Необходимо отметить, что использование информационных технологий в инфокоммуникационных системах делает их уязвимыми сразу с двух сторон. С одной стороны применение помех, наряду с ухудшением свойств передачи, может привести и к синтезу сигнала управления, приводящему к неустойчивому состоянию всю систему, а с другой — появляется дополнительный канал для передачи и/или искажения передаваемых данных, введение в состав сигнала различных информационных образований с деструктивными или корректирующими свойствами по отношению к подсистеме информационной поддержки, собственно инфокоммуникационной сисемы.
При этом ядром информационных технологий, по мнению многих специалистов будет совместное функционирование автоматизированных (компьютерных) систем в режиме конфликта. Основную роль при организации воздействия на автоматизированные системы сбора, хранения, обработки и передачи информации будут играть компьютерные формы воздействий. Именно они должны будут определять вид и структуру «информационных воздействий или систематических электронных действий. ». В дальнейшем под информационным воздействием будет пониматься любое действие, вызывающее искажение информационной среды (в соответствии с целями воздействия). По оценкам Университета Национальной обороны США, номенклатура таких воздействий насчитывает более нескольких десятков тысяч типов, начиная от тривиальных вирусов и кончая системами информационного захвата с элементами синтезированного искусственного интеллекта. Одна из возможных классификационных схем информационных воздействий приведена на рис.6.
Программа ‘Идея для дачи’ ловушка от слепней и мух H Trap
Все классифицированные информационные воздействия в зависимости от характера искажения ими информационной среды можно условно разделить на шесть групп (пять уровней воздействия), а именно:
Þ воздействия в полной мере реализующие принцип «безопасного» входа, когда не вноситься каких либо изменений в информационную среду, а основная цель реализации конфликтного компонента заключается в перехвате и/или копировании данных (нулевой уровень воздействия);
Þ воздействия, основанные на искажениях прикладных, тестовых и/или сервисных программ, которые обычно не используются при реализации целевой функции или используются крайне редко (первый уровень воздействия, уровень изолированных процессов);
Þ воздействия, затрагивающие одну или ряд сервисных программ и/или функций поддержки операционной системы (второй уровень воздействия, уровень основных задач, процессов);
Þ воздействия, корректирующие процесс функционирования отдельных сервисных функций и процедур операционной системы (третий уровень воздействия, драйверный уровень);
Þ воздействия, приводящие к уничтожению информационной системы как таковой (четвертый уровень воздействия, деструктивный уровень)[11];
Þ воздействия, приводящие к полному захвату системы и постановке под контроль всех действий пользователя (пятый уровень воздействия, уровень удаленного администрирования).
Последние три типа воздействий, вероятно, будут основным видом оружия информационной борьбы в обозримом будущем. Необходимо отметить, что в настоящее время появились два самостоятельных класса — «сетевой червь» и «удаленное администрирование».
Шахматы. Ловушка в начале партии. Гарантированная победа! #шахматырулят
В соответствии с классификацией каждый из этих типов информационных воздействий требует более подробного рассмотрения, тем более, что многие из них находятся на стадии разработки или отработки способов применения.
Троянские программы – это программный модуль (отдельный файл или пакет программ), который нормально функционирует при одних условиях (в конкретной операционной системе, в программных оболочках, под управлением конкретных драйверов) и нарушает нормальное функционирование системы при изменении этих условий. Источником конфликта в этом случае является использование наряду с прямым обращение к системным функциям, организация запросов на их выполнение через систему. Реализация конфликта происходит путем нарушения паритета системных вызовов. При этом программный модуль, содержащийся в этих программах, или его отдельный фрагмент начинает неправильно функционировать или при отсутствии операционной системы, для которой он был сделан (системные «трояны»), или при наличии в его окружении конфликтующей программы (программные «трояны»). К сожалению, идентифицировать «трояны» на преднамеренные и непреднамеренные по техническим характеристикам пока не удается, поскольку, как правило, условия их «нормального» функционирования оговорены в их сертификате.
В настоящее время появилось еще одно определение этого типа информационного воздействия, которое в качестве основного классификационного признака выделяет путь внедрения, то есть поражаемая система должна сама взять этот программный модуль и при этом он должен обладать деструктивной функцией. Так, например, в «Вирусной энциклопедии» AVP автор отмечает, что
«К троянским коням [12] относятся программы, наносящие какие-либо разрушительные действия, т.е. в зависимости от каких-либо условий или при каждом запуске уничтожающая информацию на дисках, «завешивающая» систему и т.п.
Большинство известных мне троянских коней являются программами, которые «подделываются» под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по BBS-станциям или электронным конференциям. По сравнению с вирусами «троянские кони» не получают широкого распространения по достаточно простым причинам — они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.
К «троянским коням» также можно отнести «дропперы» вирусов — зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют вируса в файле. Например, файл шифруется каким-либо специальным образом или упаковывается редко используемым архиватором, что не позволяет антивирусу «увидеть» заражение.
Следует отметить также «злые шутки» (hoax). К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К «злым шуткам» отностяся, например, программы, которые «пугают» пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах (как это делает широко известная программа ANTITIME), выводят странные вирусоподобные сообщения (драйвер диска CMD640X от какого-то коммерческого пакета) и т.д. — в зависимости от чувства юмора автора такой программы. Видимо, к «злым шуткам» относится также строка «CHOLEEPA» во втором секторе винчестеров фирмы Seagate.
К такой же категории «злых шуток» можно отнести также заведомо ложные сообщения о новых супер–вирусах. Такие сообщения периодически появляются в электронных конференциях и обычно вызывают панику среди пользователей.»
Программы-ловушки – это резидентные программные модули, обеспечивающие после их запуска легального или несанкционированного (скрытного внедрения) съем информации с одного или нескольких информационных внутренних или внешних каналов информационной системы, компьютера или доступной части сети, например, путем перехвата соответствующих прерываний. По способу доставки и внедрения программы– ловушки можно разделить на вирусные, сетевые или файловые.
Вирусные программы-ловушки используются в подавляющем большинстве случаев для нелегального внедрения в информационные пространства путем автоматического переноса (перемещения) программного модуля на доступные носители по признаку доступности выделенной точки внедрения. Это несколько напоминает вирусный путь распространения, отличие заключается только в наличии у программ – ловушек «памяти» пути проникновения для организации обратного канала передачи полученной информации.
Сетевые программы – ловушки отличаются от вирусных только выбором пути распространения. Они используют доступные адресные реестры и распространяются по сети, последовательно определяя правила (протоколы) прохождения каждого сетевого уровня (модем, мейлер, буфер обмена, рабочая станция, ЛВС). В ряде случаев сетевая программа – ловушка является сопутствующим элементом обычной протокольной посылки при инсталляции соединения или передаваемого сообщения.
Программные вставки являются одним из наиболее старых и известных видов информационного воздействия. Это фрагмент или несколько взаимосвязанных модулей программного продукта (в том числе операционной системы), выполняющие функции двойного назначения – поддержку работы самого продукта и осуществляющую информационное воздействие при выполнении инициирующего их условия.
Источниками таких вставок могут быть контроль условий применения программного продукта, оставленные отладочные модули, или специализированные вставки, привнесенные в программный продукт после его изготовления. Программные вставки могут быть документированными (с описанием в части выполнения регламентированной функции) или недокументированными (скрытыми). Наиболее известными вставками являются модули проверки условий легальности используемого программного продукта или отладочные модули, по каким – либо причинам оставленные в его конечной поставке. В качестве примера использования программных вставок можно привести системы автоматизированного проектирования, содержащие модули анализа заданных условий эксплуатации проектируемых технических или программных изделий, которые по опосредованным признакам могут определить их принадлежность к уровню «запрещенных технологий» и исключить возможность получения корректных результатов.
Компьютерные вирусы в настоящее время широко известны как класс специализированных самовоспроизводящихся программных модулей или фрагментов программ, функционирующих совместно с программой-носителем. В большинстве работ компьютерный вирус определяется как «исполняемый модуль, размещаемый в составе информационного объекта (файла, магнитного носителя, системы) и содержащий репродуктивную функцию своего исполняемого кода в пространство других информационных объектов. Распространение вирусов в соответствии с этим определением происходит транзитивно путем «инфицирования программы», что делает их более опасными по сравнению с другими рассмотренными выше средствами информационных воздействий. Зараженные программы или их копии, как известно, могут передаваться через дискеты (и/или другие сменные носители) или по сети на другие информационные или информационно-управляющие системы.
Однако, декомпозиция определения «компьютерный вирус» как информационного воздействия показывает возможность его разделения на две самостоятельные части. В первую часть входит реализующее деструктивную функцию собственно средство информационного воздействия или акции, а во вторую – средство его доставки.
Это создает предпосылки для исключения из классификации «компьютерного вируса» как средства информационного воздействия, поскольку только первая часть является таковым, а профессионально реализованная вторая часть не должна содержать деструктивных функций. Таким образом, возможно определение информационного воздействия, использующего вирусный путь доставки.
Существующие сейчас «конструкторы вирусов» в какой-то степени подтверждают правильность такого подхода, однако наличие достаточно большого числа конкретных компьютерных вирусов со своими особенностями, конкретной реализацией деструктивной функции и маскировки от средств обнаружения делает необходимой именно их классификацию. Наиболее известными в этом отношении являются классификации, предложенные в работах Н.Н.
Безрукова, Н.Д. Лозинского и Е.В. Касперского. По последним данным (на 21.03.2003) насчитывается 65246 обнаруженных вирусов. По экспертным оценкам пока еще существует около 1000 необнаруженных пока вирусов, в настоящее время в той или иной форме существующих в информационных системах.
Предполагается, что они не имеют ярко выраженной деструктивной функции или используют достаточно эффективные методы маскировки и нейтрализации систем их обнаружения.
«Сетевой вирус» (сетевой червь) – программный модуль вирусного типа, у которого в качестве объекта «заражения» выступает не файл или исполняемый модуль, а направление (адрес) конкретного узла (сайта, хоста). Можно разделить на интеллектуальные и неинтеллектуальные, избирательного или общего действия.
Системы информационного захвата представляют собой мини-операционные системы, скрытно расположенные на носителе (дискете, ленте, жестком диске или другом сменном носителе), которые при обращении к носителю путем перехвата управления загрузчиком заменяют ядро операционной системы и в дальнейшем обеспечивают контроль функционирования всей системы в целом. Собственно «захват» операционной системы на платформе DOS (MS, PC, DR или аналогичных) может производиться непосредственно в момент контакта системы информационного захвата с управляющей средой информационной или информационно-управляющей системы, на платформе OS/2, Windows NT или аналогичных реализуется режим отложенного «захвата», что обусловлено достаточно высоким уровнем защищенности этих операционных систем, когда установку или замену ее компонентов можно осуществить на этапе загрузки. Системы информационного захвата могут быть косвенного или прямого действия.
Системы информационного захвата косвенного действия функционируют на основе использования процедуральных компонент захваченной операционной системы, в ряде случаев полностью передавая ей управление с его возвратом после выполнения локальной функции и блокируя только функции, направленные на обнаружение и нарушение паритета с системой захвата.
Системы информационного захвата прямого действия используют только собственные процедуральные компоненты, которые обеспечивают имитацию выполнения функций захваченной системы, возвращая при запросах внешних программ имитируемые параметры и атрибуты захваченной системы.
По мнению многих специалистов, этот вид информационного воздействия может стать основным информационным оружием ближайшего будущего. Это обусловлено, во-первых, адаптивностью процесса захвата информационного пространства, при котором сочетаются высокая, свойственная вирусным типам воздействия, скорость распространения (захвата) с гибкостью и вариабельностью методов захвата, возможностью непрерывного расширения класса решаемых задач даже на основе самообучения такой системы. Во-вторых, возможностью решения самых разнообразных задач, включая контроль деятельности оператора и проведение корректирующих воздействий даже на уровне его поведенческих мотиваций, которые могут быть осуществлены путем психоинформационных воздействий.
Психоинформационные воздействия компьютерного типа, в отличие от аналогичных массового назначения (известные типы психоинформационного оружия – «ПсиИнфОра» – базируются на эффекте 25-го кадра, цветоконтрастном мерцании с подобранными по среднестатистическим характеристикам параметрами и другие), производятся как через отдельную изолированную программу или фрагмент программного продукта, так и через параметры операционной системы (установленные до инсталляции или привнесенные позднее) и осуществляют адаптивные воздействия на человека-оператора, приводящие к уменьшению его работоспособности, дискомфортному состоянию или коррекции мотивационной базы при длительном воздействии. Условно эти воздействия можно разделить на аппаратно биологические, информационно-эмоциональные и информационно– установочные (или мотивационные).
Аппаратно-биологические воздействия могут формироваться на основе аппаратурных факторов (палитрового мерцания монитора, специальным образом модулированное акустическое излучение аудио блока и аналогичные), используя их специфические свойства для воздействия на биофизиологические параметры человека. При этом могут уставать органы зрения, ухудшается реакция и повышается уставаемость.
Более эффективными типами психоинформационных воздействий считаются специально организованные физио-биологические, согласованные ритмические (в соответствии с определяемыми в ходе воздействия биологическими ритмами человека) видео и аудио воздействия. Такой тип воздействий может быть определен как информационно-эмоциональный, поскольку наряду с воздействием на физиологическом уровне проводится и изменение психо-эмоционального состояния человека. В отличие от аппаратно-биологических, они требуют более длительного воздействия на оператора, но эффективность их намного выше.
Информационно-установочные (иногда их идентифицируют как психоустановочные) воздействия относятся к наиболее эффективному виду воздействия как на отдельного человека, так и на социум в целом. Это комплексное воздействие, базирующееся на определяемых в ходе работы с программой или пакетом программ психодинамических параметрах оператора, и относится к еще более высокому уровню информационных воздействий.
Они проводятся одновременно в двух взаимодополняющих направлениях. Во-первых, на чисто психологическом уровне. Это могут быть, например, деловые или игровые программы с ярко выраженной функцией установки или коррекции мотивационного базиса личности. Во-вторых, на психотехническом уровне, когда неявные установки на снижение психологической сопротивляемости и кодирование оператора способствуют усвоению установок первого уровня.
Следует отметить, что произошедшие за последнее время количественные изменения в развитии средств поражения информационных объектов привели и к некоторому расширению и номенклатуры. Так, например, развитие сетевых технологий и сетевых операционных систем привело к выделению из класса «вирусы» нового класса «сетевые вирусы», которые имеют несколько больший размер по сравнению с традиционными, меньшее время доставки к поражаемому элементу и способны самостоятельно прокладывать курс к поражаемому элементу сети. Боевой вариант такого вируса должен обладать признаками искусственного интеллекта, собственной системой безопасности и другими специализированными программными блоками, обеспечивающими прохождение информационного воздействия через фильтры системы защиты поражаемой инфокоммуникационной системы.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
Что такое программа ловушка
Ловушка — это программа, запускаемая по какому-либо событию в хранилище, такому как создание новой ревизии или изменение неверсированного свойства. Каждой ловушке передаётся достаточно информации для того, чтобы узнать, что это за событие, какие объекты затронуты, а также имя пользователя, инициировавшего событие. В зависимости от вывода или возвращаемого значения ловушки, программа ловушки может продолжить действие, прекратить его, или приостановить некоторым образом. За дополнительной информацией о реализованных ловушках обращайтесь, пожалуйста, к главе Hook Scripts (Скрипты ловушек) в книге о Subversion.
Эти скрипты ловушек выполняются сервером, на котором расположено хранилище. TortoiseSVN также позволяет настроить скрипты ловушек, выполняемые локально клиентом при наступлении определённых событий. Для получения дополнительной информации смотрите «Скрипты ловушек, выполняемые на стороне клиента».
Примеры скриптов ловушек вы можете найти в папке hooks хранилища. Эти скрипты подходят для серверов Unix/Linux, но они должны быть модифицированы, если у вас Windows-сервер. Ловушка может быть как пакетным, так и исполняемым файлом. Пример ниже показывает пакетный файл, который может быть использован для реализации ловушки pre-revprop-change (перед-изменением-свойства_ревизии).
rem Only allow log messages to be changed. rem Допускать изменения только сообщений журнала. if «%4» == «svn:log» exit 0 echo Property ‘%4’ cannot be changed >https://tortoisesvn.net/docs/release/TortoiseSVN_ru/tsvn-repository-hooks.html» target=»_blank»]tortoisesvn.net[/mask_link]
Что такое honeypot?
Возможно, вы уже встречали это слово и гадали, что такое honeypot и как оно помогает защищать ваш компьютер. В этой статье мы расскажем все о ловушках для хакеров и роли этого инструмента в кибербезопасности.
Определение слова honeypot
Дословно honeypot переводится как «горшочек меда». Наряду с honeypot используется выражение honey trap – «медовая ловушка». Эти образы пришли из мира шпионажа: Мата Хари и другие шпионки вступали в романтическую связь с мужчинами, чтобы выведать секретную информацию. Нередко скомпрометированных вражеских агентов шантажировали, и они сообщали все, что знают.
В компьютерном мире термином honeypot называют ловушки для хакеров. Это системы, которые заманивают киберпреступников в западню. Злоумышленники атакуют приманку, и специалисты пользуются этим, чтобы собрать информацию о методах группировки или отвлечь ее от других целей.
Как действуют ловушки
Ловушка имитирует компьютерную систему с приложениями и данными, и киберпреступники принимают ее за настоящую. Например, honeypot может имитировать систему для выставления счетов клиентам компании. Это популярная мишень среди киберпреступников, желающих заполучить номера кредитных карт. За попавшими в ловушку хакерами можно наблюдать, чтобы, изучив их поведение, создать более эффективные способы защиты настоящих систем.
Чтобы сделать ловушки более привлекательными для злоумышленников, их намеренно делают уязвимыми. Например, используют порты, которые можно обнаружить с помощью сканирования, или ненадежные пароли. Уязвимые порты часто оставляют открытыми: так растут шансы, что приманка сработает и преступник отвлечется от защищенных реальных сетей.
Ловушка – не антивирус и не сетевой экран, она не помогает решать конкретные проблемы безопасности. Это скорее информационный инструмент, помогающий изучить существующие и выявить новые угрозы. Используя собранные данные, можно приоритизировать проблемы и правильно распределить ИБ-ресурсы.
Какие бывают ловушки и как они работают
Разные виды киберловушек используются для выявления разных угроз. Их свойства зависят от угрозы, для которой они созданы. У каждой ловушки своя роль в комплексной и эффективной стратегии кибербезопасности.
Почтовые ловушки, или ловушки для спама, помещают поддельный электронный адрес в хорошо спрятанное расположение, где его может найти только автоматический сборщик электронных адресов. Учитывая предназначение такого адреса, можно быть на 100% уверенным, что любое входящее по нему письмо – спам. Все письма, похожие на попавшие в ловушку, можно сразу блокировать, а IP-адрес отправителя заносить в черный список.
Поддельная база данных служит для наблюдения за уязвимостями ПО и обнаружения атак, использующих ненадежную архитектуру систем или метод SQL-инъекции, эксплуатирующих SQL-службы или основанных на злоупотреблении привилегиями.
Ловушка для вредоносного ПО имитирует приложения и API, поощряя атаки вредоносных программ. Атакующие программы подвергаются анализу для разработки защиты или устранения уязвимостей в API.
Ловушка для «пауков» ловит поисковых роботов (так называемых «пауков»), создавая веб-страницы и ссылки, доступные только им. С ее помощью учатся блокировать вредоносных ботов и рекламных поисковых роботов.
Анализируя входящий трафик ловушки, можно:
- выяснить местонахождение киберпреступников;
- оценить степень угрозы;
- изучить методы злоумышленников;
- узнать, какие данные или приложения их интересуют;
- оценить эффективность используемых мер защиты от кибератак.
Киберловушки также делятся на высокоинтерактивные и низкоинтерактивные. Низкоинтерактивные ловушки используют меньше ресурсов и собирают базовую информацию об уровне и типе угрозы и ее источнике. Для их установки обычно нужны лишь некоторые моделированные TCP- и IP-протоколы и сетевые службы. Но такая ловушка не задержит преступника надолго и не позволит подробно изучить его привычки или сложные угрозы.
В то же время высокоинтерактивные ловушки заставляют злоумышленников потратить много времени, а значит, позволяют собрать множество данных об их целях и намерениях, методах работы и используемых ими уязвимостях. Это очень «липкие» ловушки – преступники надолго увязают в базах данных, системах и процессах. В это время исследователи могут отследить, где именно в системе взломщик ищет конфиденциальную информацию, с помощью каких инструментов повышает уровень доступа, какие эксплойты использует для компрометации системы.
Однако высокоинтерактивные ловушки потребляют много ресурсов, а их установка и мониторинг требуют немало усилий и времени. Есть и риски: при отсутствии специального экрана (honeywall) серьезно настроенный и изобретательный хакер может использовать такую ловушку для атаки на другие хосты или для рассылки спама с помощью скомпрометированного устройства.
У каждого из этих двух типов ловушек свое предназначение: низкоинтерактивная предоставляет базовые сведения об угрозах, а высокоинтерактивная дополняет их информацией о намерениях и методах преступников, а также об уязвимостях, которые они используют.
Система анализа угроз с использованием киберловушек помогает компаниям правильно распределять ИБ-ресурсы и выявлять уязвимости своих информационных систем.
Преимущества ловушек
Киберловушки – отличный способ найти уязвимости важных систем. Например, ловушка может не только продемонстрировать, насколько опасны атаки на устройства интернета вещей, но и подсказать, как можно усилить защиту.
Есть несколько причин использовать ловушки вместо того, чтобы пытаться обнаружить атаки на настоящую систему. Так, в ловушке по определению не может быть легитимной активности – любые зафиксированные действия, скорее всего, являются попыткой прозондировать систему или взломать ее.
Можно легко обнаружить закономерности (например, похожие или происходящие из одной страны IP-адреса), свидетельствующие о прочесывании Сети. Такие признаки атаки легко потерять на фоне обычного интенсивного трафика в вашей опорной сети. Большой плюс ловушек в том, что вы вряд ли зафиксируете что-то, кроме вредоносных адресов, что сильно упрощает обнаружение атаки.
Кроме того, киберловушки потребляют очень мало ресурсов и трафика. Им не нужно мощное оборудование – для установки ловушки подойдут старые, никому не нужные компьютеры. Что касается ПО, в онлайн-репозиториях можно найти готовые ловушки, чтобы не тратить время и силы сотрудников на их создание и запуск.
Также киберловушки дают минимум ложноположительных срабатываний, в отличие от традиционных систем обнаружения вторжений (IDS). Опять же, это помогает фокусировать усилия на важных проблемах и не тратить ресурсы впустую. (Кстати, сопоставляя собранные ловушкой данные с данными журналов системы и сетевого экрана, можно настраивать IDS на поиск наиболее релевантных угроз, чтобы снизить число ложноположительных срабатываний. Таким образом, ловушки помогают совершенствовать другие системы кибербезопасности.)
Киберловушки формируют подробное представление о развитии угроз, векторах атак, эксплойтах и вредоносном ПО, а ловушки для спама – также о спамерах и фишинговых кампаниях. В то время как преступники постоянно оттачивают свои методы, ловушки помогают выявлять все новые угрозы и вторжения. Грамотно используя ловушки, можно устранить слепые зоны системы кибербезопасности.
Также ловушки – прекрасный тренажер для сотрудников ИБ-отдела, которые могут в контролируемой среде безопасно изучать методы киберпреступников и разные типы угроз. При этом они могут полностью сосредоточиться на атаках, не отвлекаясь на настоящий трафик.
Ловушки помогают справиться и с внутренними угрозами. Большинство организаций занимаются защитой периметра от проникновений извне. Но если сосредоточиться только на периметре, злоумышленник, миновавший сетевой экран, сможет развернуть полномасштабную деятельность внутри сети.
Сетевой экран не спасет и в том случае, если, например, сотрудник решит перед увольнением похитить файлы. Ловушка не только сообщит ценную информацию о внутренних угрозах, но и покажет уязвимости, например разрешения, открывающие доступ к системе для посторонних.
Наконец, установив ловушку, вы поможете пользователям. Чем дольше хакеры будут заняты приманкой, тем меньше времени у них останется на взлом настоящих систем и тем меньше ущерба они нанесут вам или кому-то еще.
Минусы ловушек
Хотя ловушки помогают совершенствовать меры кибербезопасности, они фиксируют только ту активность, которая нацелена на них. В то же время под прицелом злоумышленников может оказаться не ловушка, а настоящая система. Поэтому важно следить на новостями IT-безопасности, не полагаясь только на приманки.
Хорошая, правильно настроенная ловушка заставит хакера думать, что он получил доступ к реальной системе. В ней все будет, как в жизни: те же предупреждения о входе в систему и окна ввода данных, такое же оформление и логотипы. Однако если злоумышленник поймет, что это фальшивка, он ее не тронет, а атакует другие ваши системы.
Распознав ловушку, преступник может провести ложную атаку, чтобы отвлечь внимание от настоящего эксплойта, нацеленного на ваши производственные системы. Он также может «скормить» ловушке неверные данные.
Что еще хуже, грамотный киберпреступник может использовать ловушку для проникновения в вашу инфраструктуру. Вот почему ловушки никогда не заменят качественную защиту, такую как сетевые экраны и другие системы обнаружения вторжений. Поскольку ловушка может стать основой для атак, необходимо позаботиться о ее безопасности. Экран honeywall может обеспечить базовую защиту ловушки и помешать нацеленным на ловушку атакам проникнуть в настоящие системы.
Помните, задача ловушки – не защитить от взлома, а предоставить вам информацию для правильного распределения ИБ-ресурсов. Сколько бы у вас ни было ловушек, вам необходимо надежное защитное решение, такое как Kaspersky Endpoint Security Cloud. (У «Лаборатории Касперского» есть собственные ловушки для онлайн-угроз, так что вам они не понадобятся.)
В целом, преимущества киберловушек значительно перевешивают риски. Киберпреступников часто воспринимают как далекую и невидимую угрозу. С помощью ловушки вы увидите их действия в режиме реального времени и сможете использовать собранную информацию против них.
Ссылки по теме
Что такое honeypot?
Что такое honeypot? Узнайте, как работают ловушки для киберпреступников и как надежнее защитить системы.
Источник: www.kaspersky.ru