Honeypot
Honeypot (от англ., «горшочек с медом») – приманка, используемая для отвлечения внимания злоумышленников (или вредоносного ПО) при проникновении в ИТ-инфраструктуру организации. Приманки выглядят полностью идентичными реальным ИТ-ресурсам и могут содержать ложные данные, которые вынуждают атакующего тратить время на их анализ и замедляют развитие атаки.
Приманки могут имитировать серверы, рабочие станции, маршрутизаторы медицинские приборы, банкоматы, платежные терминалы, контроллеры SCADA, компоненты финансовой сети SWIFT и др.
После того, как вредоносная программа или злоумышленник преодолевают защиту периметра, они начинают собирать информацию и анализировать ИТ-инфраструктуру с целью обнаружения наиболее ценных активов и развития дальнейшей атаки. Как только вредоносная программа или хакер осуществляют взаимодействие с «приманкой», сразу же формируется оповещение специалистов по информационной безопасности.
Сеть приманок в ИТ-инфраструктуре может содержать сотни и даже тысячи устройств, которые будут обнаруживать всю подозрительную активность.
Основные преимущества данного класса решений:
- Обнаружение нового вредоносного ПО и атак, использующих уязвимости «нулевого дня»
- Высокая скорость реакции – обнаружение осуществляется в режиме реального времени (т.е. в момент контакта с приманкой)
- Практически нулевой уровень ложных срабатываний – легальным пользователям и ПО взаимодействовать с приманкой нет необходимости
- Простота внедрения – не требуется перестраивать существующую ИТ-инфраструктуру
- Высокая идентичность – возможность создавать настраиваемые ловушки, специфичные для конкретной ИТ-инфраструктуры