Материал просмотрен 1,337 раз(а)

Классификация HoneyPot

Нет возможности разобраться в огромном количестве различных ловушек без проведения классификации их по определённым признакам. Классифицировать можно по разным критериям.

Основные критерии классификации:

  1. Процесс установки и настройки. Этот критерий характеризует временные и трудовые затраты при установке и настройке HoneyPot-ов. Соответственно, чем сложнее и навороченнее HoneyPot, тем этот параметр значительнее. Разумеется, чем сложнее и точнее настроена система-приманка, чем большее число сервисов и параметров задействовано, тем больше HoneyPot система похожа на реальную.
  2. Процесс использования и поддержки. Этот параметр похож на предыдущий, заключается в том, что увеличение функциональности HoneyPot увеличивает также и время/усилия для обслуживания системы. Например, обновление сервисов, заплатки Windows, патчи на ПО и т.д. Соответственно, чем чаще и “глубже” обновляется система-приманка, тем меньше HoneyPot вызовет подозрений у потенциального хакера.
  3. Сбор данных. Этот критерий характеризует объем данных, которые система-ловушка сможет собрать о злоумышленнике и его активности. В общес случае это система продвинутого логирования событий, когда записываются все нужные события для последующего анализа. Ведь не секрет, что чем точнее мы составим “портрет нарушителя”, тем лучше сможем с ним бороться. Сюда же можно отнести уровень протоколирования.Чем глубже уровень протоколирования, тем выше детализация записываемых событий.
  4. Уровень имитации. Характеризует степень имитации HoneyPot реальной системе. Например, одно дело, если наш сервис-ловушка (например FTP-сервис) будет только слушать 21-22 порты, выводить приглашения. И совсем другое дело, если он позволит даже принимать файлы и выполнять другие команды FTP.
  5. Уровень риска. Этот критерий характеризует использование HoneyPot злоумышленником против нашей же сети. Например, если у нас оборудована ловушка на базе реальной системы, со всеми службами, то существует возможность, что она станет плацдармом для дальнейших действий хакера против нашей безопасности