Классификация HoneyPot
Нет возможности разобраться в огромном количестве различных ловушек без проведения классификации их по определённым признакам. Классифицировать можно по разным критериям.
Основные критерии классификации:
- Процесс установки и настройки. Этот критерий характеризует временные и трудовые затраты при установке и настройке HoneyPot-ов. Соответственно, чем сложнее и навороченнее HoneyPot, тем этот параметр значительнее. Разумеется, чем сложнее и точнее настроена система-приманка, чем большее число сервисов и параметров задействовано, тем больше HoneyPot система похожа на реальную.
- Процесс использования и поддержки. Этот параметр похож на предыдущий, заключается в том, что увеличение функциональности HoneyPot увеличивает также и время/усилия для обслуживания системы. Например, обновление сервисов, заплатки Windows, патчи на ПО и т.д. Соответственно, чем чаще и “глубже” обновляется система-приманка, тем меньше HoneyPot вызовет подозрений у потенциального хакера.
- Сбор данных. Этот критерий характеризует объем данных, которые система-ловушка сможет собрать о злоумышленнике и его активности. В общес случае это система продвинутого логирования событий, когда записываются все нужные события для последующего анализа. Ведь не секрет, что чем точнее мы составим “портрет нарушителя”, тем лучше сможем с ним бороться. Сюда же можно отнести уровень протоколирования.Чем глубже уровень протоколирования, тем выше детализация записываемых событий.
- Уровень имитации. Характеризует степень имитации HoneyPot реальной системе. Например, одно дело, если наш сервис-ловушка (например FTP-сервис) будет только слушать 21-22 порты, выводить приглашения. И совсем другое дело, если он позволит даже принимать файлы и выполнять другие команды FTP.
- Уровень риска. Этот критерий характеризует использование HoneyPot злоумышленником против нашей же сети. Например, если у нас оборудована ловушка на базе реальной системы, со всеми службами, то существует возможность, что она станет плацдармом для дальнейших действий хакера против нашей безопасности
Comments: