Honeypots являются ловушками, которые установлены для обнаружения попыток любого несанкционированного использования информационных систем, с целью изучения атак для дальнейшего повышения безопасности компьютера.
Традиционно поддержание сетевой безопасности подразумевало активное бдительное наблюдение, используя сетевые методы защиты, такие как брандмауэры, системы обнаружения вторжений и шифрование. Но нынешняя ситуация требует более упреждающих методов обнаружения, отклонения и противодействия попыткам незаконного использования информационных систем. В таком случае использование honeypots является упреждающим и перспективным подходом к борьбе с угрозами сетевой безопасности.
Что такое Honeypot
Учитывая классическое поле компьютерной безопасности, компьютер должен быть безопасным, но в области Honeypots, дыры в безопасности устанавливаются для открытия. Honeypots можно определить как ловушку, которая предназначена для обнаружения попыток любого несанкционированного использования информационных систем. Honeypots по существу включают таблицы для хакеров и экспертов по компьютерной безопасности. Основной целью Honeypot является обнаружение и изучение атак и дальнейшее использование информации для повышения безопасности. Honeypots уже давно используются для отслеживания активности атакующих и защиты от возможных угроз. Есть два типа приманок:
- Исследование Honeypot - Исследовательский Honeypot используется для изучения тактики и приемов злоумышленников. Он используется в качестве чата, чтобы увидеть, как работает злоумышленник при компрометации системы.
- Производство Honeypot - Они в основном используются для обнаружения и защиты организаций. Основная цель производства honeypot - помочь снизить риск в организации.
Зачем устанавливать Honeypots
Стоимость honeypot взвешивается информацией, которую можно получить от нее. Мониторинг данных, поступающих и выходящих из honeypot, позволяет пользователю собирать информацию, которая в противном случае недоступна. Как правило, есть две распространенные причины для создания Honeypot:
Усиление понимания
Понимайте, как хакеры исследуют и пытаются получить доступ к вашим системам. Общая идея заключается в том, что, поскольку информация о деятельности преступника сохраняется, можно понять понимание методологий атаки для лучшей защиты своих реальных производственных систем.
Собрать информацию
Соберите судебную информацию, необходимую для помощи в задержании или судебном преследовании хакеров. Это та информация, которая часто необходима, чтобы предоставить сотрудникам правоохранительных органов информацию, необходимую для судебного преследования.
Как Honeypots защищает компьютерные системы
A Honeypot - это компьютер, подключенный к сети. Их можно использовать для проверки уязвимостей операционной системы или сети. В зависимости от типа установки можно изучить дыры в безопасности в целом или, в частности. Они могут использоваться для наблюдения за действиями человека, который получил доступ к Honeypot.
Honeypots обычно основаны на реальном сервере, реальной операционной системе, а также на данных, которые выглядят как настоящие. Одним из главных отличий является расположение машины по отношению к фактическим серверам. Самая важная деятельность honeypot - захватить данные, способность регистрировать, предупреждать и захватывать все, что делает злоумышленник. Собранная информация может оказаться весьма критичной против атакующего.
Высокое взаимодействие с низким уровнем взаимодействия Honeypots
Высокопоставленные приманки могут быть полностью скомпрометированы, позволяя врагу получить полный доступ к системе и использовать его для запуска дальнейших сетевых атак. С помощью таких приманок пользователи могут узнать больше о целенаправленных атаках на свои системы или даже об атаках с использованием инсайдеров.
Напротив, приманки с низким взаимодействием используют только сервисы, которые нельзя использовать для получения полного доступа к honeypot. Они более ограничены, но полезны для сбора информации на более высоком уровне.
Преимущества использования Honeypots
Сбор реальных данных
В то время как Honeypots собирают небольшой объем данных, но почти все эти данные являются реальной атакой или несанкционированной деятельностью.
Уменьшенный ложноположительный
С большинством технологий обнаружения (IDS, IPS) большая часть предупреждений является ложным предупреждением, а с Honeypots это не выполняется.
Экономически эффективным
Honeypot просто взаимодействует со злонамеренной деятельностью и не требует высокопроизводительного ресурса.
шифрование
При использовании honeypot не имеет значения, использует ли злоумышленник шифрование; активность все равно будет захвачена.
просто
Honeypots очень просты в понимании, развертывании и обслуживании.
Honeypot - это концепция, а не инструмент, который можно просто развернуть. Нужно заранее знать, что они намереваются изучить, а затем honeypot можно настроить на основе их конкретных потребностей. На sans.org есть полезная информация, если вам нужно больше узнать по этому вопросу.
