HoneyPot – это средство информационной безопасности для поимки злоумышленников. Его задача подвергнуться атаке киберпреступником, для этого подобные приманки делают крайне привлекательными для злоумышленников.
HoneyPot – это ложный ресурс, выглядящий достаточно незащищено, чтобы «соблазнить» хакера на атаку. Цель состоит в сборе данных о хакерах, слабых местах и недостатках в информационной защите компании.
Система защиты HoneyPot строится под поставленные задачи и конкретную инфраструктуру. И такой вид ловушек может задействоваться на любом уровне безопасности – предотвращая, обнаруживая и реагируя на возникновение нарушений в сети.
После того, как HoneyPot подвергся атаке, у специалистов появляется возможность проанализировать действия злоумышленника и обеспечить более надежную защиту уязвимых мест в инфраструктуре, чтобы избежать уже реальных атак.
Итак, приманка предназначена для отвлечения злоумышленников от ценных активов организации. Но вы всегда должны быть начеку, даже если приманка, в которую вы заманиваете хакеров, является изолированной системой.
Преимущества HoneyPot
С помощью HoneyPot вы можете узнать:
- как злоумышленник вошел в систему,
- откуда осуществлен вход (например, IP-адреса, куда направляются украденные данные),
- что удаляется или добавляется (например, злоумышленник повышает свои привилегии, чтобы стать администратор),
- нажатия клавиш злоумышленником,
- какая вредоносная программа используется (например, в систему был добавлен троян или руткит).
Разберем более подробно следующие преимущества:
Оповещения для изучения . HoneyPots регистрируют только несколько сотен событий, что упрощает ИТ-отделам управление, анализ и позволяют быстрее реагировать на действия злоумышленника до того, как будет нанесен ущерб.
Предотвращение программ-вымогателей . Если у вас нет автоматической системы мониторинга файлов, вы можете создать приманку с поддельными файлами и папками, и регулярно отслеживать их. Вы можете также попробовать решение для мониторинга действий пользователей UAM и решение по защите EDR.
Обнаружение внутренних угроз. Практически любое взаимодействие с приманкой может считаться зловредной деятельностью. Но и ваши сотрудники могут запустить предупреждения. Инсайдер может никогда не использовать HoneyPot. Приманки не будут работать, если инсайдер знает о приманках или каким-то образом обнаружит их.
Расшифровка данных. Организации начинают шифровать свои данные. Но шифрование не может показать, что происходит в сети. HoneyPot же будет фиксировать активность, потому что приманки действуют как конечные точки, где они расшифровываются.
Предостережения при реализации
Проще всего настроить приманки как виртуальные машины, особенно если вам нужно развернуть более одной. Вы можете иметь целую сеть виртуальных машин, работающих на одной физической машине (при меньших затратах и более простом обслуживании, чем на нескольких).
О чем стоит помнить:
- Обязательно создайте резервную копию образа сервера перед его развертыванием, чтобы его можно было восстановить при необходимости.
- При настройке приманки или сети HoneyNet стоит помнить, что они не должны иметь законного производственного использования или доступа. Помните, что цель использования приманки – это повысить вашу безопасность, а не поставить ее под угрозу.
- Если ваша приманка не реализована должным образом, злоумышленники могут использовать ее не только для проникновения в другие системы вашей сети, но и для запуска атак на сети других организаций через Интернет.
- Очень важно иметь мониторинг в реальном времени, чтобы вы могли быстро разорвать соединение злоумышленника, если создается риск для ваших производственных систем.
- Остерегайтесь ложных срабатываний другого типа. Например, злоумышленник может совершить переадресацию, сделав вид, что атакует приманку. Между тем ваша приманка будет обнаруживать эти спуфинговые атаки, заставляя ваших ИТ-администраторов расследовать неправильную атаку, пока злоумышленник будет сосредоточен на реальной атаке.
- Вам придется включить собственный аудит файловой системы. Расставьте приоритеты и создайте доступный файловый ресурс, содержащий файлы, которые выглядят ценными, но на самом деле являются поддельными.
В заключении
При правильном развертывании приманка может стать ценным элементом вашей стратегии безопасности. HoneyPot не заменяет надежную защиту периметра, но предоставляет инструмент для значительного расширения объема информации, которую вы можете собрать о предпринятых и успешных атаках, сверх того, что может предоставить IDS.
Ко всему прочему HoneyPot отвлечет злоумышленников от ваших реальных ресурсов, не нанося вреда вашей производственной сети.
Поскольку неправильно настроенная система безопасности приманок может представлять высокий риск для вашей сети и других систем, мы предлагаем воспользоваться услугами специалистов CloudNetworks и решениями разработчиков систем HoneyPot.
Внимательно относитесь к тому, как вы реализуете свои приманки, и с умом выбирайте решения безопасности.
