Есть ли смысл ставить Honeypot в корпоративной сети?

Добрый день!
Интересует мнение опытных админов, особенно безопасников. Есть ли смысл настраивать honeypot в локальной корпоративной сети ? Сам я думаю что смысл есть, но сомневаюсь, охота услышать еще мнения.
Что я понимаю под Honeypot это железная Wondows 7 / xp / server 2008/2003, без необходимых патчей, при необходимости можно поднять какие либо сервисы (FTP, SMB, HTTP и тп.). На данной машине мы запускаем мониторинг всего и вся (смотрим сеть - кто откуда подключается, смотрим процессы, подключенных пользователей, логи системы, доступ к файлам и тп.) Параллельно мы настраиваем зеркало порта на котором сидит данная машина и весь трафик направляем либо в IDS либо просто его собираем каким нибудь ПО. Далее если срабатывает один из триггеров мы вырубаем нашу подставную машину и анализируем собранную информацию - находим злоумышленника или хотя бы узнаем что такие есть и думаем что делать дальше.

Вот какие плюсы вижу я:
1) Если злоумышленник каким нибудь образом проник в сеть благодаря Honeypot у нас появляется шанс обнаружить его (за счет того что мы увидим любое обращение к нашей приманку)
2) Установив такую приманку мы не уменьшаем безопасность нашей сети. Я исхожу из того что злоумышленник уже в нашей сети (как то проник в нее) мы просто о нем не знаем. Данная приманка не доступна из интернета, только в локальной сети, поэтому к ней попасть можно только изнутри с какого либо устройства в локальной сети.
3) Данное решение как бы дополняет существующие способы защиты (Firewall, ids, антивирус и тп.)

Если кто знает что нибудь подобное из коммерческих либо бесплантых систем или кто то делал подобное.

0

Сообщение от SergioMaroni Honeypot это железная

А зачем? Лишнее железо и время на настройку есть?

0

Сообщение от SergioMaroni Вот какие плюсы вижу я: 1) Если злоумышленник каким нибудь образом проник в сеть благодаря Honeypot у нас появляется шанс обнаружить его (за счет того что мы увидим любое обращение к нашей приманку) 2) Установив такую приманку мы не уменьшаем безопасность нашей сети. Я исхожу из того что злоумышленник уже в нашей сети (как то проник в нее) мы просто о нем не знаем. Данная приманка не доступна из интернета, только в локальной сети, поэтому к ней попасть можно только изнутри с какого либо устройства в локальной сети. 3) Данное решение как бы дополняет существующие способы защиты (Firewall, ids, антивирус и тп.)

Это видите Вы, в априори все по-другому.
Нет такого понятия, как "приманка для хакера".
Если деятельность Вашей организации не дает спать влиятельному дяде, то вломятся так, что никакой "Honeypot" не спасет и даже не прочухает, или Вы думаете истинные хакеры как бы не в курсе про сие технологию?
Если Вы никому не интересны, то чем только не трясите, но хакеров не привлечете и калачом.
Есть масса способов именно защитить сеть: поднять файрволл/прокси, реализовать SRP, тонко настроить брандмауэр на каждом ПК, обзавестить антивирусной защитой - это намного эффективнее, нежели пытаться поймать псевдохакера на живца.

0