+7 (495) 419-06-60
+7 (8352) 230-300
428018, г. Чебоксары, ул. Ак.Крылова, 13
cart
Продукции в заказе: 0 ед.
Направить заявку
КАТАЛОГ ТОВАРОВ
Honeypot Manager

 

 

Категория: Контроль доступа / Защита от несанкционированного доступа

Платформа: Windows (desktop & server)

Honeypot Manager – это проактивное средство обнаружения хакерских вторжений и несанкционированного доступа к информации, основанное на имитации данных и анализе обращений пользователей к имитируемым прикладным программам и сетевым сервисам.

 

Основная задача системы – регистрация действий злоумышленника и сигнализирование о них с целью нейтрализации угрозы получения доступа (чтение, копирование, изменение) к реальным данным на реальных системах хранения данных.

 

Honeypot Manager имитирует систему хранения данных (СУБД Oracle или файловый сервер) с помощью специальных ловушек (сенсоров), отслеживает активность на ней и уведомляет о фактах НСД к этим данным.

 

Таким образом, администратор безопасности владеет информацией о том, кто пытается получить доступ к системе и пытается ли вообще, а также может определить, перепутал ли сотрудник имя реального сервера и случайно попал на ловушку или действовал преднамеренно и в сети действительно есть нарушители, пытающиеся найти серверы или службы, работающие с данными, представляющими ценность для компании.

Основными функциями Honeypot Manager являются:

  • имитация реальных систем хранения данных;
  • обнаружение и регистрация фактов НСД к данным, имитируемым системой;
  • оповещение заинтересованных лиц о попытках НСД к этим данным;
  • возможность восстановления модифицированной нарушителем системы к исходному состоянию;
  • генерация отчетов о работе системы за определенные периоды времени;
  • централизованное управление несколькими ловушками (сенсорами);
  • авторизация и контроль доступа к управлению системой;
  • механизм контроля работоспособности (диагностика);
  • гибкая настройка правил реагирования на попытки НСД;
  • генерация имитационных данных, которые выглядят как реальные;
  • периодическая смена IP-адресов ловушек (сенсоров).

Схема применения Honeypot Manager

Даже при наличии всех традиционных средств защиты существует возможность получения нежелательного доступа к внутренней сети предприятия злоумышенником, который ищет доступные ресурсы компании. Это может быть как внешний нарушитель, проникший в сеть, так и инсайдер, способный передать данные наружу.

 

Эта возможность реализуется благодаря недостаткам или особенностям проектирования тех или иных традиционных средств защиты. Например:

  • Межсетевой экран может надежно защищать от проникновения внутрь сети, но не препятствует передаче данных во внешнюю сеть. Кроме того, он не препятствует работе во внутренней сети всевозможных мобильных устройств, так как трафик этих устройств не проходит через шлюзы – наблюдается так называемое исчезновение периметра сети.
  • Антивирус является средством «реактивной защиты», зависящим от частоты обновлений баз сигнатур вредоносного ПО.
  • Персональные СЗИ от НСД не всегда блокируют съемные носители и сетевые USB-устройства.
  • Что касается СОВ, то зачастую среди всей регистрируемой ими информации бывает сложно выделить критичные события и они не всегда «понимают» атаки на прикладные программы. Кроме того, сложные IDS- и DLP- системы требуют наличия специально обученного персонала и больших материальных затрат на поддержание их работы и анализ их деятельности. Это особенно актуально для организаций малого и среднего бизнеса.

Honeypot Manager полезен как раз в тех случаях, когда традиционные средства защиты не срабатывают. Продукт размещает в локальной сети организации одну или несколько имитирующих реальные данные систем (ловушек-сенсоров). Любой пользователь, осуществивший доступ к имитирующей системе, является нарушителем, так как все легитимные пользователи работают только с настоящим хранилищем.

 

Потенциальным нарушителем может являться как внутренний пользователь корпоративной вычислительной сети – сотрудник компании, не имеющий специальных знаний по взлому информационных систем, так и внешний пользователь – хакер средней квалификации, получивший доступ к ИС.

 

Имитирующая система содержит специально подготовленные данные для обеспечения работы приложений, обращающихся к ней. Это могут быть реальные данные, перенесенные на ловушку и подвергнутые изменениям, после которых они перестают быть достоверными.

 

Система регистрирует информацию о состоянии сенсоров, сведения о фактах НСД и других событиях на имитирующих системах в журнале событий ОС (Event Log). Она также обеспечивает уведомление об этих событиях специалиста по защите информации (администратора безопасности вычислительной сети) по электронной почте.

С Honeypot Manager возможность получения нежелательного доступа к внутренней сети предприятия сохраняется, но, будучи легкодоступным, он «оттягивает» злоумышенника на себя, снижая вероятность попадания на реальный коммерческий сервер. Это происходит как в случае с внешним хакером, так и с инсайдером, и позволяет повысить шансы выявить нарушителя и оставить реальные серверы приложений в неприкосновенности.

 

Число инсталляций Honeypot Manager зависит от сложности (сегментации) сети – рекомендуется в каждом сегменте устанавливать свой сервер с сенсорами. Число сенсоров должно соответствовать числу прикладных серверов (один сенсор на каждый реальный сервер).

 

 

По вопросам приобретения, установки, настройки и технического сопровождения средств защиты можете отправить нам заявку по адресу info@cis21.ru или позвонить по телефону (8352) 41-59-92.

Copyright © 2014 г.
ООО «Центр Информационной Безопасности»