Как стать автором
Обновить

Комментарии 4

Интересно, если вся эта инфа в общем доступе и есть, то разве хороши хакер не сможет найти способ обойти все эти "приманки"?

В принципе может обойти. Любую защиту можно обойти. В то же время, то, что в открытом доступе есть информация и примеры таких решений не дает хакеру особого преимущества. Более того, даже если он точно будет знать, что в конкретной сети есть ловушки, они все равно будут мешать. Поэтому в случае с ханипотами в первую очередь говорится о замедлении и отвлечении хакеров, а уже потом об обнаружении.

Приведу пример с внутренней сетью. Допустим, хакер не знает что в ней установлены ханипоты - он запустит автоматический сканер, чтобы собрать больше информации, и тот вскоре вызовет срабатывание ловушки. Профит.

А если хакер точно знает, что в сети есть ханипоты, ему потребуется уйма времени на их поиски. Скорее всего придется пассивно прослушивать трафик, например в поисках серверов, с которыми никто не взаимодействует. Однако, что бы они ни делал, это не дает гарантии обнаружения всех ловушек. Так, многие ханипоты в составе коммерческих десепшн-систем умеют обмениваться трафиком и таким образом сливаются с окружением. Не говоря уже о том, что они просто очень разнообразные по "внешнему виду" и принципу действия. В итоге исследование сети для хакера превращается в игру в сапера. Это очень мешает продвижению по инфраструктуре.

Обойти (проигнорировать) можно, но о существовании приманки ещё ведь нужно узнать. А если учесть, что атаки, как правило, начинаются с массового автоматического сканирования, цель приманки будет достигнута — она зафиксирует потенциального взломщика, его адрес и методы работы.

Хороший да, но как правило народ ленив

Например даже при клонировании сайта (с целью поднятия своего фишингового) не особо заморачиваются и лишь заменяют https://domain.com на что-то своё

А нормальные обфускаченные канарейки остаются на месте
+ обращения за некоторой статикой на оригинальный сайт тоже (которые вылавливаются по referer хедерам из логов веб сервера)

Говорю по опыту, в этому году 49 фишинговых ресурсов таким образом у себя обнаружил и почти все своевременно заабьюзил

Так что наличие нескольких хонейспотов внутри предприятия тоже хорошее дело – он отработает и атакующий потратит своё время, которого может оказаться достаточно, для автоматического или ручного реагирования

Зарегистрируйтесь на Хабре, чтобы оставить комментарий