS dan honeypot dalam hasil mendeteksi serangan siber?

IDS akan mencatat serangan yang sesuai dengan database signature serangan yang sudah terdapat dalam IDS. Sedangkan, honeypot akan mencatat seluruh aktivitas serangan yang dilakukan oleh penyerang. Sehingga honeypot dapat dikatakan sensor yang dapat mendeteksi unknown attack.

Perkembangan honeypot saat ini?

Di Indonesia sendiri sudah berkembang melalui Honeynet BSSN yang sudah tergelar di 56 titik di 18 provinsi. pemasangan honeypot merupakan voluntary dan bukan karena paksaan, tapi karena mereka memang membutuhkan. Dipasang di sektor pemerintah, Infrastruktur Informasi Kritikal Nasional (IIKN), akademik dan perbankan.

Harapan ke depan untuk honeypot?

Harapannya adalah honeypot akan terpasang di banyak titik dan banyak sektor seperti sektor pemerintah, IIKN, ekonomi digital, akademisi, dan masyarakat. Dan, tentunya tersebar di berbagai provinsi. Selanjutnya, harapannya akan tercipta threat sharing antar-stakeholder honeypot untuk mewujudkan deteksi dini nasional terhadap serangan siber.