Honeypots и приманки
Honeypots и приманки
Honeypot (медовый горшок) — намеренно уязвимая или поддельная система, которую не используют легитимные пользователи и сервисы. Любое обращение к ней с высокой вероятностью означает разведку или компрометацию.
Идея описана Лэнсом Спицнером и сообществом Honeynet Project. Honeypots часто используют как детектор lateral movement после первого взлома — когда firewall и SIEM тонут в шуме.
Уровни взаимодействия
| Уровень | Поведение | Плюсы | Минусы |
|---|---|---|---|
| Низкий | открытый порт, fake banner, без полноценного входа | дёшево, мало обслуживания | мало данных о намерениях |
| Средний | login, простой FTP/HTTP, статичный контент | баланс сигнала и трудозатрат | нужна изоляция |
| Высокий | полноценная копия prod, обновляемый контент | атакующий не отличит от боя | дорого, риск pivot если ошиблись |
Часто достаточно низкого или среднего уровня для раннего предупреждения. Полная копия production оправдана для исследования APT, а не для каждой компании.
Зачем ставить honeypot
- Раннее обнаружение — malware или человек «коснулся» decoy раньше, чем добрался до CRM.
- Низкий шум — на honeypot нет легитимного трафика; алерт «любое подключение» проще, чем разбор миллионов drop-событий firewall.
- Понимание намерений — какие порты, эксплойты, учётки пробуют (в lab-среде).
- Ловушка для lateral movement — фальшивые «SQL», «файловый», «AD» серверы внутри VLAN.
Известный кейс: honeypot выявил инсайдера, который через несанкционированную Wi‑Fi-связку соединил изолированные сегменты и выкачивал данные — поведение, которое долго маскировалось под «слабого пользователя».
Где размещать
- DMZ — сканирование из интернета.
- Внутренняя сеть — после компрометации рабочей станции (самый ценный сигнал).
- Рядом с критичными активами — но не на том же хосте и не с production-учётками.
Honeypot изолирован от реальных данных: отдельный VLAN, firewall «только исходящие логи на SIEM», без маршрутов в prod.
Архитектура (упрощённо)
Легитимные агенты (patch management, AV) нужно занести в allowlist, иначе ложные срабатывания. Настройка фильтра «шума» обычно занимает от нескольких часов до пары дней.
Инструменты и проекты
| Ресурс | Назначение |
|---|---|
| Honeynet Project | исследования, papers Know Your Enemy |
| Honeyd | эмуляция множества OS/сервисов (legacy, но учебно) |
| Modern honeypot platforms | списки open source решений (Cowrie SSH, Dionaea, T-Pot и др.) |
| KFSensor, commercial | Windows-friendly sensor |
Выбор зависит от ОС, нужного уровня interaction и интеграции с SIEM (114).
Ограничения и риски
- Не замена патчей, MFA и сегментации — только детективный слой.
- Ошибочная изоляция — если honeypot смотрит в prod, он становится трамплином.
- Опытные APT иногда избегают очевидных decoy, но массовые атаки и типичный ransomware всё равно «щупают» сеть.
- Юридические аспекты — перехват атакующего без договорённостей с провайдером и counsel; в enterprise — согласовать с legal/compliance.
Honeypot vs canary token
| Honeypot | Canary / honeytoken | |
|---|---|---|
| Объект | целый сервис или VM | файл, учётка, DNS-имя, cookie |
| Сигнал | connect, login, scan | open file, use creds |
| Сложность | выше | ниже (можно положить passwords.xlsx с мониторингом) |
Оба относятся к deception. Canary быстрее внедрить в существующий AD или файловый сервер.
Чек-лист внедрения
- Honeypot в отдельном VLAN без доступа к production data.
- Любое inbound-соединение к decoy → алерт с высоким приоритетом.
- Allowlist для легитимных сканеров и patch-систем.
- Регулярный review: honeypot не превратился в забытый prod-like сервер с реальными секретами.
- Playbook: при срабатывании — изоляция источника, сбор артеfacts, IRP.
Источники
- Lance Spitzner, Honeypots: Tracking Hackers.
- Мониторинг и SIEM.
См. также
Другие статьи этого же раздела в боковом меню (как на странице "О разделе"). OWASP (Open Web Application Security Project) — это некоммерческая организация, которая выпускает список TOP 10 самых опасных уязвимостей веб-приложений. Методы защиты информации - непрерывный процесс на жизненном цикле системы, безопасная разработка и типовые угрозы. Инцидент информационной безопасности — это событие или последовательность событий, нарушающих или угрожающих нарушить конфиденциальность, целостность или доступность информации. Средства защиты информации - эволюция терминов и требований ФСТЭК России, включая актуализацию после приказа № 117 (2025). Сертификация и цифровые сертификаты - роли сторон, доверие и инфраструктура открытых ключей (PKI). Content Security Policy — это мощный механизм защиты от XSS, clickjacking и других атак, основанный на белых списках источников ресурсов. Анализ безопасности — это систематический процесс выявления, оценки и приоритизации уязвимостей в программном обеспечении. Безопасность на ранних этапах разработки (Secure Software Development Life Cycle, Secure SDLC) представляет собой методологию внедрения практик защиты информации непосредственно в процесс создания. Контроль и отслеживание в ИБ - журналирование действий, аудит и анализ операций для расследований и соответствия требованиям. Шифрование в информационной безопасности - цели, обратимость преобразования и роль ключей при защите данных. HTTPS функционирует на порту 443. Этот порт используется большинством веб-серверов по умолчанию. Блокировка соединения на этом порту нарушает работу интернета. Современный мессенджер представляет собой распределённую систему с несколькими ключевыми узлами. Основными компонентами являются клиентское приложение и серверная инфраструктура.Информационная безопасность
Методы защиты информации
Государственные требования к информационной безопасности
Средства защиты информации
Сертификация и сертификаты
Безопасность приложений
Анализ и тестирование безопасности
Безопасность на ранних этапах разработки
Контроль и отслеживание
Шифрование
SSH и HTTPS
Архитектура взаимодействия мессенджеров