HoneyPot — альтернативная технология противодействия Кибератакам
HoneyPot — альтернативная технология противодействия Кибератакам
При противодействии атукающих и защищающихся сторон инициатива всегда исходит от злоумышленника (хакера) — мы не знаем кто он, где находится, когда начнёт атаку и какими знаниями, и технологиями он обладает. Работая на опережение высококвалифицированный злоумышленник находится на шаг впереди – как минимум потому что ему известны технологии работы средств защиты информации.
Как раз технология HoneyPot позволяет перехватить инициативу в киберпротиводействии, провоцируя хакера начать игру по правилам защищающихся. Видя уязвимые и интересные цели неотличимые от реальных злоумышленик начинает с интерактивное взаимодействие с ними раскрывая свой потенциал и точки присутствия.
Естественно технология Honeypot не является панацеей и данная технология скорее дополнение к классической системе защиты, чем основное решение.
При построении эффективных систем Hoeypot важными являются следующие требования:
- Максимальное покрытие техник взлома используемыми HoneyPot технологиями;
- По возможности размещение Honeypot в каждом сегменте сети, а если система позволяет и приманок (токенов) на каждой операционной системе;
- Необходимо автоматизировано отслеживать работоспособность системы ловушек и приманок;
- Система аналитики должна обращать внимание на важные события и позволять реагировать на них автоматически.
При условии соблюдении данных требований мы получаем мощную систему противодействия Кибервзлому. Даже зная об использовании HoneyPot злоумышленник не может отличить иллюзию от реальной системы снова и снова попадаясь в ловушки, теряя время и раскрывая информацию о себе.
При появлении большого количества ложных объектов на первый план выходит автоматизация развертывания и управления ловушками, а также мониторинг «здоровья» ловушек и приманок. При достижении управляемости и надёжности данная технология является мощным инструментом.
Для подтверждения готовности системы к отражению атак необходимо проводить учения проводя весь периметр атакующих техник и реализую сценарии противодействия с использованием технологии HoneyPot.
Так же есть два концептуальных подхода к использованию корпоративных систем HoneyPot:
- Первый подход заключается в долговременной дезориентации злоумышленника (направлении его в изолированные сети и предоставление высоко интерактивных ловушек, которые можно долго изучать) с последующим изучением его действий для принятия решения;
- Второй подход допускают дезориентацию, но основном его принципом является расстановка большого количества простых низко интерактивных ловушек и приманок, работающих как сигнальные огни подсвечивая пути продвижения злоумышленника и позволяя оперативно реагировать. При это естественно собирая данные об использующих техниках – обогащая центры мониторинга.
У каждого подхода есть плюсы и минусы – первый подход ресурсоёмок и обладает большим количеством «тёмных зон» видимости, во втором случае мы собираем меньше данных о злоумышленнике. Но ничего на не мешает использовать комбинированные варианты при наличии ресурсов и необходимости.
Читайте также
Результаты независимого тестирования HoneyCorn
Читать статьюПозиционирование и эффективность решения
Читать статьюКомпании АМТ-ГРУП и HoneyCorn объявляют о завершении процесса тестирования на совместимость
Читать статьюНаша команда приняла участие в конференции АСУ ТП КВО
Читать статьюОбновление HoneyCorn
Читать статьюРешение HoneyCorn интегрировано с PAM СКДПУ
Читать статьюОценка эффективности Центров мониторинга информационной безопасности
Читать статьюВебинар - оценка эффективности системы информационной безопасности
Читать статьюСпециально для аудитории сообщества Codeby компания HoneyCorn объявляет конкурс на лучшую идею для ловушки
Читать статью