Bosh sahifa Wiki Honeypot

Honeypot

Honeypot — attacker, malware yoki ruxsatsiz userni jalb qilish va uning faoliyatini kuzatish uchun ataylab real resource’ga o‘xshatib yaratilgan nazoratli tizim. Honeypot production ma’lumotini saqlamasligi kerak; uning asosiy qiymati deception va security telemetry yig‘ishdir.

Honeypotga kelgan ko‘p interaction odatiy user trafficidan ko‘ra shubhali bo‘ladi, chunki uning mavjudligi keng auditoriyaga kerak emas.

Maqsad

Honeypot quyidagi vazifalarda ishlatiladi:

  • scan va exploit urinishlarini aniqlash;
  • attacker usullarini o‘rganish;
  • malware sample yig‘ish;
  • credential attackni kuzatish;
  • lateral movementni aniqlash;
  • threat intelligence yaratish;
  • defender alertini boyitish.

U asosiy himoya vositasi emas, qo‘shimcha detection qatlamidir.

Low-interaction

Low-interaction honeypot ma’lum protocol yoki service’ning cheklangan emulyatsiyasini beradi.

Masalan:

Afzalligi:

  • xavfi past;
  • deploy oson;
  • resource kam.

Kamchiligi — attacker chuqur interaction qila olmaydi va emulyatsiyani aniqlashi mumkin.

High-interaction

High-interaction honeypot real operatsion tizim yoki applicationga yaqin muhit beradi.

Attacker:

  • command;
  • file;
  • persistence;
  • privilege;
  • lateral movement

harakatlarini bajarishi mumkin.

Bu boy telemetry beradi, ammo compromise qilingan honeypot boshqa tizimlarga hujum qilish uchun ishlatilmasligi kerak.

Research honeypot

Threat researcher malware va attacker behaviorini chuqur o‘rganish uchun ishlatadi.

U:

yig‘ishi mumkin.

Legal va ethical nazorat talab qilinadi.

Production honeypot

Tashkilot ichki networkda lateral movementni erta aniqlash uchun soxta server yoki credential joylashtirishi mumkin.

Masalan, hech bir qonuniy application murojaat qilmaydigan database host.

Unga access urinish kuchli alert bo‘ladi.

Honey credential

Soxta, ammo realga o‘xshash credential ataylab nazoratli joyda saqlanadi.

Attacker uni o‘g‘irlab ishlatsa detection hosil bo‘ladi.

Credential haqiqiy production access bermaydi.

Token unique va qayerdan leak bo‘lganini ko‘rsatishi mumkin.

Honey file

Sensitive nomli soxta fayl:

passwords.xlsx
production_backup.zip
finance_report.pdf

ochilganda yoki tashqariga yuborilganda alert berishi mumkin.

Fayl ichida real secret yoki shaxsiy data bo‘lmaydi.

Placement

Honeypot qayerga joylashtirilishi maqsadga bog‘liq:

Ichki honeypot oddiy scanner va management tool tomonidan tasodifan ishlatilmasligi uchun allowlist kerak.

Realistik ko‘rinish

Attacker honeypotni juda bo‘sh yoki sun’iy muhitdan aniqlashi mumkin.

Realistik elementlar:

Ammo production secret va haqiqiy customer data nusxalanmaydi.

Egress restriction

High-interaction honeypot compromise qilinishi kutiladi.

Shu sababli outbound network qat’iy cheklanadi.

U:

uchun platformaga aylanmasligi kerak.

Isolation

Honeypot alohida network segment va accountda ishlaydi.

Management kanali attacker ko‘rmaydigan yo‘ldan bo‘ladi.

Monitoring agent va capture storage honeypot compromise’dan himoyalanadi.

Logging

Yig‘iladigan telemetry:

Log remote immutable storage’ga yuboriladi.

Attacker local logni o‘chirsa ham nusxa saqlanadi.

False positive

Vulnerability scanner, administrator, monitoring yoki inventory tool honeypotga qonuniy murojaat qilishi mumkin.

Known scannerlar allowlist yoki alohida label bilan ajratiladi.

Har honeypot alertini avtomatik incident deb qabul qilish shovqin yaratadi.

Fingerprinting

Attacker emulyatsiya xatosi, latency, banner yoki filesystem orqali honeypotni aniqlashi mumkin.

Honeypot detectiondan butunlay yashirin bo‘lishi shart emas; hatto attacker uni ko‘rsa ham diversion vazifasini bajarishi mumkin.

Biroq telemetry sifati realistik muhitda yuqoriroq.

Huquqiy masala

Honeypot ruxsatsiz activity’ni kuzatadi.

Tashkilot:

bo‘yicha huquqiy siyosatni hisobga oladi.

Attackerga qarshi javob hujumi bajarilmaydi.

Incident bilan integratsiya

Honeypot alerti SIEM yoki SOARga yuboriladi.

Playbook:

  • source’ni tekshirish;
  • boshqa hostlarda activity qidirish;
  • credentialni revoke qilish;
  • endpoint isolation;
  • threat intel enrichment

bajarishi mumkin.

Interaction policy

Honeypot attackerga qancha faoliyatga ruxsat berishini oldindan belgilaydi. Faqat login va commandni kuzatish mumkin, ammo real data exfiltration yoki tashqi hujumga yo‘l qo‘yilmaydi. Avtomatik containment chegarasi texnik va huquqiy talabga mos bo‘ladi.

Threat intelligence sifati

Internet honeypotga kelgan har IP “malicious forever” deb belgilanmaydi. Source compromised device, shared scanner yoki security researcher bo‘lishi mumkin. Indicator confidence, first seen, last seen va behavior bilan saqlanadi.

Canary token bilan farqi

Canary token ma’lum file, URL yoki credential ishlatilganda signal beradigan yengil deception vositasi. Honeypot esa ko‘proq interactive service yoki host. Ikkalasi birgalikda turli attack bosqichlarini ko‘rsatishi mumkin.

Maintenance

Honeypot software’i ham patch va monitoring talab qiladi. Ataylab zaif qoldirilgan component faqat izolyatsiya ichida bo‘ladi. Management interface va sensorlar esa yangilanib, real attacker tomonidan o‘chirib qo‘yilmasligi kerak.

Alert prioriteti

Ichki honey credential ishlatilishi internet honeypotdagi oddiy scan’dan yuqoriroq prioritet olishi mumkin. Signalning joylashuvi va attacker uchun unga yetishish qanchalik qiyinligi confidence’ga ta’sir qiladi. Har deception asset uchun expected legitimate interaction nol yoki aniq ro‘yxat bilan belgilanadi.

Bog‘liq tushunchalar

Deception technology, Honeynet, Honey credential, Honey token, Threat intelligence, Intrusion detection, Malware analysis, Lateral movement, SIEM, Network isolation