Tanımlamalar

Balküplerini anlamak için ilk adım, bir balküpünün ne olduğunu tanımlamaktır. Tabi bu, kulağa geldiğinden daha zor olabilir. Güvenlik duvarlarından veya izinsiz giriş tespit sistemlerinden farklı olarak balküpleri, belirli bir sorunu çözmezler. Bunun yerine, çok çeşitli tasarımlarda ve büyüklüklerde geliştirilebilecek çok esnek bir araç olarak karşımıza çıkarlar. Balküpleri, IPV6 ağlarında şifrelenmiş atakların tespitinden, çevrimiçi kredi kartlarındaki en yeni hileleri yakalamaya kadar birçok yeteneğe sahiptirler. Onların gerçek gücünü ortaya çıkaran bu esneklikleridir. Aynı zamanda bu esneklik balküplerini tanımlamak ve anlamak için ilgi çekici yapar. Balküpünü tanımlamak için kullandığım aşağıdaki tanımda da olduğu gibi.

Bir balküpü, sahip olduğu kaynağın izinsiz veya yetkisiz kullanımı sırasında, kullananı yanıltacak şekilde cevaplar veren bir bilgi sistemi kaynağıdır.

Bu tanım, balküplerini bütün çeşitleriyle kapsayan, genel bir tanımdır. Biz bu makalede balküplerinin farklı örneklerini ve her birinin güvenlik için önemini ayrı ayrı tartışıyor olacağız. Bütün bu çeşitler yukarıda belirttiğimiz tanımıza uygun olacaklar. Balküpünün ürettiği ve kötü çocuklara döndüğü bu cevaplar onları yanıltacak ve aldatacak biçimdedir. Kavramsal olarak bütün balküpleri aynı prensiple çalışır. Üretimsel değerleri yoktur ve yetkilendirilmiş herhangi bir işe sahip değildirler. Teorik olarak bir balküpü ağ trafiğine sahip olmamalıdır çünkü balküplerinin ağda belli bir aktivitesi yoktur. Bu da bir balküpüyle gerçekleşen etkileşimlerin neredeyse tamamı kötü amaçlı veya yetkilendirilmemiş anlamına gelir. Balküpüne yapılan bağlantı girişimleri büyük olasılıkla ya bir tarama, ya saldırı ya da uzlaşmadır. Bu kavram bir yandan çok basit görünürken (ve de öyleyken), bir yandan da balküpünün mükemmel avantajlarını (ve dezavantajlarını da) oluşturan temel nedendir. Bunları aşağıda vurguladım.

Avantajları

Balküpleri, kendilerine bazı çok güçlü artılar sağlayan çok basit bir fikre ve tasarıma sahiptirler.

  • Yüksek değerlerin küçük veri parçaları : Balküpleri bilginin küçük miktarlarını biriktirirler. Günde 1GB’lık veri günlüklemek yerine, 1MB’lık veri günlükleyebilirler. Günlük 10.000 uyarı oluşturmak yerine, 10 uyarı oluşturabilirler. Hatırlayalım, balküpleri sadece kötü aktiviteleri yakalarlar, balküpünün yakaladığı herhangi bir etkileşim büyük olasılıkla yetkilendirilmemiş veya izinsiz kötü bir harekettir. Balküpünü, sadece küçük verileri toplayarak kirliliği azaltmaktadır ve bu veriler kötü çocukların gönderdiği yüksek değerlerden elde edilmektedir. Bu da balküpünün topladığı veriyi analiz etmenin ve bu veriden anlam çıkarmanın daha kolay (ve ucuz) olduğunu belirtir.
  • Yeni araçlar ve taktikler : Balküpleri , daha önce görülmemiş araçları ve taktikleri de içerecek şekilde, kendilerine gelen her şeyi yakalamak için tasarlanmışlardır.
  • En düşük kaynaklar : Balküpü sadece kötü aktiviteleri yakaladığından minimum gereksinimlere ihtiyaç duyar. Yani 128MB ramli eski bir Pentium bilgisayar bile, bir OC-12 ağ üzerine kurulu B sınıfı ağın tamamını izleyebilir.
  • Şifreleme veya IPV6 : İzinsiz giriş tespit sistemleri (IDS) gibi birçok güvenlik teknolojilerinin aksine balküpleri şifrelenmiş veya IPV6’lı ağlarda iyi performans gösterirler.Kötü çocukların ne gönderdiği fark etmeksizin, balküpü onları tespit eder ve yakalar.
  • Bilgi : Balküpü, çok derin ve verimli bir şekilde diğer hiçbir teknolojinin toplayamayacağı bilgileri toplar.
  • Basitlik : Son olarak, balküplerinin mantığı çok basittir. Geliştirmek için hayali algoritmalara, durum tablolarının bakımını yapmaya, veya imzaları güncellemeye gerek yoktur. Daha basit bir teknoloji, hataların veya yapılandırma eksikliklerinin daha az yaşanma ihtimalinin olduğu bir yaklaşım.

Dezavantajları

Her teknoloji gibi balküplerinin de kendine göre zayıflıkları vardır. Süregelen başka bir teknoloji ile değiştirilemezler ama varolan teknolojilerle çalışabilirler.

  • Kısıtlı görünüm : Balküpleri kendileriyle doğrudan etkileşen aktiviteleri yakalayabilir ve takip edebilirler. Saldırgan balküpü olan bilgisayara da saldırmadığı sürece diğer sistemlere karşı yapılan atakları yakalayamazlar.
  • Risk : Bütün güvenlik teknolojileri risk taşır. Güvenlik duvarları içeri sızılmış olma riskine, şifreleme yöntemleri kırılma riskine, IDS sensörleri atak tespitini kaçırma riskine sahiptirler. Balküpleri de farklı olmayıp bazı riskleri göze alırlar. Özellikle balküpleri, kötü çocuk tarafından ele geçirilmiş ve diğer sistemlere zarar vermek için kullanılıyor durumda olma riskine sahiptirler. Farklı balküpleri için riskler de farklılaşır. Balküpünün tipine bağlı olarak, IDS’den daha az risk taşıyabilir ama bazı balküpleri de gerçekten büyük riskler alırlar.

Balküpünüzün değerini bu avantaj ve dezavantajları kullanma şekliniz belirler (bu konu üzerinde ileride duracağız).