Всё о HoneyPot и Deception: различия, работа и осуществление защиты сети

Cloud Networks > Аналитика > Всё о HoneyPot и Deception: различия, работа и осуществление защиты сети
18.03.2021

Всё о HoneyPot и Deception: различия, работа и осуществление защиты сети

Хватит защищаться от киберпреступников, настали времена ответных действий! Наличие системы HoneyPot и Deception позволит заманить злоумышленников и записать каждое их движение.

Многие хакеры занимаются обычным сканированием адресного пространства Интернета в поисках плохо защищенных компьютеров. HoneyPot – это система, сделанная под уязвимую цель для хакера. Она собирает информацию при проникновении в сеть злоумышленника.

Deception превосходит функционал HoneyPot и включает больше возможностей для обнаружения угроз, анализа кибератак и ответных действий. Система Deception включает приманки, ловушки, БД, приложения и др.

С помощью данных решений вы сможете узнать:

  • как хакер осуществил проникновение в сеть,
  • о последних атаках и эксплойтах на серверах компании,
  • тип используемых хакерами инструментов.

 

Статистические данные о HoneyPot и Deception

Для крупных организаций реализация этих решений приведет к обнаружению враждебных инсайдеров. Ведь любая компания, в которой работает несколько сотен сотрудников, обязательно столкнется с «плохими сотрудниками», ищущим внутренние слабые места. Хорошо контролируемая система может даже указать на преступника.

Система от Xello обнаруживает как злоумышленников в сети, так и внутренних нарушителей.  Например, Xello Deception обнаружила недобросовестных сотрудников, которые заходили на общие папки, являющиеся не легитимными, а созданными системой Xello. Злоумышленник, после попадания на хост, находил десептивные ресурсы на хосте, на котором находился. После этого с ними пытался распространиться и попадал в ловушку Xello.

 

О чем стоит помнить при работе с HoneyPot

Для примера возьмем ловушку, которая не позволяет инициировать исходящие соединения. То есть «приманка» неспособна повредить другие системы, что также упрощает обнаружение злоумышленниками. В случае обнаружения системы HoneyPot, хакер, скорее всего, удалит следы своего пребывания в системе и больше не вернется. То есть вы не получите информации для дальнейшей защиты компании.

Еще одна техническая проблема при работе HoneyPot – это сбор данных. Файлы журналов легко удаляются злоумышленником, поэтому приманка обычно отправляет копию своего журнала на удаленный системный сервер, который лучше защищен.

Если злоумышленник проникнет на него с помощью новой атаки, ваша приманка наверняка себя оправдает, поэтому следите за сервером журналов.

Одна из приятных особенностей систем приманок заключается в том, что они отлично справляются с сокращением объема данных. HoneyPot практически не имеет легального трафика. Почти все входящие или исходящие данные являются атакой, из-за чего проще просмотреть данные и выяснить, что на самом деле сделал злоумышленник.

 

О чем стоит помнить при работе с технологией Deception

Deception — это продвинутая система обмана, включающая аналитику и автоматизацию. После установки технология:

  • сканирует сеть,
  • проводит инвентаризацию активов,
  • рекомендует различные типы ловушек / приманок, которые имитируют серверы, файлы, сегменты сети или ценные службы (например, Active Directory).

И сеть, насчитывающая тысячу узлов, будет выглядеть так, как будто она имеет более 10000 узлов, что значительно затруднит разведку сети и возможности для кибератак.

Группы безопасности используют Deception:

  • для создания ложных учетных записей (например, привилегированных пользователей),
  • для создания ложных активов (например, устройств IoT / OT),
  • а также данных (например, репозиториев конфиденциальных данных) в своих сетях.

Когда хакеры попытаются атаковать инфраструктуру или осуществить эксфильтрацию данных, они наткнутся на обманную ловушку. Сотрудники компании не будут знать о ловушках, и поэтому доступ к ним будет означать кибератаку.

 

Как работает технология обмана: реальные кейсы от Xello

В первую очередь система Deception (и HoneyPot) используется для выявления злоумышленников. Однако с помощью данной технологии можно успешно расследовать инциденты.

Как правило, для глубокой корреляции событий и расследований требуется система SIEM и экспертный отдел безопасности (ИБ). Системы Deception от Xello могут строить графы движения злоумышленника и используются с решениями анализа, например SIEM.

Стоит отметить, что Xello Deception внедряли раньше SIEM и без сформированного отдела ИБ, и решение успешно обнаруживало подозрительную активность. Но как работает система?

Для начала использования Xello Deception достаточно двух виртуальных машин:

  • одна их них сервер управления,
  • вторая – сервер-ловушка.

После инсталляции система сама адаптируется к контексту корпоративной сети и создаст необходимое количество приманок и ловушек. При внедрении злоумышленника в корпоративную сеть, он попадет в сеть ложных данных, попытается их использовать и будет задетектирован.

 

Вывод

Вы получите лучший результат, если приманка будет использовать ту же операционную систему, уровень исправлений и набор приложений, что и машина, которую вы пытаетесь защитить. В идеале сделайте точную копию системы, а затем отслеживайте весь входящий и исходящий трафик на этой «приманке».

Вы можете начать с простой ловушки для обмана обычных злоумышленников, а затем перейти к более сложным вариантам использования системы обмана для поиска угроз, анализа и реагирования на инциденты.

А в случае, если вам необходима помощь, разработка системы-приманки и ее интеграция в компанию, обратитесь к CloudNetworks и Xello за решением! В случае заинтересованности, оставьте заявку:

 

Вам также могут быть интересные следующие статьи:

защита от хакера
Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
to-top