Межсетевое экранирование

Системы Honey Pot и Padded Cell


В настоящее время разрабатываются новые дополнения для традиционных IDS. Важно понимать, чем они отличаются от технологий, используемых в обычных IDS.

Honey Pot являются системами-ловушками, которые разработаны для привлечения потенциального атакующего и отвлечения его от уязвимых систем. Honey Pot создаются для того, чтобы:

  • отвлечь атакующего от доступа к критичным системам;
  • собрать информацию о деятельности атакующего;
  • способствовать тому, чтобы атакующий оставил достаточно следов в системе.

Такие системы заполняются ложной информацией, но информация создается таким образом, чтобы она казалась ценной. Законные пользователи не должны иметь доступ к данной системе. Таким образом, любой вход в Honey Pot является подозрительным. Honey Pot содержит мониторы уязвимостей и логгеры событий, которые определяют, что такие доступы произошли, и также собирают информацию о деятельности атакующих.

Padded Cell используют другой подход. Вместо того, чтобы пытаться привлечь атакующих заманчивыми данными, Padded Cell функционируют вместе с традиционной IDS. Когда IDS определяет атакующего, она перенаправляет его в специальный Padded Cell хост. После того как атакующие попадают в Padded Cell, они находятся внутри эмулированного окружения, где не могут причинить вред. Как и Honey Pot, данное эмулированное окружение заполняется представляющими интерес данными, разработанными для того, чтобы убедить атакующего, будто атака продолжается по его плану. Как и Honey Pot, Padded Cell являются хорошо оборудованными и имеют уникальные возможности для мониторинга действий атакующего. Разработчики IDS используют системы Padded Cell и Honey Pot, начиная с 1980 года. Важно проконсультироваться с законодательством, прежде чем принять решение об использовании тех или иных систем в конкретном функциональном окружении.

Преимущества систем Honey Pot и Padded Cell:

  • Атакующие могут быть направлены в сторону от целевой системы, тем самым они не в состоянии принести вред.
  • Администраторы имеют дополнительное время для принятия решения о том, как ответить атакующему.
  • Действия атакующего могут быть легко и более обширно проанализированы, с получением результатов, которые могут использоваться для уточнения моделей угроз и для улучшения системы защиты.
  • Honey Pot могут быть эффективны для обнаружения внутренних нарушителей, которые просматривают сеть.

Недостатки систем Honey Pot и Padded Cell:

  • Законодательные положения для использования таких устройств недостаточно хорошо определены.
  • Honey Pot и Padded Cell пока еще не являются общеиспользуемыми технологиями безопасности.
  • Опытный атакующий, однажды попав в ловушку, может стать агрессивным и запустить более враждебную атаку против системы.
  • Администратору необходим большой опыт, чтобы использовать такие системы.



Содержание раздела