Honeypot-системы были разработаны для поиска и изучения действий злоумышленников в скомпрометированной системе. Термин honeypot используется для системы, которая была настроена с намерением быть скомпрометированной (поэтому обычно содержит более старое ПО с уязвимостями безопасности либо имеет дыры в безопасности, связанные с неправильной настройкой ПО) и для получения информации о методах и инструментах злоумышленника.
Honeypot-система может снизить количество ложных срабатываний, выдаваемых другими средствами защиты информации, внедренными в систему, такими как IDS/IPS-си-стемы, различные антивирусы. Это делает чрезвычайно эффективным использование таких систем для обнаружения атак. Организации, которые могут регистрировать тысячи предупреждений в день с использованием традиционных технологий, будут регистрировать только сто предупреждений с помощью honeypot-систем. Honeypot, с другой стороны, могут быть легко использованы для выявления и захвата новых, более изощренных атак, придуманных сообществом черных хакеров. Honeypot могут легко обнаружить новые атаки, потому что любое действие против такой системы является аномалией. Таким образом, honeypot можно использовать для сбора, управления и анализа большего количества данных об атаках.
Honeypot-система также может быть использована для получения информации о хакерской деятельности в рамках определения методов работы злоумышленников и, как результат, становится превентивной мерой против реально защищенной системы. На ранних этапах хакер сканирует сеть для поиска уязвимых компьютеров, в результате чего обнаруживает приманку, которая намеренно уязвима для привлечения атак. Если в дальнейшем злоумышленник попытается подключиться к honeypot, система немедленно обнаружит и зафиксирует действие, потому что обычный пользователь не должен взаимодействовать с системой.
В представленной работе были рассмотрены теоретические аспекты honeypot-систем, представлены классификации honeypot по различным основаниям. Представлена архитектура honeypot-системы, предназначенной для исследования поведения злоумышленника после его проникновения внутрь корпоративной системы, как инструмент реализации комплексной эффективной защищенной системы организации.
Архипова А.Б., Каревский Д.Р. Honeypot как инструмент создания эффективной защищенной системы // Безопасность цифровых технологий. – 2021. – № 2 (101). – С. 122–135. – DOI: 10.17212/2782-2230-2021-2-122-135.
Arkhipova A.B., Karevskiy. Honeypot kak instrument sozdaniya effektivnoy zashishennoy systemi [Honeypot as a tool for creating an effective secure system]. Bezopastnost cifrovih technologiy = Digital security, 2021, no. 2 (101), pp. 122–135. DOI: 10.17212/2782-2230-2021-2-122-135.