Honeypot: ловушка, которая выдаёт атакующего
Honeypot (в переводе — «горшочек мёда») — это ловушка-приманка для злоумышленников. Поддельный сервер, сервис или учётная запись, которая выглядит привлекательно для атакующего, но не несёт никакой пользы бизнесу. Главная её ценность в том, что любое обращение к honeypot почти наверняка означает атаку.
В чём идея
В нормальной работе у honeypot нет легитимных пользователей. К нему не подключаются сотрудники, в нём не хранятся реальные данные. Поэтому если кто-то его сканирует, пытается войти или скачать файлы — это либо взломщик, либо вредоносная программа, гуляющая по сети. Сигнал получается чистым, почти без ложных срабатываний.
Это отличает honeypot от обычных средств защиты, которые тонут в шуме легитимного трафика. Здесь же одно событие — один повод для разбора.
Какими бывают
По уровню взаимодействия:
- Низкоинтерактивные — имитируют лишь открытые порты и баннеры сервисов. Дёшевы, легко разворачиваются, фиксируют сам факт сканирования.
- Высокоинтерактивные — полноценная операционная система или приложение, с которым атакующий может реально «повозиться». Дают много данных о методах злоумышленника, но требуют изоляции и присмотра.
По расположению:
- Внешние — выставлены в интернет, ловят массовые сканирования и автоматические атаки.
- Внутренние — расставлены внутри корпоративной сети. Это самое ценное применение: если атакующий уже прошёл периметр, обращение к внутреннему honeypot выдаёт его присутствие.
Отдельный приём — honeytoken (приманка-метка): фальшивый документ, учётная запись или ключ доступа. Срабатывание метки означает, что данные кто-то трогает.
Зачем бизнесу
Honeypot закрывает слепую зону: обнаружение злоумышленника, который уже внутри сети. Реальные атаки часто месяцами остаются незамеченными — атакующий тихо изучает инфраструктуру. Ловушка ломает эту тишину: первое же его движение в сторону приманки поднимает тревогу.
Honeypot не заменяет основные средства защиты — это дополнительный сенсор раннего предупреждения, который работает в связке с системами мониторинга и реагирования. Подробно о том, зачем компании постоянный мониторинг ИБ, мы рассказываем в статье нужен ли бизнесу SOC и мониторинг ИБ.
Когда нужен компании
- Есть критичные системы, к которым важно поймать любое несанкционированное приближение
- Уже выстроен мониторинг, и нужен чистый, малошумный источник сигналов об атаке
- Требуется раннее обнаружение бокового перемещения злоумышленника внутри сети
- Нужно изучать методы атакующих, чтобы усиливать защиту
Что включает наша услуга
- Проектирование сети ловушек под инфраструктуру заказчика
- Развёртывание honeypot и honeytoken в изолированном безопасном контуре
- Интеграция сигналов от ловушек в систему мониторинга и реагирования
- Разбор срабатываний и расследование инцидентов из нашего центра мониторинга
Связанные термины
- IDS/IPS — обнаружение и предотвращение вторжений — сетевые сенсоры, которые работают вместе с ловушками
- SIEM — сбор и корреляция событий безопасности — куда стекаются сигналы от honeypot для анализа
- SOC — центр мониторинга безопасности — команда, которая реагирует на срабатывание ловушек
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП