@SergioMaroni

Есть ли смысл ставить Honeypot в корпоративной сети?

Добрый день!
Интересует мнение опытных админов, особенно безопасников. Есть ли смысл настраивать honeypot в локальной корпоративной сети ? Сам я думаю что смысл есть, но сомневаюсь, охота услышать еще мнения.
Что я понимаю под Honeypot это железная Wondows 7 / xp , без необходимых патчей, при необходимости можно поднять какие либо сервесы (FTP, SMB, HTTP и тп.). На данной машине мы запускаем мониторинг всего и вся (смотрим сеть - кто откуда подключается, смотрим процессы, подключенных пользователей, логи системы, доступ к файлам и тп.) Параллельно мы настраиваем зеркало порта на котором сидит данная машина и весь трафик направляем либо в IDS либо просто его собираем каким нибудь ПО. Далее если срабатывает один из триггеров мы вырубаем нашу подставную машину и анализируем логи - находим злоумышленника или хотя бы узнаем что такие есть и думаем что делать дальше.

Вот какие плюсы вижу я:
1) Если злоумышленник каким нибудь образом проник в сеть благодаря Honeypot у нас появляется шанс обнаружить его (за счет того что мы увидим любое обращение к нашей приманку)
2) Установив такую приманку мы не уменьшаем безопасность нашей сети. Я исхожу из того что злоумышленник уже в нашей сети (как то проник в нее) мы просто о нем не знаем. Данная приманка не доступна из интернета, только в локальной сети, поэтому к ней попасть можно только изнутри с какого либо устройства в локальной сети.
3) Данное решение как бы дополняет существующие способы защиты (Firewall, ids, антивирус и тп.)

Если кто знает что нибудь подобное из коммерческих либо бесплантых систем или кто то делал подобное.
  • Вопрос задан
  • 489 просмотров
Пригласить эксперта
Ответы на вопрос 4
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
А человек есть под это дело? Здесь, как с СМП да и классическим видеонаблюдением - если хочется получить максимальную отдачу - сажается отдельный человек, который только и делает, что глядит в (телик/монитор/логи). Человеку нужна зарплата etc. Если отдача для бизнеса покрывает расходы - почему бы и нет?
Ответ написан
edinorog
@edinorog
Троллей не кормить!
а смысл?) вот смотри ... враг прошел во внутреннюю сеть через шлюз. ты спал! он закрепился на одном из компов. ты опять спал! он начал сканить твою сеть. ты опять спишь!!! и тут он из сотен компов вдруг выбирает твой мешочек с какашками и ты проснулся?)
Ответ написан
@SergioMaroni Автор вопроса
Итого получается вы считаете что данное решение не имеет смысла и траты сил и времени, так как "выхлоп" от него ничтожен . Я правильно понял ?
Ответ написан
morgane
@morgane
analyse comportementale
Вполне перспективное направление при правильном подходе.
Помогает обнаружить заблудившиеся трояны, клиентов бот-нет сетей и энтузиастов безопасности в компании.
Реализовывали на основе собственной разработки, помогает дополнить суть происходящего в корпоративной сети.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы