KPN zal dit jaar honeypots gaan inzetten om de werkwijze van cybercriminelen beter te begrijpen, zo heeft de telecomaanbieder op de eigen website bekendgemaakt. "Honeypots' zijn een voorbeeld van hoe wij als KPN op de hoogte blijven van methodieken en gereedschappen van aanvallers", zegt Jaya Baloo, Chief Information Security Officer.

Een honeypot is een meestal opzettelijk kwetsbare machine die aan het internet hangt. Vervolgens kan worden gemonitord hoe aanvallers op de machine proberen in te breken. Om ervoor te zorgen dat een aanvaller via de honeypot geen andere servers in het netwerk kan aanvallen wordt die in een beperkte omgeving gedraaid. KPN gebruikt hiervoor Linux Containers (LXC). Elk proces krijgt een eigen container waar slechts een beperkte omgeving toegankelijk is, zo blijkt uit een rapport (pdf) waar de honeypots in worden omschreven.

Loggegevens worden voor de opslag direct naar een andere container verplaatst. Ook maakt de KPN-setup gebruik van een routeringscontainer. Deze container is verantwoordelijk voor Network Address Translation (NAT) tussen de individuele honeypotcontainers en de buitenwereld. Aanvullend draait er continu het programma tcpdump om verkeer naar de honeypot op te slaan en te bestuderen in het geval de honeypot zelf niet voldoende informatie biedt.

Locatie

Volgens KPN speelt bij het uitrollen van honeypots de locatie een sleutelrol. "Het is belangrijk om een duidelijk idee te hebben waar je je honeypots wilt plaatsen voordat je ze begint te bouwen, omdat de locatie uiteindelijk grotendeels beïnvloedt hoe nuttig je honeypotgegevens zullen zijn." KPN heeft een aantal fysiek gescheiden netwerken met verschillende functies. Gebaseerd op deze functies zijn de locaties gekozen waar de honeypotservers moeten gaan draaien. "Als we weten hoe en waarom criminelen en hackers onze systemen binnendringen, kunnen we maatregelen nemen", zegt Baloo. "Alles voor een veiliger netwerk."