Celem badania było zestawienie dostępnych rozwiązań, analiza ich zalet i wad oraz wskazanie, które narzędzia są najskuteczniejsze w walce z zagrożeniami sieciowymi. CERT analizował honeypoty pod kątem m.in. zakresu wykrywanych ataków, jakości dostarczanych danych, wydajności i niezawodności działania systemu oraz łatwości jego instalacji i obsługi. Najlepsze oceny uzyskały systemy Dionaea, Glastopf, Kippo i Honeyd.

Honeypot to odizolowany system działający w sieci, który składa się z komputera zawierającego aplikacje i dane oraz oprogramowania do rejestracji aktywności cyberprzestępców, którzy skanują sieć w poszukiwaniu celów do ataku. Z zewnątrz system taki wygląda jak firmowa sieć LAN zawierająca dane, które mogą być potencjalnie interesujące dla włamywaczy. Honeypoty są stosowane do monitorowania aktywności botnetów i robaków, zbierania informacji o zainfekowanych komputerach w sieci, wykrywania złośliwego oprogramowania oraz badania zachowań hakerów.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Jak podkreślają specjaliści z CERT Polska, tego typu pułapki ułatwiają analizę zachowań złośliwego oprogramowania, w szczególności nowych jego wersji i umożliwiają wczesne ostrzeganie o infekcjach. Jest to też dobra platforma do pozyskiwania informacji o zmianach w taktyce cyberprzestępców.

Raport "Proactive Detection of Security Incidents: Honeypots" został opublikowany i udostępniony przez ENISA, Europejską Agencję ds. Bezpieczeństwa Informacji.