Dzisiaj ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji) zamieścił na swojej stronie internetowej ogromny przewodnik Honeypoty. Możesz znaleźć pełny raport here.
Z raportu:
Honeypots are powerful tools that can be used to act as a proactive detection of security incidents infrastructure.
Honeypot jest ogólnie źródłem computing, , którego jedynym zadaniem jest być badane, zaatakowany, zagrożona, używane lub dostępne w dowolnej nieuprawnionymi zasobu way.The można zasadniczo każdego typu: serwis, Aplikacja, system lub zestaw systemów lub po prostu kawałek informacji / danych. Kluczowym założeniem jest to, że każdy podmiot łączenia się lub próbuje korzystać z tego zasobu w jakikolwiek sposób, jest z definicji podejrzany. Wszystkie działania między honeypot i jakikolwiek podmiot (Zakłada się, że przeciwnik) interakcja z nim jest monitorowane i analizowane w celu wykrycia i potwierdzenia próby nieautoryzowanego użycia (zwłaszcza: złośliwe lub obraźliwe działalność).
Honeypot powinien naśladować zasobu produkcyjnego w jego zachowaniu jak najdokładniej - od atakującej punktu widzenia nie powinno być zauważalna różnica pomiędzy zasobem i honeypotowej produkcji jeden. Zasoby reprezentowane przez pułapki są dla produkcji. Ponadto, środki te powinny być odizolowane od wszelkich środowisku produkcyjnym. Nie uzasadniony ruch powinien osiągnąć wabika (ta zasada nie zawsze ma zastosowanie do pułapki klienckich - patrz opis poniżej).
Rdzeń tego dokumentu jest zbadanie istniejących technologii honeypotowych i pokrewne, z naciskiem na rozwiązania open-source, również dlatego, że nie są liczne rozwiązania handlowe dostępne dodatkowe badania nie wymaga kosztów. Podstawowe pojęcia honeypot i strategie wdrażania są objęte, pomoc CERT lepszego zrozumienia krytycznych problemów związanych z wdrażaniem. Intencją opracowania jest skupić się na praktyczności roztworu, niekoniecznie swoje badania lub wartość akademicką. Stąd, pomoc CERT, as part of the study we have introduced criteria that had mostly not been used before for evaluation of honeypots.
Celem: zaoferować wgląd które rozwiązania są najlepsze z punktu widzenia wdrażania i wykorzystania przez zespół ds. bezpieczeństwa - szczególnie zespół CERT, ułatwiając nowy zespół, aby wybrać do wdrożenia technologii honeypot. Oceny obejmuje wyniki rzeczywistego badania rozwiązań, rather than just desktop research.
Ogólny, łącznie 30 różne honeypoty jednostkowe zostały przetestowane i ocenione, łącznie z: niskiej interakcji honeypoty serwera (ogólnego przeznaczenia, www, SSH, SCADA, VoIP, USB, sinkholes), wysokiej interakcji honeypoty serwera, and low and high-interaction client-side honeypots.
Dodatkowo, różne rozwiązania hybrydowe, Systemy wczesnego ostrzegania oparty na pułapki, forum honeypoty i Piaskownice i ich ewentualnego użycia przez CERT znajdują się również. The study also explores the future of honeypots.
Badania wykazały szereg ewentualnych barier dla wdrażania (patrz rozdział 10). Należą: trudność użycia, słaba dokumentacja, brak stabilności oprogramowania, brak wsparcia developerów, trochę standaryzacja i ogólnie wymóg dla osób wysoko wykwalifikowanych w obsłudze i utrzymaniu honeypoty, jak również problemy w społeczności CERT w zrozumieniu podstawowych pojęć honeypot. Niemniej jednak, jeśli zostanie wdrożone prawidłowo, honeypot benefits for CERTs are found to be considerable.
Honeypoty oferują wspaniały wgląd w aktywności szkodliwego oprogramowania w jego okręgu wyborczym CERT, zapewniając wczesne ostrzeganie infekcji złośliwym oprogramowaniem, nowych exploitów, Luki i zachowania malware jak również doskonała okazja, aby dowiedzieć się o zmianach w taktyce atakująca. Badanie zaleca zatem CERT zbadać możliwość honeypoty rozmieszcza ich okręgu (zestaw ogólnymi zaleceniami można znaleźć w rozdziale 10.2). Korzystanie honeypoty jako czujniki mogą być łatwiejsze niż w innych technologiach, jak zwykle nie monitoruje ruch na poziomie produkcji, podejmowania kwestii prywatności mniejszą troskę. Aby zwalczać rosnące zagrożenie cyber, CERT muszą współpracować i rozwijać dużych połączonych sieci czujników w celu gromadzenia informacji o zagrożeniach z wielu rozproszonych obszarów geograficznych. Ponownie, honeypoty są idealne do tego celu. Honeypoty może być również stosowany w celu zwalczania zagrożenia poufnych. Niemniej jednak, często wymagają jeszcze trochę pracy do potrzeb CERT. W celu dla technologii honeypotowych spełnić tych oczekiwań, CERT i honeypot Naukowcy są zachęcani do współpracy. CERT powinien dotrzeć i wziąć udział w honeypotowych wspólnotach zidentyfikowane w tym badaniu, udzielanie informacji zwrotnej, poszukiwania nowych pomysłów i pomocy w rozwoju. Celem końcowym: powerful and reliable tools that help CERTs and others make the Internet a safer place.
Kontynuuj, aby ją przeczytać w raporcie…
The post Proaktywne wykrywanie incydentów bezpieczeństwa: Honeypoty appeared first on .