Использование Honeypot для измерения потенциальной угрозы

минута на чтение

Использование Honeypot для измерения потенциальной угрозыВ контексте информационной безопасности «горшком меда» (honeypot) или «ловушкой» принято называть систему, созданную Для взлома. Установка такой системы в вашей сети позволит изучить тактику взломщиков и, возможно, откроет для вас несколько новых видов атак. Хорошо, если злоумышленник не подозревает, что залез в «горшок с медом». Он должен вести себя естественно, как в случае проникновения в обычную систему без специального мониторинга. В рамках концепции Honeypot такой мониторинг подразумевает детальное протоколирование всех действий нападающего. Причем функцию слежения может выполнять как сам узел-ловушка, так и любая другая машина в сети. Главное, что эффективность «горшка меда» всегда зависит от количества и качества собранной информации. Важной особенностью узла-ловушки является ограничение ее функциональности в Internet как клиентской машины. Плохо, если хакер превратит вашу ловушку в промежуточную площадку для взлома и вам придется объяснять властям, каким образом система Honeypot способствовала атаке.

Во избежание подобных коллизий ловушку обычно помещают за инверсный межсетевой экран (inverse firewall), причем разрешены только входящие соединения, а исходящие блокируются. Такие меры не бывают излишними, хотя могут заставить хакера насторожиться. Если ваш узел-ловушка, призванный быть инертным, вдруг устанавливает внешнее соединение, — вы знаете, что кто-то попался на удочку. Даже если после этого взломщик догадается об обмане, вы успеете собрать информацию об атаке. Некоторые администраторы позволяют взломщику беспрепятственно продолжать атаку на обычный компьютер (не ловушку), изучая при этом его поведение. Другими словами, они «превращают» свою систему в Honeypot уже после проникновения хакера. Я не рекомендую действовать подобным образом, так как не вижу никакого удовольствия в отслеживании действий хакера без предварительной подготовки. Тем не менее и такая политика имеет

Facebook Vk Ok Twitter Telegram

Похожие записи:

Не будем сейчас вдаваться в подробности того, что представляет собой распределитель нагрузки (об этом мы поговорим позже). Кратко опишем лишь способ измерения загрузки этого устройства. Непросто говорить о методах измерения трафика абстрактного распределителя....
Для эффективной защиты сайта вам необходимо уметь планировать риски. Тремя составляющими риска в нашем случае являются степень уязвимости, величина потенциальной угрозы и количество вложенных средств. Если вы располагаете необходимыми средствами, но имеете мно...
После того как вы сделали все для определения ваших вложений и попытались установить степень грозящей опасности, самое время приступить к активному анализу и оценке уязвимостей системы. Концепцию Honeypot можно применять и в качестве механизма определения уров...