Системы Honey Pot и Padded Cell

В настоящее время разрабатываются новые дополнения для традиционных IDS. Важно понимать, чем они отличаются от технологий, используемых в обычных IDS.

Honey Pot являются системами-ловушками, которые разработаны для привлечения потенциального атакующего и отвлечения его от уязвимых систем. Honey Pot создаются для того, чтобы:

• отвлечь атакующего от доступа к критичным системам;
• собрать информацию о деятельности атакующего;
• способствовать тому, чтобы атакующий оставил достаточно следов в системе.

Такие системы заполняются ложной информацией, но информация создается таким образом, чтобы она казалась ценной. Законные пользователи не должны иметь доступ к данной системе. Таким образом, любой вход в Honey Pot является подозрительным. Honey Pot содержит мониторы уязвимостей и логгеры событий, которые определяют, что такие доступы произошли, и также собирают информацию о деятельности атакующих.

Padded Cell используют другой подход. Вместо того, чтобы пытаться привлечь атакующих заманчивыми данными, Padded Cell функционируют вместе с традиционной IDS. Когда IDS определяет атакующего, она перенаправляет его в специальный Padded Cell хост. После того как атакующие попадают в Padded Cell, они находятся внутри эмулированного окружения, где не могут причинить вред. Как и Honey Pot, данное эмулированное окружение заполняется представляющими интерес данными, разработанными для того, чтобы убедить атакующего, будто атака продолжается по его плану. Как и Honey Pot, Padded Cell являются хорошо оборудованными и имеют уникальные возможности для мониторинга действий атакующего. Разработчики IDS используют системы Padded Cell и Honey Pot, начиная с 1980 года. Важно проконсультироваться с законодательством, прежде чем принять решение об использовании тех или иных систем в конкретном функциональном окружении.

Преимущества систем Honey Pot и Padded Cell:

• Атакующие могут быть направлены в сторону от целевой системы, тем самым они не в состоянии принести вред.
• Администраторы имеют дополнительное время для принятия решения о том, как ответить атакующему.
• Действия атакующего могут быть легко и более обширно проанализированы, с получением результатов, которые могут использоваться для уточнения моделей угроз и для улучшения системы защиты.
• Honey Pot могут быть эффективны для обнаружения внутренних нарушителей, которые просматривают сеть.

Недостатки систем Honey Pot и Padded Cell:

• Законодательные положения для использования таких устройств недостаточно хорошо определены.
• Honey Pot и Padded Cell пока еще не являются общеиспользуемыми технологиями безопасности.
• Опытный атакующий, однажды попав в ловушку, может стать агрессивным и запустить более враждебную атаку против системы.
• Администратору необходим большой опыт, чтобы использовать такие системы.