Горшок для меда: Горшки для мёда из глины купить в интернет-магазине Маматаки недорого с доставкой по России.

Хотя приманки требуют значительных ресурсов, они также имеют значительные преимущества. Вот некоторые из преимуществ использования приманки:

• Сбор реальных данных : приманки собирают данные о реальных атаках и других несанкционированных действиях, предоставляя аналитикам богатый источник полезной информации.
• Уменьшите количество ложных срабатываний : Обычные технологии обнаружения кибербезопасности генерируют предупреждения, которые могут включать значительный объем ложных срабатываний, но приманки уменьшают этот объем, поскольку у законных пользователей нет причин для доступа к ним.
• Рентабельность : Приманки могут быть хорошим вложением, потому что они не требуют высокопроизводительных ресурсов для обработки больших объемов сетевого трафика в поисках атак, поскольку они взаимодействуют только с вредоносными действиями.
• Шифрование : приманки улавливают вредоносную активность, даже если злоумышленник использует шифрование.

Однако приманки обладают рядом недостатков. К наиболее острым вопросам относятся:

• Данные : приманки собирают информацию только при атаке. Отсутствие попыток доступа к приманке означает, что нет данных для анализа.
• Сеть приманок : Захваченный вредоносный трафик собирается только тогда, когда атака нацелена на сеть приманок; если злоумышленники подозревают, что сеть является приманкой, они будут избегать этого.
• Distinguishable : Приманки часто можно отличить от легальных производственных систем, что означает, что опытные хакеры часто могут отличить производственную систему от системы приманки, используя методы снятия отпечатков пальцев.

В целом приманки помогают исследователям понять угрозы в сетевых системах, но производственные приманки не следует рассматривать как замену стандартной IDS. Если приманка настроена неправильно, ее можно использовать для получения доступа к реальным производственным системам или использовать в качестве стартовой площадки для атак на другие целевые системы.

Что такое приманка? Как приманки помогают безопасности

Определение приманки

Одно определение приманки происходит из мира шпионажа, где шпионы в стиле Мата Хари, использующие романтические отношения как способ кражи секретов, описываются как «ловушки для меда» или «приманки». Часто вражеский шпион попадает в ловушку с медом, а затем вынужден отдать все, что он знает.

С точки зрения компьютерной безопасности кибер-приманка работает аналогичным образом, подстерегая хакеров.Это жертвенная компьютерная система, предназначенная для привлечения кибератак, как приманка. Он имитирует цель для хакеров и использует их попытки вторжения, чтобы получить информацию о киберпреступниках и способах их действий или отвлечь их от других целей.

Как работают приманки

Honeypot выглядит как настоящая компьютерная система с приложениями и данными, заставляя киберпреступников думать, что это законная цель. Например, приманка может имитировать систему выставления счетов клиентам компании — частую цель атак преступников, которые хотят узнать номера кредитных карт.Как только хакеры окажутся внутри, их можно будет отследить, а их поведение оценить, чтобы понять, как сделать реальную сеть более безопасной.

делают привлекательными для злоумышленников за счет создания преднамеренных уязвимостей в системе безопасности. Например, приманка может иметь порты, отвечающие на сканирование портов или слабые пароли. Уязвимые порты могут быть оставлены открытыми, чтобы заманить злоумышленников в среду приманки, а не в более безопасную действующую сеть.

Приманка не настроена для решения конкретной проблемы, например брандмауэра или антивируса. Напротив, это информационный инструмент, который может помочь вам понять существующие угрозы для вашего бизнеса и обнаружить появление новых угроз. С помощью информации, полученной от приманки, усилия по обеспечению безопасности могут быть расставлены по приоритетам и сфокусированы.

Различные типы приманок и принцип их работы

Различные типы приманок могут использоваться для идентификации различных типов угроз. Различные определения приманки основаны на типе решаемой угрозы. Все они имеют место в тщательно продуманной и эффективной стратегии кибербезопасности.

Ловушки электронной почты или ловушки спама помещают поддельный адрес электронной почты в скрытое место, где только автоматический подборщик адресов сможет его найти. Поскольку адрес не используется ни для каких других целей, кроме спам-ловушки, можно со 100% уверенностью сказать, что все поступающие на него письма являются спамом. Все сообщения, содержащие тот же контент, что и сообщения, отправленные в спам-ловушку, могут быть автоматически заблокированы, а исходный IP-адрес отправителей может быть добавлен в список denylist.

База данных-приманка может быть настроена для отслеживания уязвимостей программного обеспечения и выявления атак, использующих небезопасную архитектуру системы или использование SQL-инъекции, эксплуатации служб SQL или злоупотребления привилегиями.

Приманка для вредоносных программ имитирует программные приложения и API, чтобы вызвать атаки вредоносных программ. Затем характеристики вредоносного ПО могут быть проанализированы для разработки антивирусного программного обеспечения или устранения уязвимостей в API.

Приманка для пауков предназначена для отлова веб-сканеров («пауков») путем создания веб-страниц и ссылок, доступных только для поисковых роботов. Обнаружение поисковых роботов может помочь вам узнать, как блокировать вредоносных ботов, а также сканеров рекламных сетей.

Отслеживая трафик, поступающий в систему приманки, вы можете оценить:

• откуда идут киберпреступники из
• уровень угрозы
• , какие методы работы они используют
• какие данные или приложения их интересуют
• насколько хорошо работают ваши меры безопасности для предотвращения кибератак

Другое определение приманки рассматривает, является ли приманка с высоким уровнем взаимодействия или с низким уровнем взаимодействия.Приманки с низким уровнем взаимодействия используют меньше ресурсов и собирают базовую информацию об уровне и типе угрозы, а также о том, откуда она исходит. Их легко и быстро настроить, обычно с помощью всего лишь нескольких имитированных базовых протоколов TCP и IP и сетевых служб. Но в приманке нет ничего, что могло бы надолго задержать взломщика, и вы не получите исчерпывающей информации об их привычках или сложных угрозах.

С другой стороны, приманки с высокой степенью взаимодействия нацелены на то, чтобы хакеры проводили как можно больше времени в приманках, предоставляя много информации об их намерениях и целях, а также об уязвимостях, которые они используют, и способах их работы.Думайте об этом как о приманке с добавленным «клеем» — базами данных, системами и процессами, которые могут привлекать злоумышленника гораздо дольше. Это позволяет исследователям отслеживать, где злоумышленники заходят в систему, чтобы найти конфиденциальную информацию, какие инструменты они используют для повышения привилегий или какие эксплойты используют для взлома системы.

Однако приманки с высоким уровнем взаимодействия требуют ресурсов. Настроить и контролировать их сложнее и отнимает много времени. Они также могут создать риск; если они не защищены с помощью «honeywall», действительно решительный и хитрый хакер может использовать приманку с высоким уровнем взаимодействия для атаки на другие интернет-хосты или для рассылки спама со скомпрометированной машины.

Оба типа приманок имеют место в кибербезопасности приманок. Используя сочетание того и другого, вы можете уточнить основную информацию о типах угроз, исходящих от приманок с низким уровнем взаимодействия, добавив информацию о намерениях, коммуникациях и эксплойтах из приманок с высоким уровнем взаимодействия.

Используя киберпоты для создания инфраструктуры анализа угроз, компания может гарантировать, что расходы на кибербезопасность направляются в нужные места и могут увидеть, где у нее есть слабые места.

Преимущества использования приманок

Honeypots могут быть хорошим способом выявления уязвимостей в основных системах. Например, приманка может показать высокий уровень угрозы, исходящей от атак на устройства Интернета вещей. Он также может предложить способы повышения безопасности.

Использование приманки имеет несколько преимуществ по сравнению с попыткой обнаружить вторжение в реальной системе. Например, по определению приманка не должна получать законный трафик, поэтому любая регистрируемая активность может быть зондом или попыткой вторжения.

Это значительно упрощает выявление закономерностей, таких как одинаковые IP-адреса (или все IP-адреса из одной страны), используемые для выполнения сканирования сети. Напротив, такие контрольные признаки атаки легко потерять в шуме, когда вы смотрите на высокий уровень легитимного трафика в своей базовой сети. Большим преимуществом использования безопасности приманки является то, что эти вредоносные адреса могут быть единственными, которые вы видите, что значительно упрощает идентификацию атаки.

Поскольку приманки обрабатывают очень ограниченный трафик, они также не требуют больших ресурсов.Они не предъявляют больших требований к оборудованию; можно настроить приманку на старых компьютерах, которые вы больше не используете. Что касается программного обеспечения, то в онлайн-репозиториях доступен ряд готовых приманок, что еще больше сокращает объем внутренних усилий, необходимых для запуска и работы приманки.

Honeypots имеют низкий уровень ложных срабатываний. Это резко контрастирует с традиционными системами обнаружения вторжений (IDS), которые могут выдавать высокий уровень ложных предупреждений. Опять же, это помогает расставить приоритеты и удерживает потребность в ресурсах от приманки на низком уровне.(Фактически, используя данные, собранные приманками, и коррелируя их с другими журналами системы и брандмауэра, IDS можно настроить на более релевантные предупреждения, чтобы производить меньше ложных срабатываний. Таким образом, приманки могут помочь усовершенствовать и улучшить другие системы кибербезопасности. .)

Honeypots могут дать вам надежную информацию о развитии угроз. Они предоставляют информацию о векторах атак, эксплойтах и ​​вредоносных программах, а в случае ловушек электронной почты — о спамерах и фишинговых атаках.Хакеры постоянно совершенствуют свои методы вторжений; Cyber ​​Honeypot помогает обнаруживать новые угрозы и вторжения. Хорошее использование приманок также помогает избавиться от слепых пятен.

Honeypots также являются отличным средством обучения для технического персонала службы безопасности. Приманка — это контролируемая и безопасная среда, в которой демонстрируется работа злоумышленников и анализируются различные типы угроз. С приманкой сотрудники службы безопасности не будут отвлекаться на реальный трафик, использующий сеть — они смогут полностью сосредоточиться на угрозе.

w3.org/1999/xhtml»> Honeypots также могут улавливать внутренние угрозы. Большинство организаций тратят свое время на защиту периметра и обеспечение того, чтобы посторонние и злоумышленники не могли проникнуть внутрь. Но если вы защищаете только периметр, любой хакер, успешно преодолевший ваш брандмауэр, имеет карт-бланш на нанесение любого ущерба, который они могут сейчас, когда они ‘ повторно внутри.

также не помогут против внутренней угрозы — например, сотрудника, который хочет украсть файлы, прежде чем уволиться с работы. Приманка может предоставить вам одинаково хорошую информацию о внутренних угрозах и выявить уязвимости в таких областях, как разрешения, позволяющие инсайдерам использовать систему.

Наконец, устанавливая приманку, вы на самом деле проявляете альтруизм и помогаете другим пользователям компьютеров. Чем дольше хакеры тратят свои усилия на приманки, тем меньше времени у них остается для взлома действующих систем и причинения реального ущерба — вам или другим.

Опасности приманок

В то время как кибербезопасность приманок помогает составить схему среды угроз, приманки не будут видеть все, что происходит — только действия, направленные на приманку.Вы не можете предполагать, что эта угроза не существует только потому, что определенная угроза не была направлена ​​против приманки; Важно быть в курсе новостей ИТ-безопасности, а не полагаться только на приманки, чтобы уведомить вас об угрозах.

Хорошая, правильно настроенная приманка заставит злоумышленников поверить в то, что они получили доступ к реальной системе. Он будет иметь те же предупреждающие сообщения о входе в систему, те же поля данных, даже тот же внешний вид и логотипы, что и ваши настоящие системы. Однако, если злоумышленнику удастся идентифицировать его как приманку, он сможет атаковать другие ваши системы, не трогая при этом приманку.

w3.org/1999/xhtml»> После того, как приманка была «отпечатана», злоумышленник может создать спуфинговые атаки, чтобы отвлечь внимание от реального эксплойта, нацеленного на ваши производственные системы. Они также могут передавать в приманку неверную информацию.

Что еще хуже, умный злоумышленник потенциально может использовать приманку для проникновения в ваши системы. Вот почему приманки никогда не могут заменить адекватные меры безопасности, такие как межсетевые экраны и другие системы обнаружения вторжений. Поскольку приманка может служить стартовой площадкой для дальнейшего вторжения, убедитесь, что все приманки надежно защищены.«Honeywall» может обеспечить базовую безопасность приманки и предотвратить попадание атак, направленных против приманки, в вашу действующую систему.

Приманка должна предоставлять информацию, которая поможет расставить приоритеты в ваших усилиях по кибербезопасности, но она не может заменить надлежащую кибербезопасность. Сколько бы приманок у вас ни было, подумайте о таком пакете, как Kaspersky Endpoint Security Cloud для защиты ваших бизнес-активов. (Kaspersky использует собственные приманки для обнаружения интернет-угроз, так что вам не нужно.)

В целом преимущества использования приманок намного перевешивают риски. Хакеров часто считают отдаленной невидимой угрозой, но с помощью приманок вы можете точно видеть, что они делают, в режиме реального времени и использовать эту информацию, чтобы помешать им получить то, что они хотят.

Ссылки по теме

IoT под огнем: Касперский обнаружил более 100 миллионов атак на смарт-устройства во втором полугодии 2019 года

Как вредоносное ПО проникает в компьютеры и ИТ-системы

Что такое взлом браузера?

Что такое приманка?

— это эффективная мера безопасности, которую можно использовать для обнаружения бокового движения и потенциальных злоумышленников в вашей сети.Blumira упрощает развертывание и управление приманками с минимальными усилиями, что позволяет раннее обнаруживать атаки и угрозы.

Посмотрите, что вы можете обнаружить с помощью приманок Blumira.

Транскрипция видео приманки

Итак, вы, наверное, спрашиваете себя — что такое приманка?

Ну, во-первых, в среде организации существует множество мер безопасности.

В этом случае у этого есть межсетевой экран. В каждой организации, имеющей доступ к Интернету, вероятно, будет установлен брандмауэр, который может устранить множество потенциальных угроз.

Но на самом деле хакеры все еще находят способы проникнуть в среду организации. И хотя сегментация сети также может быть применена, это не означает, что она предотвращает доступ угроз безопасности к системам.

Таким образом, приманка предназначена для копирования страницы входа в систему, аналогичной другим системам, таким как финансы, ИТ, бизнес-приложения и производительность.

Теперь, когда злоумышленник входит в систему — от хакера в Интернете, который получает доступ к корпоративной среде — или, возможно, от кого-то изнутри, кто пытается получить доступ к одной из этих систем — приманка обнаруживает эту активность и немедленно отправляет предупреждение в ИТ-отдел. или группа ИТ-безопасности.

Теперь это дает видимость этой команде, которая может определить, делает ли кто-то что-то злонамеренное в среде организации.

В этом и состоит ценность приманки, которая включена в услугу Blumira — простой и полезный способ усиления вашей сети.

Дополнительные ресурсы для приманок

Руки в приманке: обнаружение реальных угроз безопасности

Приманки — один из самых мощных внутренних механизмов обнаружения, которые может иметь сеть, даже если они обнаруживают что-то только один раз в синюю луну. Посмотрите, как легко настроить собственную приманку с датчиком Blumira, и начните обнаруживать угрозы и реагировать на них уже сегодня.

Обнаружение атак RDP с помощью приманок
Просмотрите наши данные приманок о тенденциях атак удаленного доступа против RDP с начала пандемии и росте удаленной работы, а также получите советы о том, как защитить свою организацию от удаленных атак.

Что такое приманка? Как это повышает безопасность

Основы Honeypot

Существует множество приложений и вариантов использования приманок, поскольку они работают, чтобы отвлечь вредоносный трафик от важных систем, получить раннее предупреждение о текущей атаке до того, как критические системы будут поражены, и собрать информацию о злоумышленниках и их методах. Если приманки на самом деле не содержат конфиденциальных данных и хорошо отслеживаются, вы можете получить представление об инструментах, тактиках и процедурах (TTP) злоумышленника и собрать судебные и юридические доказательства, не подвергая риску остальную часть вашей сети.

Чтобы приманка работала, система должна выглядеть нормально. Он должен запускать процессы, которые должна запускать производственная система, и содержать кажущиеся важными фиктивные файлы. Приманкой может быть любая система, в которой настроены надлежащие возможности сниффинга и ведения журнала.Также неплохо разместить приманку за корпоративным брандмауэром — он не только обеспечивает важные возможности ведения журналов и предупреждений, но и позволяет блокировать исходящий трафик, чтобы скомпрометированный приманка не могла использоваться для поворота к другим внутренним ресурсам.

С точки зрения задач существует два типа приманок: исследовательские и производственные приманки. Исследовательские приманки собирают информацию об атаках и используются специально для изучения вредоносного поведения в естественных условиях. Глядя как на вашу среду, так и на мир в целом, они собирают информацию о тенденциях злоумышленников, штаммах вредоносных программ и уязвимостях, на которые активно нацелены злоумышленники.Это может дать информацию о вашей превентивной защите, расстановке приоритетов исправлений и будущих инвестициях.

предназначены для выявления активного взлома вашей внутренней сети и обмана злоумышленника. Сбор информации по-прежнему является приоритетом, поскольку приманки предоставляют дополнительные возможности для мониторинга и заполняют общие пробелы в обнаружении при сканировании сети и боковом перемещении. Производственные приманки размещаются вместе с остальными производственными серверами и запускают службы, которые обычно работают в вашей среде.Исследовательские приманки обычно более сложные и хранят больше типов данных, чем производственные приманки.

Сложность приманки варьируется

В производственных и исследовательских приманках также есть разные уровни в зависимости от уровня сложности, необходимого вашей организации:

• Pure honeypot: Это полномасштабная система, полностью имитирующая производственную среду, работающая на различных серверах. Он содержит «конфиденциальные» данные и информацию о пользователях и полон датчиков.Хотя они могут быть сложными и трудными в обслуживании, предоставляемая ими информация бесценна.
• Приманка с высоким уровнем взаимодействия: Эта приманка похожа на чистую приманку в том смысле, что в ней выполняется множество служб, но она не такая сложная и не содержит столько данных. Приманки с высоким уровнем взаимодействия не предназначены для имитации полномасштабной производственной системы, но они запускают (или кажутся запускающими) все службы, которые будет запускать производственная система, включая соответствующую операционную систему. Этот тип приманки позволяет развертывающей организации видеть поведение и методы атакующего.Приманки с высоким уровнем взаимодействия требуют ресурсов и сопряжены с проблемами обслуживания, но результаты могут стоить усилий.
• Приманка для среднего взаимодействия: Имитируют аспекты прикладного уровня, но не имеют собственной операционной системы. Они работают, чтобы задержать или сбить с толку злоумышленников, чтобы у организаций было больше времени, чтобы выяснить, как правильно реагировать на атаку.
• Приманка с низким уровнем взаимодействия: Приманка этого типа чаще всего развертывается в производственной среде.Приманки с низким уровнем взаимодействия запускают несколько сервисов и больше всего служат механизмом раннего обнаружения. Их легко развернуть и поддерживать, и многие группы безопасности развертывают несколько приманок в разных сегментах своей сети.

Различные типы приманок

Используется несколько технологий приманок, включая следующие:

• Приманки для вредоносных программ: Они используют известные векторы репликации и атаки для обнаружения вредоносных программ.Например, приманки (например, Ghost) были созданы для эмуляции в качестве запоминающего устройства USB. Если машина заражена вредоносным ПО, которое распространяется через USB, приманка обманывает вредоносное ПО, чтобы заразить эмулируемое устройство.
• Приманки для спама: Они используются для имитации открытых почтовых ретрансляторов и открытых прокси. Спамеры протестируют открытый почтовый ретранслятор, сначала отправив себе электронное письмо. Если им это удается, они рассылают большое количество спама. Этот тип приманки может обнаруживать и распознавать этот тест и успешно блокировать огромный объем последующего спама.
• Приманка для базы данных: Действия, такие как внедрение SQL, часто могут остаться незамеченными брандмауэрами, поэтому некоторые организации будут использовать межсетевой экран базы данных, который может обеспечить поддержку приманки для создания ложных баз данных.
• Приманки для клиентов: Большинство приманок — это серверы, ожидающие подключения. Клиентские приманки активно ищут вредоносные серверы, атакующие клиентов, отслеживая подозрительные и неожиданные модификации приманки. Эти системы обычно работают на основе технологии виртуализации и имеют стратегию сдерживания, позволяющую минимизировать риск для исследовательской группы.
• Honeynets: Honeynet представляет собой не одну систему, а сеть, которая может состоять из нескольких приманок. Honeynets нацелены на стратегическое отслеживание методов и мотивов злоумышленника, при этом ограничивая весь входящий и исходящий трафик.

Преимущества приманки

предлагают множество преимуществ безопасности для организаций, которые решат их внедрить, включая следующие:

Они прерывают цепочку убийств злоумышленника и замедляют злоумышленников

Когда злоумышленники перемещаются по вашей среде, они проводят разведку, сканируют вашу сеть и ищут неправильно настроенные и уязвимые устройства.На этом этапе они, вероятно, отключат вашу приманку, предупредив вас о необходимости расследования и предотвращения доступа злоумышленника. Это позволяет вам отреагировать до того, как злоумышленник сможет успешно вывести данные из вашей среды. Злоумышленники также могут потратить значительное количество времени, пытаясь работать с приманкой, вместо того, чтобы искать области, в которых есть реальные данные. Отвод их атаки на бесполезную систему тратит циклы и дает вам раннее предупреждение о продолжающейся атаке.

Они просты и не требуют обслуживания

Современные приманки не только легко загрузить и установить, но и могут предоставить точные предупреждения об опасных неправильных конфигурациях и поведении злоумышленников.В некоторых случаях ваша команда может даже забыть о том, что приманка когда-либо была развернута, пока кто-то не начнет копаться в вашей внутренней сети. В отличие от систем обнаружения вторжений, приманки не требуют наличия заведомо плохих сигнатур атак и свежей информации об угрозах.

Они помогут вам протестировать процессы реагирования на инциденты

— это недорогой способ повысить уровень безопасности, поскольку они проверяют, знает ли ваша команда, что делать, если приманка обнаруживает неожиданную активность.Может ли ваша команда расследовать тревогу и принять соответствующие меры?

не должны быть всей вашей стратегией обнаружения угроз, но они представляют собой еще один уровень безопасности, который может быть полезен при раннем обнаружении атак. Это один из немногих методов, доступных специалистам по безопасности для изучения реального вредоносного поведения и выявления компрометации внутренней сети. Хотите узнать больше о других типах технологий, которые могут усилить защиту вашей синей команды? Посетите нашу страницу о технологиях обмана.

Что такое приманка | Honeynets, спам-ловушки и многое другое

Что такое Honeypot

Приманка — это механизм безопасности, который создает виртуальную ловушку, чтобы заманить злоумышленников. Умышленно взломанная компьютерная система позволяет злоумышленникам использовать уязвимости, чтобы вы могли изучить их для улучшения своей политики безопасности. Вы можете применить приманку к любому вычислительному ресурсу, от программного обеспечения и сетей до файловых серверов и маршрутизаторов.

Honeypots — это разновидность технологии обмана, которая позволяет вам понять модели поведения злоумышленников. Команды безопасности могут использовать приманки для расследования нарушений кибербезопасности и сбора информации о том, как действуют киберпреступники. Они также снижают риск ложных срабатываний по сравнению с традиционными мерами кибербезопасности, поскольку вряд ли будут привлекать законную деятельность.

различаются в зависимости от конструкции и моделей развертывания, но все они представляют собой приманки, которые выглядят как легитимные, уязвимые системы для привлечения киберпреступников.

Приманки для производства и исследований

Существует два основных типа приманок:

• Производственные приманки — служат в качестве систем-ловушек внутри полностью работающих сетей и серверов, часто как часть системы обнаружения вторжений (IDS). Они отвлекают внимание преступников от реальной системы, анализируя вредоносную активность, чтобы помочь уменьшить уязвимости.
• Приманки для исследований — используются в образовательных целях и для повышения безопасности. Они содержат отслеживаемые данные, которые можно отследить в случае кражи для анализа атаки.

Типы развертываний приманок

Существует три типа развертываний приманок, которые позволяют злоумышленникам выполнять различные уровни вредоносной активности:

• Чистые приманки — законченные производственные системы, которые отслеживают атаки с помощью перехватчиков ошибок на канале, соединяющем приманку с сетью. Они бесхитростны.
• Приманки с низким уровнем взаимодействия — имитируют службы и системы, которые часто привлекают внимание преступников.Они предлагают метод сбора данных от слепых атак, таких как бот-сети и вредоносные черви.
• Honeypots с высоким уровнем взаимодействия — сложные установки, которые ведут себя как реальная производственная инфраструктура. Они не ограничивают уровень активности киберпреступников, предоставляя подробные сведения о кибербезопасности. Однако они требуют более сложного обслуживания и требуют опыта и использования дополнительных технологий, таких как виртуальные машины, чтобы злоумышленники не могли получить доступ к реальной системе.

Ограничения приманки

приманки имеет свои ограничения, поскольку приманка не может обнаруживать бреши в безопасности в легитимных системах и не всегда идентифицирует злоумышленника.Также существует риск того, что, успешно воспользовавшись приманкой, злоумышленник может переместиться в сторону, чтобы проникнуть в реальную производственную сеть. Чтобы этого не произошло, убедитесь, что приманка должным образом изолирована.

Чтобы увеличить масштаб операций по обеспечению безопасности, вы можете комбинировать приманки с другими методами. Например, стратегия канареечных ловушек помогает обнаруживать утечки информации путем выборочного обмена различными версиями конфиденциальной информации с подозреваемыми кротами или информаторами.

Honeynet: сеть приманок

Honeynet — это сеть-приманка, содержащая один или несколько приманок.Он выглядит как настоящая сеть и содержит несколько систем, но размещается на одном или нескольких серверах, каждый из которых представляет одну среду. Например, приманка для Windows, приманка для Mac и приманка для Linux.

«Honeywall» отслеживает входящий и исходящий трафик из сети и направляет его экземплярам honeypot. Вы можете внедрить уязвимости в honeynet, чтобы злоумышленник мог легко получить доступ к ловушке.

Пример топологии сети honeynet

Любая система в сети honeynet может служить точкой входа для злоумышленников.Honeynet собирает информацию о злоумышленниках и отвлекает их от реальной сети. Преимущество сети-приманки перед простой приманкой в ​​том, что она больше похожа на настоящую сеть и имеет большую зону охвата.

Это делает honeynet лучшим решением для больших и сложных сетей — он предоставляет злоумышленникам альтернативную корпоративную сеть, которая может представлять собой привлекательную альтернативу реальной.

Ловушка для спама: приманка для электронной почты

Спам-ловушки — это инструменты управления мошенничеством, которые помогают поставщикам услуг Интернета (ISP) выявлять и блокировать спамеров. Они помогают сделать ваш почтовый ящик безопаснее, блокируя уязвимости. Ловушка для спама — это поддельный адрес электронной почты, используемый для приманки спамеров. Законное письмо вряд ли будет отправлено на поддельный адрес, поэтому полученное электронное письмо, скорее всего, является спамом.

Типы спам-ловушек включают:

• Опечатки в имени пользователя — спам-фильтр обнаруживает опечатки, вызванные человеческой или машинной ошибкой, включая и отправляет электронное письмо в папку для спама. Сюда входят адреса электронной почты с ошибками, например, jhon @ labra.com вместо настоящего [email protected] .
• Просроченные учетные записи электронной почты — некоторые провайдеры используют брошенные учетные записи электронной почты или просроченные доменные имена в качестве ловушек для спама.
• Приобретенные списки адресов электронной почты — они часто содержат много недействительных адресов электронной почты, которые могут вызвать спам-ловушку. Кроме того, поскольку отправитель не получил разрешения на отправку электронных писем в учетные записи, указанные в списке, их можно рассматривать как спамеров и помещать в черный список.

Уязвимости спам-ловушек включают генерацию обратного рассеяния (неправильно автоматизированные сообщения о недоставке) и заражение законных адресов электронной почты, которые отвечают на сообщение или пересылают его.

Более того, как только спам-ловушка обнаружена, спамеры могут использовать ее, посылая ей легитимный контент, в результате чего спам-ловушка теряет свою эффективность. Другой риск состоит в том, что некоторые люди могут писать на адрес, не осознавая, что это спам-ловушка.

Случайное попадание в спам-ловушку может нанести вред вашей организации, поскольку это повлияет на вашу репутацию и доставляемость. Интернет-провайдер может заблокировать или занести в черный список ваш IP-адрес, а компании, которые обращаются к базам данных по защите от спама, будут фильтровать ваши электронные письма.

Узнайте, как Imperva Web Application Firewall может помочь вам в обеспечении безопасности веб-сайтов.

Imperva Application Security

Наша группа внутренней безопасности поддерживает стек безопасности приложений Imperva и проводит исследования новых и растущих угроз. Группа безопасности поддерживает ваш WAF, постоянно обновляет политики безопасности, выявляет новые уязвимости и угрозы и создает настраиваемые правила в соответствии с вашими потребностями.

Вместо использования традиционных приманок мы используем знания и результаты атак, обнаруженных на сотнях тысяч защищенных Imperva доменов, чтобы лучше понять существующие угрозы.Это исследование является основой нашего решения для многоуровневой защиты.

Imperva для веб-сайтов и приложений обеспечивает доступность, безопасность и удобство использования.

Imperva для обеспечения безопасности приложений включают облачные и межсетевые межсетевые экраны веб-приложений (WAF), удобную для разработчиков сеть распространения контента (CDN) для повышения производительности, защиту от распределенных атак типа «отказ в обслуживании» (DDoS), аналитику атак для реагирования на реальные угрозы безопасности, и больше.

Что такое приманка? Ловушка для поимки хакеров с поличным

Определение приманки

Приманка — это ловушка, которую ИТ-профессионал ставит для злонамеренного хакера, надеясь, что они будут взаимодействовать с ним таким образом, чтобы обеспечить полезный анализ. Это одна из старейших мер безопасности в ИТ, но будьте осторожны: заманивание хакеров в вашу сеть, даже в изолированной системе, может быть опасной игрой.

Простое определение приманки, данное Нортоном, является хорошей отправной точкой: «Приманка — это компьютер или компьютерная система, предназначенная для имитации вероятных целей кибератак.»Часто приманка намеренно настраивается с учетом известных уязвимостей, чтобы сделать более заманчивую или очевидную цель для злоумышленников. Приманка не будет содержать производственные данные и не будет участвовать в легитимном трафике в вашей сети — так вы можете определить, что в ней происходит. является результатом атаки. Если кто-то останавливается, они ничего не замышляют.

Это определение охватывает широкий спектр систем, от простых виртуальных машин, которые предлагают только несколько уязвимых систем, до тщательно сконструированных поддельных сетей, охватывающих несколько серверов.И цели тех, кто создает приманки, также могут сильно различаться — от глубокой защиты до академических исследований. Кроме того, теперь существует целая маркетинговая категория deception technology , которая, хотя и не соответствует строгому определению приманки, определенно принадлежит к одной семье. Но мы вернемся к этому через мгновение.

Типы приманок

Существует две разные схемы классификации приманок: одна основана на том, как они построены, , и другая на основе того, для чего они .

Давайте сначала рассмотрим различные способы реализации приманки. Fidelis Cybersecurity разбирает это:

• Чистая приманка — это физический сервер, настроенный таким образом, чтобы привлекать злоумышленников. Специальное программное обеспечение для мониторинга следит за соединением между приманкой и остальной частью сети. Поскольку это полноценные машины, они представляют собой более реалистичную цель для злоумышленников, но существует риск того, что злоумышленники могут переломить ситуацию с создателями приманки и использовать приманку в качестве промежуточного сервера для атак.Их также сложно настраивать и управлять ими.
• Приманка с высоким уровнем взаимодействия использует виртуальные машины для изоляции потенциально скомпрометированных систем. На одном физическом устройстве можно запустить несколько виртуальных приманок. Это упрощает масштабирование до нескольких приманок и изолирование скомпрометированных систем, а затем их выключение и перезапуск, восстановление до первоначального состояния. Однако каждая виртуальная машина по-прежнему остается полноценным сервером со всеми сопутствующими затратами на настройку.
• Приманка с низким уровнем взаимодействия — это виртуальная машина, которая запускает только ограниченный набор сервисов, представляющих наиболее распространенные векторы атаки или векторы атаки, в которых команда, создающая приманку, больше всего заинтересована. Этот тип приманки проще создать и обслуживает и потребляет меньше ресурсов, но с большей вероятностью покажется злоумышленнику «фальшивкой».

Еще один способ разделения приманок — это намерения тех, кто их строит: существует приманок для исследований, приманок и приманок для производства, .Различие между ними лежит в основе того, для чего на самом деле используются приманки, поэтому мы обсудим это позже.

Для чего используется приманка?

Как объясняет Information Security Solutions Review , research honeypots нацелены на тщательный анализ того, как хакеры выполняют свою грязную работу. Команда, управляющая приманкой, может наблюдать за методами, которые хакеры используют для проникновения в системы, повышения привилегий и других действий в целевых сетях.Эти типы приманок создаются охранными компаниями, учеными и государственными учреждениями, стремящимися изучить ландшафт угроз. Их создатели могут быть заинтересованы в том, чтобы узнать, какие типы атак существуют, получить подробную информацию о том, как работают определенные виды атак, или даже попытаться заманить конкретного хакера в надежде отследить атаку до ее источника. Эти системы часто создаются в полностью изолированных лабораторных средах, что гарантирует, что любые нарушения не приведут к тому, что машины, не являющиеся приманками, станут жертвами атак.

Производство приманки , с другой стороны, обычно развертываются в непосредственной близости от производственной инфраструктуры какой-либо организации, хотя принимаются меры для ее максимальной изоляции. Эти приманки часто служат как приманкой, чтобы отвлечь хакеров, которые могут попытаться проникнуть в сеть этой организации, удерживая их от ценных данных или сервисов; они также могут служить канарейкой в ​​угольной шахте, указывая на то, что атаки уже ведутся и, по крайней мере, частично успешны.

В чем разница между honeypot и honeynet?

Honeynets являются логическим продолжением концепции приманки. Honeypot — это отдельная машина (или виртуальная машина), а honeynet — это серия сетевых приманок. Злоумышленники, конечно же, ожидают найти не одну машину в инфраструктуре своей жертвы, а множество серверов различных специализированных типов. Например, наблюдая за тем, как злоумышленники перемещаются по сети от файловых серверов к веб-серверам, вы лучше поймете, что они делают и как они это делают — и они с большей готовностью купятся на иллюзии. что они действительно взломали вашу сеть.Ключевой особенностью сетей honeynets является то, что они подключаются и взаимодействуют так же, как и реальная сеть, потому что эмулируемый или абстрагированный уровень будет наводкой.

Honeypots и honeynets являются основой так называемой технологии обмана . Deception часто включает в себя приманки и приманки, но также может размещать файлы «приманки» на производственных серверах. Марк Лалиберте из DarkReading говорит, что эта категория «более или менее относится к современным, динамичным приманкам и медоносителям». Самым большим отличием является то, что технология обмана включает в себя автоматизированные функции, которые позволяют инструменту реагировать в режиме реального времени на атаки, заманивая злоумышленников на объект обмана, а не на его реальный аналог. CSO протестировал четыре различных инструмента обмана, и обзор должен помочь вам понять, как они работают.

Ключевым моментом всех этих инструментов, как указывает Лалиберте, является то, что, хотя они предоставляют данные о злоумышленниках, они не обязательно отвечают на эти атаки напрямую. Вам по-прежнему нужен кто-то для анализа информации о том, что злоумышленники делают в вашей приманке или в вашей сети, хотя есть поставщики средств безопасности, которые предлагают анализ и защиту как услугу, поэтому вам не нужно заниматься этим собственными силами.

История приманок

Одна из самых первых громких историй об информационной безопасности связана с тем, что почти наверняка впервые использовалась приманка. Как подробно описано в его книге, The Cuckoo’s Egg , в 1986 году системный администратор Калифорнийского университета в Беркли Клиффорд Столл попытался отследить явно ошибочную плату в 0,75 доллара за использование системы Unix в лаборатории Лоуренса Беркли; в процессе он обнаружил, что кто-то звонил в систему и сумел получить доступ суперпользователя. Столл реализовал две защиты, похожие на приманку, чтобы выследить хакера: он подключил заимствованные терминалы ко всем пятидесяти входящим телефонным линиям в течение долгих выходных и ждал, пока хакер наберет номер; как только он понял, что хакер ищет информацию о секретах ядерной защиты, он создал полностью вымышленный отдел в LBL, якобы работающий над системой противоракетной обороны «Звездных войн», чтобы соблазнить хакера проводить там время.В конце концов нападавший был арестован, и выяснилось, что он является западным немцем, работающим на КГБ.

Другой важный инцидент с приманками произошел в 1990 году, когда хакер попытался проникнуть в лабораторию AT&T Bell Labs и украсть ее файл паролей. Пионер Интернета Билл Чесвик, работавший в то время в Bell Labs, привел злоумышленника к тому, что он назвал «веселой погоней», с помощью специальных систем-ловушек, чтобы отследить его местоположение и изучить его методы; его описание этого инцидента «Вечер с Берфердом» имело чрезвычайно большое влияние.

Вскоре приманки стали более стандартизированной частью набора инструментов профессионалов в области безопасности. Проект Deception Toolkit стартовал в 1997 году; хотя сейчас он бездействует, его веб-сайт все еще находится во всей красе веб-дизайна конца 90-х. Проект Honeynet, начатый в 1999 году, остается активным сегодня как ресурс сообщества безопасности.

Программное обеспечение приманки

Существует ряд проектов приманок с предложениями, большинство из которых бесплатные и с открытым исходным кодом. Одна из самых известных — Honeyd, виртуальная приманка с низким уровнем взаимодействия.Вышеупомянутый проект Honeynet собрал обширный список инструментов, которые предоставляют не только функции приманок, но и способы анализа данных, которые собирают приманки.

На github также есть отличный список приманок, который разбивает их на различные категории. Список на самом деле является отличным способом узнать о разнообразии существующих приманок — есть, например, приманки, которые имитируют все, от баз данных до промышленных устройств SCADA.

Существует несколько автономных коммерческих систем-приманок; вместо этого большинство поставщиков обмана предлагают приманки как часть своих решений; InsightIDR Rapid7 — один из таких продуктов. CSO ‘ s Дэвид Стром изучил ряд предложений обмана и способы их оценки.

Создание системы приманок

Готовы развернуть собственную приманку? Возможно, вы захотите следовать онлайн-руководству. Splunk, инструмент безопасности, который может получать информацию из приманок, описывает, как настроить приманку с помощью пакета Cowrie с открытым исходным кодом. А если вы хотите изолировать все от вашей собственной системы, 0x00sec.org расскажет вам, как настроить приманку — бесплатно! — на сервере Amazon AWS.

Авторские права © 2019 IDG Communications, Inc.

Honeypots

Учебное пособие

1. Что такое приманка?

• Когда большинство людей думают о приманках, они думают о некоторых из наших любимых героев мультфильмов (Винни-Пух), балующихся большим контейнером меда. Однако на компьютерном жаргоне этот термин имеет совсем другое значение.

Приманка:

• «В компьютерной терминологии приманка — это ловушка, установленная для обнаружения, отражения или каким-либо образом противодействия попыткам несанкционированного использования информационных систем.»
• Техническое определение из Wikipedia.com :
• «Приманка — это ресурс безопасности, ценность которого заключается в том, чтобы его зондировали, атаковали или взламывали»
• Определение из www.governmentsecurity.org

2. Каковы цели приманки?

Согласно Wepopedia.com, Honeypot, заманивающий хакера в систему, имеет несколько основных целей:

Администратор может наблюдать, как хакер использует уязвимости системы, тем самым узнавая, где в системе есть слабые места, которые необходимо перепроектировать.

Хакер может быть пойман и остановлен при попытке получить root-доступ к системе.

Изучая действия хакеров, дизайнеры могут лучше создавать более безопасные системы, потенциально неуязвимые для будущих хакеров.

3. Какие бывают типы приманок?

Хотя большинство приманок имеют схожее общее назначение, на самом деле существуют разные типы приманок, которые выполняют разные функции. Согласно Windowsecurity.com, есть два основных типа приманок:

• Производство — производственная приманка используется в среде организации для снижения рисков.
• Исследования — исследовательская приманка повышает ценность исследований в области компьютерной безопасности, предоставляя платформу для изучения угроз.

Википедия , предоставляет более технический список типов приманок. Вот некоторые из перечисленных типов. Посетите Wikipedia.com для получения более подробной информации.

обычно можно разделить на разные категории: приманки с низким, средним и высоким уровнем взаимодействия соответственно.

• honeyd (с низким уровнем взаимодействия) — демон с лицензией GPL, способный моделировать большие сетевые структуры на одном хосте.
• mwcollect, nepenthes (среднее взаимодействие) — приманка, в которой вредоносное ПО заражает симулируемую среду
• Приманки для спама — программы-приманки, созданные администраторами, которые маскируются под ресурсы, которыми можно злоупотреблять, чтобы обнаружить действия спамеров.
• Ловушка электронной почты — адрес электронной почты, который не используется ни для каких других целей, кроме получения спама, также может считаться ловушкой для спама.

3. Каковы этические аспекты приманки?

Использование приманок — очень спорная тема, и хотя их использование считается законным, насколько этичны они на самом деле? Некоторые эксперты считают приманки причиной взлома, и, согласно ME Кабай , автор книги «Ответственность и этика приманок», «Что касается ловушек, то хотя это не юридическая проблема, это не означает, что приманка соблазняет злоумышленники не неэтичны. «Аргумент состоит в том, что, поскольку соблазнять кого-либо к краже объекта неэтично и незаконно, почему законно или этично заманивать человека для совершения компьютерного преступления?

Другие эксперты считают приманки не только неэтичными, но и недостатком для компьютерного мира, поскольку они, по сути, «создают лучшего хакера», потому что все больше и больше хакеров учатся узнавать о приманках и работать с ними, что делает безопасные системы незаменимыми. трудно достичь идеала.

С другой стороны, некоторые эксперты по системной безопасности высказывают свое мнение о том, что приманки просто используют подход «Сначала атака, а затем атака». Согласно Б. Скоттбергу , автору «Интернет-ловушки: защита или ловушка?» «отслеживание злоумышленника в приманке позволяет получить неоценимую информацию о методах злоумышленника и, в конечном счете, о его мотивах, так что производственные системы могут быть лучше защищены. Вы можете узнать об уязвимостях до того, как они будут использованы. «Это является убедительным подтверждением этики приложений-приманок для организаций, которые их используют.

Во многих случаях использование приманки не может считаться неэтичным из-за его очевидных преимуществ. Статья «Борьба с вирусами» Курта Кляйнера доказывает, что в некоторых системах приманки, как известно, содержат компьютерные вирусы и борются с ними. В другой статье «Использование приманок для обмана злоумышленника» Марк Эдмид перечисляет наиболее распространенные преимущества использования приманок в системах безопасности.Honeynet.org — это организация, деятельность которой направлена ​​на повышение осведомленности об уязвимостях, существующих в Интернете сегодня, и на использование преимуществ приманок.

Принято считать, что взлом — это незаконно и неэтично, но заслуживают ли хакеры, чтобы их соблазняли приманки, провоцирующие эти Интернет-преступления?

Этот вопрос не может быть легко ответить, поэтому этика использования приманок будет продолжать оставаться спорной темой.