Системы HoneyPot это социотехнических подход предполагающий обман злоумышленника и манипулирование его действиями. По сути мы боремся с киберпреступниками используя их же методы. 

Стоить начать с двух основных тезисов:

• Покрытие ловушками сейчас достигло высокого уровня и сложно выстроить вектор, ведущий к серьёзным достижениям не имеющий этапа, который может быть представлен ловушкой;
• Анонимность злоумышленников может быть поставлена под угрозу.

На примере решения HoneyCorn рассмотри возможности современных систем HoneyPot.

Система HoneyCorn позволяет выявлять и направлять на себя следующие классы техник взлома:

• OSINT;
• Атаки на аутентификацию;
• Фишинговые атаки;
• Сканирования;
• Горизонтальное продвижение;
• Атаки на Веб – XSS, SQL injection, RFI/LFI и другие;
• Любые эксплуатации уязвимостей как OC, так и сетевых сервисов;
• Извлечение учётных записей;
• И другие уязвимости.

Особенностью решения HoneyCorn является побуждение злоумышленника использовать именно ловушки и приманки, заставляя идти по ложному следу и раскрывая данные о своём потенциале и оставляя информацию о себе. Для побуждения используются следующие методы:

• Явная уязвимость;
• Легкодоступная учётная запись;
• Ложные данные расположенные в сети Интернет, доступные только для автоматизированных методов OSINT;
• Расположение ловушек на каждом элементе инфраструктуры, в том числе в Веб инфраструктуре и Докер средах;
• Очень важная и конфиденциальная, но ложная информация.

Как только киберпрестуаник начинает взаимодействовать с ловушкой начинается самое интересное. О злоумышленнике пассивными и активными методами собирается информация, происходит перенаправление его в ложные сети, запускаются сценарии реагирования. Важно, что по итогу взаимодействия с системой Honeypot и Deception злоумышленник рискует значительно больше чем при взаимодействии с классическим системами защиты, т.к. он может быть деанонимизирован.

При использовании системы HoneyPot корпоративного уровня злоумышленник появится на радарах системы достаточно быстро — ведь избежать большое количество ловушек неотличимых от элементов информационной системы и распределённых по всей системе практически невозможно.

Стоит привести несколько кейсов по нетривиальным сценариям использования системы HoneyCorn:

• Использование ловушки, которая эксплуатируется только на втором шаге вектора — где первый шаг — это компрометация реальной учётной записи. В данном случае мы не только видим активность злоумышленника, но и можем мониторить периметр без ложных сработок. Если ловушка срабатывает, то мы видим какую учётную запись получилось скомпрометировать злоумышленнику;
• Предоставление злоумышленнику конфиденциальной информации, которая при открытии может раскрыть своё местоположение;
• Использование пар – логин и пароль, собираемых на атакуемых сервисах аутентификации для обогащения своих словарей. Чтобы запретить пользователя использовать скомпрометированные пароли и уведомить о компрометации.

Решения класса HoneyPot и Deception всё больше набирают популярность демонстрируя свою эффективность. Решение HoneyCorn апробированная система корпоративного уровня, позволяющая реализовать продемонстрированные сценарии.   

Благодарим наших дорогих партнёров за активное участие в развитии продукта:

• Акстел-Безопасность
• Codeby