Новости МирТесен

voinkiber@bk.ru


HONEYPOT И ЕГО РОЛЬ В ОБЕСПЕЧЕНИИ СЕТЕВОЙ БЕЗОПАСНОСТИ

Поделиться:

Рассмотрим термины которые будут по ходу статьи:

Honeypot (с англ, горшочек с медом) — ресурс, назначением которого является сбор данных об производимой на систему атаке, либо регистрации самого факта атаки. В данном случае под атакой также понимается предварительное исследование сети злоумышленником с целью дальнейшей атаки.
Intrusion detection system (IDS) (с англ, система обнаружения вторжения) — специализированная система, используемая для идентификации того факта, что была предпринята попытка вторжения, вторжение происходит или произошло, а также для возможного реагирования на вторжение в информационные системы и сети.
Firewall (с англ, межсетевой экран) — программный или программно­аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.


История разработки различных видов Honeypot насчитывает более 20 лет. Разработка первых программных решений проводилась параллельно с исследованиями IDS, первым документальным упоминанием является книга Клиффорда Столла «The Cuckoo’s Egg», написанная в 1990 г.
Главным отличием Honeypot от IDS или Firewall является то, что эта технология предназначена для решения широкого спектра задач. Данный ресурс специально подвергается атаке или исследованию злоумышленником, в процессе которых собирается необходимая информация, в частности могут быть определены используемые злоумышленником: Методы и средства нападения (исследования); Информация о расположении средств вычислительной техники с которых производится атака; Ресурсы или сервисы, являющиеся целью нападающего.
Полученная при помощи Honeypot информация подвергается анализу, на основе результатов которого в дальнейшем предпринимаются мероприятия противодействия атаке.
Для определения роли Honeypot в обеспечении сетевой безопасности стоит подробно рассмотреть, основные преимущества и недостатки данного ресурса.
К главным преимуществам можно отнести: Сбор информации о злоумышленнике; Небольшое количество получаемых данных; Отсутствие лишней активности; Экономия системных ресурсов; Относительная простота эксплуатации.

К основным недостаткам можно отнести:

  • Ограниченная область видимости;
  • Возможность обнаружения Honeypot;
  • Риск взлома Honeypot и использования его в качестве плацдарма для дальнейших сетевых атак.


Исходя из анализа существующих реализаций Honeypot, можно классифицировать по следующим признакам:

  • Процесс установки и настройки;
  • Процесс использования и поддержки;
  • Объем сбора данных;
  • Степень детализации протоколирования;
  • Степень имитации сервиса;
  • Уровень риска использования.


Исходя из вышеуказанных преимуществ и недостатков, а также классификации Honeypot, можно однозначно определить роль данного ресурса в обеспечении сетевой безопасности, которая заключается в следующих направлениях: Обнаружении; Протоколировании.
При обнаружении о факте несанкционированной деятельности атакующего становится известно лицам ответственным за безопасность данной системы. Процесс обнаружения трудоемок по причине ложных срабатываний, пропусков и необходимости агрегации данных. Но самаконцепция Honeypot позволяет с высокой долей вероятности решить данные проблемы.
При протоколировании соответственно производится передача данных с атакуемого (исследуемого) узла с Honeypot в место, где в дальнейшем будет произведена агрегация и анализ данных. Данный процесс в большинстве средств обеспечения безопасности осложняется объемностью протоколов, либо необходимостью остановки работы системы, для проведения дальнейшего анализа. Что в случае взлома узла может привести к утере собранных данных. В связи с малым количеством собираемых данных и гибкостью настройки работы Honeypot эти задачи могут быть так же решены.


Вывод: Honeypot исходя из его концепции может быть использован совместно с другими средствами обеспечения сетевой безопасности, для обеспечения комплексной защиты сети. Использование данного ресурса, позволяет при минимальных затратах времени и ресурсов значительно повысить скорость и достоверность обнаружения действий злоумышленников.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Новости МирТесен