Simulace útoků a honeypoty
Simulované systémy a honeypoty – aktivní obrana proti kybernetickým útokům
(Threat Intelligence / Forenzní analýza)
Co je honeypot a proč ho nasazujeme?
V moderním pojetí kybernetické bezpečnosti se již neřeší pouze obrana – důležité je i sledování chování útočníků. Právě k tomu slouží tzv. honeypoty – simulované systémy navržené tak, aby přilákaly neautorizované přístupy a zaznamenaly je pro analýzu.
Honeypot (nebo Honeynet)
Honeypot je záměrně vystavený a zranitelný systém nebo služba, která má odlákat útočníky od produkční infrastruktury a zároveň sbírat důležité informace o jejich postupech (TTPs – tactics, techniques, procedures). Celé prostředí běží izolovaně (sandbox, virtuální síť) a všechny interakce jsou monitorovány.
Příklady honeypotů
|
Typ |
Popis |
|---|---|
|
Low-interaction |
Simuluje základní služby (např. otevřený port SSH), nižší riziko |
|
High-interaction |
Reálný OS a služby, ale izolovaný – detailní sledování chování útočníků |
Bezpečnostní opatření
- Síťová izolace – honeypoty jsou v oddělené síti, bez možnosti přístupu na produkční systémy
- Žádná reálná data – útočník nemá přístup ke skutečným informacím
- Monitoring a alerting – detekce a upozornění na každý pokus o útok
- Automatické odpojení – při podezření na pokus o pivoting
Co honeypot přináší:
- Reálné vzorce chování útočníků (TTPs);
- Detekce skenovacích aktivit a exploitů;
- Sběr neznámého malware pro další analýzu;
- Threat intelligence pro ladění detekce ve firemním SIEM;
- Důležité vstupy pro školení a forenzní tým.
