Лекция: Схема применения Honeypot Manager
Даже при наличии всех традиционных средств защиты существует возможность получения нежелательного доступа к внутренней сети предприятия злоумышенником, который ищет доступные ресурсы компании. Это может быть как внешний нарушитель, проникший в сеть, так и инсайдер, способный передать данные наружу.
Эта возможность реализуется благодаря недостаткам или особенностям проектирования тех или иных традиционных средств защиты. Например: Межсетевой экран может надежно защищать от проникновения внутрь сети, но не препятствует передаче данных во внешнюю сеть. Кроме того, он не препятствует работе во внутренней сети всевозможных мобильных устройств, так как трафик этих устройств не проходит через шлюзы — наблюдается т.н. «исчезновение периметра» сети.
Антивирус является средством «реактивной защиты», зависящим от частоты обновлений баз сигнатур вредоносного ПО. Персональные СЗИ от НСД не всегда блокируют съемные носители и сетевые USB-устройства. Что касается СОВ, то зачастую среди всей регистрируемой ими информации бывает сложно выделить критичные события и они не всегда «понимают» атаки на прикладные программы. Кроме того, сложные IDS и DLP системы требуют наличия специально обученного персонала и больших материальных затрат на поддержание их работы и анализ их деятельности. Это особенно актуально для организаций малого и среднего бизнеса.
Honeypot Manager полезен как раз в тех случаях, когда традиционные средства защиты не срабатывают. Продукт размещает в локальной сети организации одну или несколько имитирующих реальные данные систем (ловушек-сенсоров). Любой пользователь, осуществивший доступ к имитирующей системе, является нарушителем, так как все легитимные пользователи работают только с настоящим хранилищем.
Потенциальным нарушителем может являться как внутренний пользователь корпоративной вычислительной сети-сотрудник компании, не имеющий специальных знаний по взлому информационных систем, так и внешний пользователь-хакер средней квалификации, получивший доступ к ИС.
Имитирующая система содержит специально подготовленные данные для обеспечения работы приложений, обращающихся к ней. Это могут быть реальные данные, перенесенные на ловушку и подвергнутые изменениям, после которых они перестают быть достоверными.
Система регистрирует информацию о состоянии сенсоров, сведения о фактах НСД и других событиях на имитирующих системах в журнале событий ОС (Event Log). Она также обеспечивает уведомление об этих событиях специалиста по защите информации (администратора безопасности вычислительной сети) по электронной почте.
С Honeypot Manager возможность получения нежелательного доступа к внутренней сети предприятия сохраняется, но, будучи легкодоступным, он «оттягивает» злоумышенника на себя, снижая вероятность попадания на реальный коммерческий сервер. Это происходит как в случае с внешним хакером, так и с инсайдером и позволяет повысить шансы выявить нарушителя и оставить реальные сервера приложений в неприкосновенности.