Ханипот (от англ. honeypot — «горшочек с медом»), также ловушка, — уязвимая или неправильно сконфигурированная система (например, роутер или имитирующая его виртуальная машина), намеренно открытая для атак из интернета, которая служит приманкой для киберпреступников и находится под постоянным наблюдением специалистов по информационной безопасности. Основная задача ханипота — сбор информации об инструментах и тактиках злоумышленников. Ханипоты относят к пассивным средствам защиты.
Для того чтобы ловушки были привлекательными для преступников, как правило, их намеренно защищают слабыми паролями, оставляют доступными из интернета порты популярных сервисов, и так далее.
Данные, которые собирают ханипоты
Ханипоты могут собирать различные данные об атакующих, в том числе:
- IP-адреса;
- имена пользователей и привилегии, которые они используют;
- данные, к которым они получают доступ, изменяют, удаляют;
- вредоносное ПО и другие инструменты, которые злоумышленники пытаются загрузить на ханипот.
Виды ханипотов
По цели развертывания
- Производственные ханипоты устанавливаются в реальной внутренней сети организации для сбора данных об атаках на системы этой организации.
- Исследовательские ханипоты используются для изучения методов и поведения киберпреступников независимо от организации, на которую направлена потенциальная атака.
По уровню взаимодействия
- Ханипоты с низким уровнем взаимодействия — ловушки, имитирующие уязвимые сервисы, которые можно проэксплуатировать, но без возможности взаимодействовать с системой после эксплуатации. Такие ханипоты используют меньше всего ресурсов, однако они собирают и меньше всего информации о злоумышленнике. Кроме того, атакующий с большой вероятностью распознает такие ловушки, поэтому они используются преимущественно для того, чтобы выявлять атаки ботов.
- Ханипоты со средним уровнем взаимодействия — ловушки, имитирующие систему, с которой можно совершать определенные манипуляции после эксплуатации. Такие ханипоты также ограничены по функциональности, однако собирают больше информации, чем ханипоты с низким уровнем взаимодействия.
- Ханипоты с высоким уровнем взаимодействия имитируют полноценные системы с набором различных сервисов и других привлекательных для злоумышленников элементов, например с базами данных. Чем сложнее система, тем больше информации о злоумышленнике она может собрать.
- «Чистые» ханипоты имитируют полноценную производственную среду с несколькими серверами. Развертывание и поддержка таких ловушек требуют больше всего ресурсов; при этом они являются самыми реалистичными и собирают больше всего информации о злоумышленниках.
По объекту анализа
- Ханипоты для анализа вредоносного ПО рассчитаны на заражение различными зловредами. Попавшие в ловушку образцы впоследствии могут изучить специалисты по безопасности.
- Спам-ловушки предназначены для сбора данных о спамерах и ботах, собирающих базы электронных адресов для рассылки спама. Они могут имитировать уязвимый почтовый сервер, например сервер-посредник (ретранслятор) или, скажем, веб-страницу с зашитым в нее адресом-приманкой.
- Ханипоты в виде баз данных — для анализа атак, связанных с базами данных, в частности атак с инъекцией SQL.
- Ханипоты для «пауков» — скрытые ссылки на сайте, которые обнаруживают ботов, собирающих информацию с веб-страниц. Основная цель таких ханипотов — защита от веб-скрейпинга.
- Активные системы обнаружения опасных серверов (client honeypots, «ханипоты-клиенты») — ловушки, имитирующие поведение клиентских программ, таких как браузеры, которые могут атаковать злоумышленники. В отличие от большинства ханипотов, этот вид ловушек является активным: они подключаются к различным серверам от имени клиента, который имитируют, и проверяют, будет ли сервер их атаковать.
- IoT-ханипоты — ловушки, имитирующие устройства интернета вещей.
- Сети ханипотов (honeynets) — несколько разных ханипотов, объединенных в одну систему; в зависимости от составляющих могут использоваться для анализа различных видов комплексных атак.