Honeypots yra spąstai, kurie nustatomi bandant bet kokį neteisėtą naudojimąsi informacinėmis sistemomis, siekiant mokytis iš išpuolių siekiant toliau gerinti kompiuterio saugumą.
Tradiciškai saugus tinklo saugumas vykdomas atidžiai, naudojant tinklo apsaugos priemones, tokias kaip ugniasienės, įsibrovimų aptikimo sistemos ir šifravimas. Tačiau dabartinė situacija reikalauja aktyvesnių būdų aptikti, pašalinti ir neutralizuoti bandymus neteisėtai naudoti informacines sistemas. Tokiu atveju honeypots naudojimas yra aktyvus ir perspektyvus požiūris į kovą su grėsmėmis tinklo saugumui.
Kas yra "Honeypot"
Atsižvelgiant į klasikinį kompiuterių apsaugos srities modelį, kompiuteris turi būti saugus, tačiau jis turi būti saugus Honeypots, saugumo skylės turi būti atidaromos iš anksto. "Honeypots" gali būti apibrėžiami kaip spąstai, kurie nustatomi bandant bet kokį neteisėtą informacinių sistemų naudojimą. "Honeypots" iš esmės įjungia kompiuterių saugumo ekspertų lenteles. Pagrindinis "Honeypot" tikslas - aptikti ir išmokti išpuolių ir toliau naudoti informaciją, siekiant pagerinti saugumą. Honeypots jau seniai buvo naudojamos stebėti užpuolikų veiklą ir ginti nuo grėsmių. Yra dviejų rūšių honeypots:
- Tyrimai "Honeypot" - "Research Honeypot" naudojamas siekiant sužinoti įsibrovėlių taktiką ir techniką. Jis naudojamas kaip žiūrėjimo postas, siekiant sužinoti, kaip užpuolikas veikia, kai kenkia sistemai.
- Gamyba "Honeypot" - Jie pirmiausia naudojami organizacijų aptikimui ir apsaugai. Pagrindinis gamybos honeypot tikslas yra padėti sušvelninti riziką organizacijoje.
Kodėl reikia nustatyti "Honeypots"?
Honeypot vertę pasveria informacija, kurią galima gauti iš jo. Duomenų, kurie įvedami ir išeina iš honeypot, stebėjimas leidžia vartotojui rinkti informaciją, kuri kitu atveju nėra prieinama. Apskritai, Honeypot nustatymui yra dvi populiarios priežastys:
Įgyti supratimą
Suprask, kaip įsilaužėliai įsitempia ir bando pasiekti jūsų sistemas. Bendra mintis yra tai, kad, kadangi kaltininko veiklos įrašas yra laikomas, galima suvokti atakos metodiką, kad geriau apsaugotų savo realias gamybos sistemas.
Rinkti informaciją
Surinkite teismo medicinos informaciją, kuri reikalinga norint padėti įsileisti ar patraukti baudžiamojon atsakomybėn įsilaužėlių. Tai tokia informacija, kuri dažnai reikalinga, kad teisėsaugos pareigūnams būtų pateikta informacija, reikalinga patraukti baudžiamojon atsakomybėn.
Kaip "Honeypots" saugo kompiuterines sistemas
Honeypot yra kompiuteris, prijungtas prie tinklo. Jie gali būti naudojami tiriant operacinės sistemos ar tinklo pažeidžiamumą. Priklausomai nuo nustatymo tipo, galima apskritai ar konkrečiai ištirti saugumo spragas. Jie gali būti naudojami stebint asmens, kuris įgijo prieigą prie "Honeypot", veiklą.
"Honeypots" paprastai yra pagrįsti realiu serveriu, realia operacine sistema ir duomenimis, kurie atrodo realūs. Vienas iš pagrindinių skirtumų yra mašinos vieta, palyginti su faktiniais serveriais. Svarbiausia honeypot veikla yra užfiksuoti duomenis, sugebėti prisijungti, įspėti ir užfiksuoti viską, ką įsibrovėlis daro. Surinkta informacija gali būti gana kritiška prieš užpuoliką.
Didelis sąveikos lygis ir mažos sąveikos honeypots
Aukštos sąveikos honeypots gali būti visiškai pažeisti, leidžiant priešui gauti visišką prieigą prie sistemos ir ją naudoti, kad būtų pradėtos tolesnės tinklo atakos. Naudodamiesi tokiais honeypotais, vartotojai gali sužinoti daugiau apie tikslinius išpuolius prieš jų sistemas arba net apie vidinius išpuolius.
Priešingai, mažos sąveikos honeypots priskiriamos tik tokioms paslaugoms, kurių negalima išnaudoti, kad būtų galima visiškai pasiekti honeypot. Tai yra labiau ribota, bet yra naudinga rinkti informaciją aukštesniu lygmeniu.
Privalumai naudojant Honeypots
Rinkti realius duomenis
Nors "Honeypots" surenka nedidelį duomenų kiekį, bet beveik visi šie duomenys yra tikra ataka ar neleistina veikla.
Sumažintas klaidingas teigiamas
Daugeliui aptikimo technologijų (IDS, IPS) didelė įspėjamųjų pranešimų dalis yra klaidingi įspėjimai, o naudojant "Honeypots" tai neatitinka tikrovės.
Taupus
"Honeypot" tiesiog bendrauja su kenksminga veikla ir nereikalauja didelio našumo išteklių.
Šifravimas
Su honeypot, nesvarbu, ar užpuolikas naudoja šifravimą; veikla vis tiek bus užfiksuota.
Paprasta
Honeypots yra labai paprasta suprasti, įdiegti ir palaikyti.
Honeypot yra idėja, o ne priemonė, kurią galima paprasčiausiai panaudoti. Reikia gerai iš anksto žinoti, ko jie ketina išmokti, ir tada honeypot galima pritaikyti pagal jų konkrečius poreikius. Yra keletas naudingos informacijos apie sans.org, jei reikia daugiau skaityti apie temą.
