Honeypots са капани, които са настроени да откриват опити за всяка неразрешена употреба на информационни системи, с цел да се извлекат от атаките, за да се подобри компютърната сигурност.
Традиционно поддържането на мрежова сигурност включва активно действие, като се използват мрежови техники за защита като защитни стени, системи за откриване на проникване и криптиране. Но настоящата ситуация изисква по-проактивни техники за откриване, отклоняване и противодействие на опитите за незаконно използване на информационните системи. В такъв сценарий използването на honeypots е проактивен и обещаващ подход за борба с заплахите за сигурността на мрежата.
Какво е Honeypot
Като се има предвид класическата област на компютърна сигурност, компютърът трябва да бъде сигурен, но в областта на Honeypots, дупките за сигурност са настроени да се отварят по предназначение. Honeypots могат да бъдат определени като капани, които са настроени да откриват опити за неразрешено използване на информационни системи. По принцип Honeypots се обръщат към масите за хакери и експерти по компютърна сигурност. Основната цел на Honeypot е да открива и да се учи от атаките и да използва по-нататък информацията, за да подобри сигурността. Honeypots отдавна са били използвани за проследяване на атаките на атакуващите и да се защитят от предстоящи заплахи. Съществуват два типа купа:
- Изследване Honeypot - Изследователска Honeypot се използва за изучаване на тактиката и техниките на нарушителите. Използва се като пост за гледане, за да види как атакуващият работи, когато компрометира система.
- Производство на мед - Те се използват главно за откриване и защита на организации. Основната цел на производствения honeypot е да помогне за намаляване на риска в дадена организация.
Защо да създадете Honeypots
Стойността на купа се претегля от информацията, която може да бъде получена от нея. Мониторингът на данните, които влизат и напускат honeypot, позволява на потребителя да събере информация, която иначе не е достъпна. Обикновено има две популярни причини за създаването на Honeypot:
Получаване на разбиране
Разберете как хакерите проверяват и се опитват да получат достъп до вашите системи. Общата идея е, че след като се води записът за дейността на виновния, може да се разбере методите за атака, за да се защитят по-добре истинските им производствени системи.
Събирам информация
Съберете съдебномедицинска информация, която е необходима, за да подпомогнете задържането или преследването на хакери. Това е вид информация, която често е необходима, за да предоставят на служителите на правоохранителните органи подробности, необходими за съдебно преследване.
Как Honeypots осигуряват компютърни системи
Honeypot е компютър, свързан към мрежа. Те могат да се използват за изследване на уязвимостите на операционната система или мрежата. В зависимост от вида на настройката може да се разгледат дупките за сигурност като цяло или по-специално. Те могат да се използват за наблюдение на дейностите на дадено лице, което е получило достъп до Honeypot.
Honeypots обикновено се основават на истински сървър, реална операционна система, заедно с данни, които изглеждат реални. Една от главните разлики е местоположението на машината по отношение на действителните сървъри. Най-жизненоважната дейност на медуза е да улови данните, способността да се регистрират, да се предупреждават и да се заснеме всичко, което натрапникът прави. Събраната информация може да се окаже доста критична за нападателя.
Високо-взаимодействащи срещу ниски взаимодействия Honeypots
Honeypots с висока степен на взаимодействие могат да бъдат компрометирани изцяло, което позволява на противника да получи пълен достъп до системата и да я използва, за да стартира нови мрежови атаки. С помощта на тези медузи, потребителите могат да научат повече за целевите атаки срещу техните системи или дори за вътрешни атаки.
За разлика от тях, honeypots с ниска степен на взаимодействие полагат само услуги, които не могат да бъдат експлоатирани, за да получат пълен достъп до купона. Те са по-ограничени, но са полезни за събиране на информация на по-високо ниво.
Предимства на използването на Honeypots
Съберете истински данни
Докато Honeypots събират малко количество данни, но почти всички тези данни са истинска атака или неразрешена дейност.
Намален фалшив положителен
При повечето технологии за откриване (IDS, IPS) голяма част от сигналите са фалшиви предупреждения, докато при Honeypots това не е вярно.
Рентабилен
Honeypot просто взаимодейства със злонамерена дейност и не изисква ресурс с висока производителност.
Encryption
С honeypot няма значение дали нападателят използва криптиране; дейността ще продължи да бъде заснета.
прост
Honeypots са много прости за разбиране, разгръщане и поддръжка.
Honeypot е концепция, а не инструмент, който може просто да бъде разгърнат. Необходимо е предварително да знаете какво точно възнамеряват да научат, а след това медът може да бъде персонализиран въз основа на техните специфични нужди. Има полезна информация за sans.org, ако трябва да прочетете повече по темата.
