Для защиты больших корпоративных сетей, использование одного или двух ханипотов может оказаться недостаточным. Приманки становятся по-настоящему эффективными, когда их развернуто множество, так как это увеличивает вероятность того, что хакеры обнаружат их. Оптимально, когда данные с приманок собираются и анализируются в реальном времени. В качестве ответа на эту потребность были разработаны системы Deception — программные решения для массового развертывания и управления приманками. Хотя большинство из них являются коммерческими продуктами, существуют и рабочие альтернативы с открытым исходным кодом. Они могут быть менее функциональными и удобными, но все же способны выполнять свои задачи.
T-Pot: платформа на базе Debian 11 и Docker для развертывания и мониторинга ханипотов. Поддерживает более 20 различных типов приманок, включая dionaea, Conpot, DDoSPot, Dicompot, HellPot, Log4Pot. T-Pot также интегрируется с инструментами для визуализации и картографирования атак, и в сочетании с GreedyBear позволяет эффективно анализировать зафиксированные киберугрозы.
DejaVU: развертывания приманок в облачной среде AWS и внутренних сетях. Платформа предлагает 14 серверных приманок, варьирующихся от MySQL до TELNET, а также различные клиентские приманки, такие как SSDP, и возможность распространения “хлебных крошек” в виде файлов, HoneyHash и учетных записей Kerberoast.
Ehoney: система управления приманками, имитирующая SSH, Http, Redis, Telnet, Mysql, RDP, RTSP, ModBus, и стремящаяся стать полноценной системой Deception. Ehoney позволяет отслеживать действия злоумышленников в реальном времени, прогнозировать их и активно противодействовать, замедляя атаку путем создания новых ложных целей.
OWASP Honeypot: комплексная система управления приманками на основе Docker. Она предлагает автоматизированный процесс настройки и фиксирует веб- и сетевые атаки. Созданная известным сообществом специалистов по безопасности, эта система с октября 2021 года не получала значительных обновлений и находится на ранней стадии разработки.
DecoyMini: система управления приманками, поддерживающая быстрое развертывание групп приманок одним кликом, использует виртуальные IP-адреса и поддерживает основные операционные системы (Windows, CentOS/Ubuntu/Debian/Kali, Raspberry Pi), а также Docker.
HFish: кросс-платформенная система управления приманками с низким и средним уровнем взаимодействия. Она предлагает более 40 типов ханипотов, имитирующих базовые сетевые службы, CRM, NAS, веб-серверы, Wi-Fi точки доступа, коммутаторы и маршрутизаторы, почтовые сервера, IoT-устройства.
Honeytrap: агентно-серверная система для запуска, мониторинга и управления приманками. Она развертывает сети сенсоров из приманок с низким уровнем взаимодействия и при необходимости быстро обновляет их до ханипотов высокого уровня. Интегрируется с cowrie и glutton, взаимодействует с Elasticsearch, Splunk, Raven Server, Slack, Kafka.
Chameleon: 19 настраиваемых приманок для мониторинга сетевого трафика, действий ботов и учетных данных (DNS, HTTP Proxy, HTTP, HTTPS, SSH, POP3, IMAP, SMTP, RDP, VNC, SMB, SOCKS5, Redis, TELNET, Postgres, MySQL, MSSQL). Предлагает графический интерфейс на базе Grafana для мониторинга результатов их работы.
Community Honey Network: хорошо документированный управляющий сервер с готовыми скриптами для развертывания приманок на базе Docker и Docker Compose. Позволяет установить и отслеживать работу таких приманок, как Cowrie, Dionaea, ssh-auth-logger, Conpot, RDPhoney, UHP.
MHN: централизованный сервер для управления и сбора данных с приманок Snort, Cowrie, Dionaea и glastopf. Предоставляет удобный веб-интерфейс для вывода данных и REST API. Доступна версия для работы в Docker.
OpenCanary: демон, запускающий несколько версий ханипотов. Имитирует Linux Web Server, Windows Server, MySQL Server и MSSQL-сервера. Собирает оповещения в системном журнале и отправляет их на электронную почту.
opencanary_web: платформа для управления ханипотами, созданная на основе Tornado, Vue, Mysql, APScheduler и Nginx.
prickly-pete: скрипт, использующий Docker для быстрого запуска приманок: contpot, cowrie, HoneyPress, gate, udpot. В совокупности они позволяют имитировать 16 различных веб-сервисов.
Honeypots: набор из 30 приманок низко-высокого уровня для мониторинга сетевого трафика, активности ботов и учетных данных. Имитируют dhcp, dns, elastic, ftp, http proxy, https proxy, http, https, imap, ipp, irc, ldap, memcache, mssql, mysql, ntp, oracle, pjl, pop3, postgres, rdp, redis, sip, smb, smtp, snmp, socks5, ssh, telnet, vnc.
T-Pot: платформа на базе Debian 11 и Docker для развертывания и мониторинга ханипотов. Поддерживает более 20 различных типов приманок, включая dionaea, Conpot, DDoSPot, Dicompot, HellPot, Log4Pot. T-Pot также интегрируется с инструментами для визуализации и картографирования атак, и в сочетании с GreedyBear позволяет эффективно анализировать зафиксированные киберугрозы.
DejaVU: развертывания приманок в облачной среде AWS и внутренних сетях. Платформа предлагает 14 серверных приманок, варьирующихся от MySQL до TELNET, а также различные клиентские приманки, такие как SSDP, и возможность распространения “хлебных крошек” в виде файлов, HoneyHash и учетных записей Kerberoast.
Ehoney: система управления приманками, имитирующая SSH, Http, Redis, Telnet, Mysql, RDP, RTSP, ModBus, и стремящаяся стать полноценной системой Deception. Ehoney позволяет отслеживать действия злоумышленников в реальном времени, прогнозировать их и активно противодействовать, замедляя атаку путем создания новых ложных целей.
OWASP Honeypot: комплексная система управления приманками на основе Docker. Она предлагает автоматизированный процесс настройки и фиксирует веб- и сетевые атаки. Созданная известным сообществом специалистов по безопасности, эта система с октября 2021 года не получала значительных обновлений и находится на ранней стадии разработки.
DecoyMini: система управления приманками, поддерживающая быстрое развертывание групп приманок одним кликом, использует виртуальные IP-адреса и поддерживает основные операционные системы (Windows, CentOS/Ubuntu/Debian/Kali, Raspberry Pi), а также Docker.
HFish: кросс-платформенная система управления приманками с низким и средним уровнем взаимодействия. Она предлагает более 40 типов ханипотов, имитирующих базовые сетевые службы, CRM, NAS, веб-серверы, Wi-Fi точки доступа, коммутаторы и маршрутизаторы, почтовые сервера, IoT-устройства.
Honeytrap: агентно-серверная система для запуска, мониторинга и управления приманками. Она развертывает сети сенсоров из приманок с низким уровнем взаимодействия и при необходимости быстро обновляет их до ханипотов высокого уровня. Интегрируется с cowrie и glutton, взаимодействует с Elasticsearch, Splunk, Raven Server, Slack, Kafka.
Chameleon: 19 настраиваемых приманок для мониторинга сетевого трафика, действий ботов и учетных данных (DNS, HTTP Proxy, HTTP, HTTPS, SSH, POP3, IMAP, SMTP, RDP, VNC, SMB, SOCKS5, Redis, TELNET, Postgres, MySQL, MSSQL). Предлагает графический интерфейс на базе Grafana для мониторинга результатов их работы.
Community Honey Network: хорошо документированный управляющий сервер с готовыми скриптами для развертывания приманок на базе Docker и Docker Compose. Позволяет установить и отслеживать работу таких приманок, как Cowrie, Dionaea, ssh-auth-logger, Conpot, RDPhoney, UHP.
MHN: централизованный сервер для управления и сбора данных с приманок Snort, Cowrie, Dionaea и glastopf. Предоставляет удобный веб-интерфейс для вывода данных и REST API. Доступна версия для работы в Docker.
OpenCanary: демон, запускающий несколько версий ханипотов. Имитирует Linux Web Server, Windows Server, MySQL Server и MSSQL-сервера. Собирает оповещения в системном журнале и отправляет их на электронную почту.
opencanary_web: платформа для управления ханипотами, созданная на основе Tornado, Vue, Mysql, APScheduler и Nginx.
prickly-pete: скрипт, использующий Docker для быстрого запуска приманок: contpot, cowrie, HoneyPress, gate, udpot. В совокупности они позволяют имитировать 16 различных веб-сервисов.
Honeypots: набор из 30 приманок низко-высокого уровня для мониторинга сетевого трафика, активности ботов и учетных данных. Имитируют dhcp, dns, elastic, ftp, http proxy, https proxy, http, https, imap, ipp, irc, ldap, memcache, mssql, mysql, ntp, oracle, pjl, pop3, postgres, rdp, redis, sip, smb, smtp, snmp, socks5, ssh, telnet, vnc.