Мне интересно узнать, есть ли здесь кто-нибудь, кто администрирует большую среду (200-500 серверов) и имеет очень большую общедоступную клиентскую базу (100 000+), установил (или хотя бы рассматривал возможность установки) приманку? Меня особенно интересуют те, кто предоставляет услуги неприятным / злым / враждебным сетям.
Если вы его создали, не могли бы вы рассказать о своем опыте? На самом деле, прокомментируйте, если вы не Считайте свою среду большой, даже небольшая среда, содержащая несколько враждебных сетей, идеально подходит!
Я планирую создать его там, где работаю, но, естественно, это начнется с нескольких битв с руководством, естественно. Есть риски - самый большой риск будет заключаться в том, что что-то неправильно настроено, и ваши производственные серверы присоединятся к вашему «кластеру» приманки, или просто утечка информации о вашей сети (любая информация - это слишком много информации).
Производственная приманка используется для помощи организации в защите ее внутренней ИТ-инфраструктуры, в то время как исследовательская приманка используется для сбора доказательств и информации с целью изучения моделей и мотивов атак хакеров или мошенников.
Производственные приманки ценны для организации, особенно с коммерческой точки зрения, поскольку помогают снизить или смягчить риск, с которым сталкивается конкретная организация. Производственные приманки защищают организацию, контролируя ее ИТ-среду для выявления атак. Эти производственные приманки полезны для поимки хакеров с преступными намерениями. Внедрение и развертывание производственных приманок относительно проще, чем исследовательских приманок.
Вы хотите Honeyd - Honeyd - это небольшой демон, который создает виртуальные хосты в сети. Хосты могут быть настроены для запуска произвольных служб, и их индивидуальность может быть адаптирована так, чтобы они выглядели как работающие с определенными операционными системами. Honeyd позволяет одному хосту запрашивать несколько адресов - я тестировал до 65536 - в локальной сети для моделирования сети. Honeyd улучшает кибербезопасность, предоставляя механизмы для обнаружения и оценки угроз. Он также отпугивает злоумышленников, скрывая реальные системы посреди виртуальных систем.
Приманки чрезвычайно полезны для любой среды, и в них не должно быть ничего необычного или сумасшедшего.
Примеры, которые мы делаем:
-Создайте фальшивую учетную запись на почтовом сервере (например, userX) с несколькими фальшивыми ссылками в его почтовом ящике (такие как ссылка на каталог пользователя, ссылка для оплаты и т. Д., Все они указывают на внутренний сервер). Теперь мы отслеживаем любой доступ к этим страницам через журналы, и мы знаем, что если мы когда-либо видим доступ к ним, это связано с тем, что кто-то читает чужую электронную почту или взломал систему.
-Добавить в нашу сеть неопубликованную систему с неиспользуемым IP. Любой доступ к ним, вероятно, вызван сканированием или, возможно, неправильно настроенной системой (да, такое бывает).
И многое другое ... Эти маленькие «приманки» настолько просты в настройке, а их преимущества потрясающие. Мы даже уволили системного администратора за просмотр поддельной ссылки на зарплату.
Я должен быть откровенен и сказать, что если бы я был вашим менеджером, я бы отказался от этой идеи, прежде чем она даже началась. Слишком много рисков и нулевых преимуществ связано с установкой приманки в большой ИТ-среде.
Не могли бы вы подробнее рассказать Зачем вы бы хотели это сделать? Разве приманки не ограничиваются только исследователями безопасности? Чего вы пытаетесь достичь?