Honeypot – pułapka mająca na celu wykrycie prób nieautoryzowanego użycia systemu czy pozyskania danych. Najczęściej składa się z komputera, danych i wyodrębnionego obszaru sieci lokalnej, które udają prawdziwą sieć, lecz są odizolowane od niej i odpowiednio zabezpieczone. Konstrukcja ta z zewnątrz wygląda jakby zawierała informacje lub zasób, który mógłby być potencjalnym celem cyberprzestępcy. Systemy honeypot działają najczęściej pod kontrolą specjalistycznego oprogramowania.
Istnieją zaawansowane wersje honeypotów przeznaczone dla ogromnych sieci będących własnością wielkich ISP, jak również w miarę proste systemy nadające się doskonale do ochrony małej sieci firmowej lub domowej[1]. Te ostatnie mogą być z powodzeniem zainstalowane na dedykowanym domowym komputerze.
Rodzaje honeypotów
Istnieją[2] dwa główne typy honeypotów:
- niska interakcja — symulowana usługa pozwala na niską interakcję, na przykład symulowana usługa SSH, która rejestruje nieprawidłowe próby logowania,
- wysoka interakcja — symulowana usługa umożliwia wysoką interakcję, na przykład symulowana usługa Pulpitu zdalnego.
Zasoby niskiej interakcji są łatwiejsze w zarządzaniu i monitorowaniu, ale nie odwzorowują rozległego środowiska. Natomiast te wysokiej interakcji dają duże możliwości monitorowanego działania atakującemu, ale trudniej nimi zarządzać.
Zalety, ale też ryzyko stosowania
Zaletami stosowania pułapek honeypot są m.in.:
- dość niskie koszty wdrożenia,
- zbieranie informacji o atakującym,
- możliwość wykrycia nowych zagrożeń,
- i inne.
Zasób-pułapka zawsze powinien być odpowiednio odizolowany. Nie można jednak całkowicie wykluczyć sytuacji wykrycia. Atakujący wtedy orientuje się, że jest w piaskownicy (ang. sandbox), a nie na prawdziwym systemie.
Zobacz też
Przypisy
- ↑ Tomasz Grabowski: Honeypot dla mas. 2003. [dostęp 2009-02-27].
- ↑ Pułapki typu honeypot (pol. beczułka z miodem). [dostęp 2022-05-26].