При противодействии атукающих и защищающихся сторон инициатива всегда исходит от злоумышленника (хакера) — мы не знаем кто он, где находится, когда начнёт атаку и какими знаниями, и технологиями он обладает. Работая на опережение высококвалифицированный злоумышленник находится на шаг впереди – как минимум потому что ему известны технологии работы средств защиты информации.

Как раз технология HoneyPot позволяет перехватить инициативу в киберпротиводействии, провоцируя хакера начать игру по правилам защищающихся. Видя уязвимые и интересные цели неотличимые от реальных злоумышленик начинает с интерактивное взаимодействие с ними раскрывая свой потенциал и точки присутствия.

Естественно технология Honeypot не является панацеей и данная технология скорее дополнение к классической системе защиты, чем основное решение.

При построении эффективных систем Hoeypot важными являются следующие требования:

• Максимальное покрытие техник взлома используемыми HoneyPot технологиями;
• По возможности размещение Honeypot в каждом сегменте сети, а если система позволяет и приманок (токенов) на каждой операционной системе;
• Необходимо автоматизировано отслеживать работоспособность системы ловушек и приманок;
• Система аналитики должна обращать внимание на важные события и позволять реагировать на них автоматически.

При условии соблюдении данных требований мы получаем мощную систему противодействия Кибервзлому. Даже зная об использовании HoneyPot злоумышленник не может отличить иллюзию от реальной системы снова и снова попадаясь в ловушки, теряя время и раскрывая информацию о себе.

При появлении большого количества ложных объектов на первый план выходит автоматизация развертывания и управления ловушками, а также мониторинг «здоровья» ловушек и приманок. При достижении управляемости и надёжности данная технология является мощным инструментом.

Для подтверждения готовности системы к отражению атак необходимо проводить учения проводя весь периметр атакующих техник и реализую сценарии противодействия с использованием технологии HoneyPot.

Так же есть два концептуальных подхода к использованию корпоративных систем HoneyPot:

• Первый подход заключается в долговременной дезориентации злоумышленника (направлении его в изолированные сети и предоставление высоко интерактивных ловушек, которые можно долго изучать) с последующим изучением его действий для принятия решения;
• Второй подход допускают дезориентацию, но основном его принципом является расстановка большого количества простых низко интерактивных ловушек и приманок, работающих как сигнальные огни подсвечивая пути продвижения злоумышленника и позволяя оперативно реагировать. При это естественно собирая данные об использующих техниках – обогащая центры мониторинга.

У каждого подхода есть плюсы и минусы – первый подход ресурсоёмок и обладает большим количеством «тёмных зон» видимости, во втором случае мы собираем меньше данных о злоумышленнике. Но ничего на не мешает использовать комбинированные варианты при наличии ресурсов и необходимости.