Jaké typy Honeypotů existují
Honeypoty se člení do skupin, převážně dle míry interakce nebo směru interakce.
Podle míry interakce
Honeypoty s nízkou mírou interakce
Honeypoty s nízkou
mírou interakce simulují pouze pár funkcí transportní vrstvy operačního systému.
To ale neznamená, že v něm musí být nainstalován. Díky rychlému nasazení a
velkému množství sítí se stal poměrně oblíbený. V těchto systémech je jednoduché
identifikovat zmapované hrozby, bohužel detekce nových druhů útoků je ve většině
případů nemožná.
Honeypoty s vysokou mírou interakce
Honepoty s vysokou mírou interakce
zobrazují kompletní reálný systém, se všemi službami a funkcemi. Bohužel, tento
způsob implementace umožňuje napadení celého systému, včetně honeypotu. Z toho
plyne, že údržba tohoto systému je mnohem složitější, než u honeypotů s nízkou
mírou interakce, nicméně umožňuje detekovat i nové druhy útoků.
Podle směru interakce
Serverové honeypoty
Serverové honeypoty jsou
nejrozšířenější honeypoty vůbec, ale plní spíše pasivní funkci. Vyčkávají, než
je útočník sám napadne. Výhodou je zpracování velkého množství požadavků.
Převážně detekce červů a exploitů síťových služeb.
Klientské honeypoty
Jelikož nejčastějším cílem útoků malwaru jsou klientské
stanice, kde se shromažďuje velké množství cenných dat, vznikly klientské
honeypoty. Tyto honeypoty simulují obyčejného uživatele systému formou
procházení internetových stránek. Po navštívení zadané URL se detekuje změna
integrity. Díky tomu je možno získat informace o malwaru, který není možný
zachytit jiným způsobem. Základní struktura honeypotu v několika fázích:
Kolekce
Testování
Analyzování
Monitoring
Statistiky
Reporting
Mezi hrozby patří nejčastěji phishing, nebo chyby v prohlížečích. Automatická
analýza malwaru je prováděna buď vlastními jednoduchými metodami honeypotu, nebo
k tomu využívá analytické nástroje třetích stran. To mohou být antiviry nebo
sandboxy určené pro tuto analýzu. Sandboxy významně pomáhají redukovat falešné
detekce a zrychlují detekci malwaru.