Honeypot to koncepcja związana z cyberbezpieczeństwem polegająca na tworzeniu odizolowanego środowiska, mającego „zwabić” hakerów i złośliwe boty, które będą próbowały uzyskać dostęp do systemów. Honeypot może przyjmować najróżniejsze formy:

• fizyczna, czyli przeznaczona do tego celu maszyna (rozwiązanie kosztowne),


• prosty sandbox powstały w wyniku wirtualizacji,


• oprogramowanie instalowane na komputerze.

Najważniejszą cechą honeypota jest w miarę możliwości dokładne odwzorowywanie prawdziwego systemu i symulowanie, że znajdują się w nim atrakcyjne dla potencjalnego atakującego zasoby – np. wrażliwe dane.

Jednym z najbardziej znanych honeypotów był stworzony w 2003 roku przez agencję kosmiczną NASA „The Mars Exploration Rover Honeypot”. Miał za zadanie wabić hakerów chcących przejąć kontrolę nad wykonującymi kosmiczne misje marsjańskimi łazikami. Agencja NASA włożyła dużo pracy w realistyczne odwzorowanie zarówno swojej sieci, jak i serwerów oraz systemów sterujących pojazdami. W ciągu pierwszych sześciu miesięcy funkcjonowania honeypot stał się celem ponad 250 tys. ataków pochodzących z całego świata, co pozwoliło pozyskać masę cennych informacji o możliwych do przeprowadzenia atakach. Był to jeden z pierwszych honeypotów wykorzystanych przez agencję rządową na świecie. Projekt „The Mars Exploration Rover Honeypot” udowodnił, jak duża siła tkwi w wykorzystaniu tego typu narzędzi.

Zadaniem honeypota nie jest ochrona właściwych systemów, a zbieranie informacji o celach, zamiarach i metodyce stosowanej przez oszustów. Każdy honeypot, niezależnie od jego formy, tworzony jest przy użyciu systemów monitorujących i analizujących ruch botów i oszustów. Dzięki świadomemu „zaproszeniu” do złamania zabezpieczeń, możemy dokładnie prześledzić ścieżki, którymi porusza się haker oraz poznać, jakie foldery, systemy i aplikacje interesują go najbardziej.

Honeypot to swobodna koncepcja realizowana na wiele różnych sposobów, zgodnie z wewnętrznymi politykami bezpieczeństwa i potrzebami przedsiębiorstwa.

Nierzadko autorzy honeypota nie mają zamiaru wpuszczania intruza do wnętrza sieci, a jedynie starają się go przyciągnąć i zachęcić do próby sforsowania zabezpieczeń w celu wykrycia niebezpiecznych adresów i prób logowania – mówimy wówczas o honeypocie niskiej interakcji.

Model systemu-pułapki, w formie spreparowanego bezpiecznego miejsca, którego zabezpieczenia mają zostać sforsowane, nazywamy honeypotem wysokiej interakcji.

Oprócz tego wyróżnić można jeszcze kilka typów honeypotów, które mają skonkretyzowane zadania:

• E-mail honeypot (znany również jako „spamtrap”) jest specjalnie przygotowaną skrzynką poczty elektronicznej, która celowo zbiera wiadomości SPAM zawierające złośliwe oprogramowanie, odnośniki do niebezpiecznych witryn i inne próby przeprowadzenia ataków. Dzięki takiemu rozwiązaniu narzędzia ochrony poczty oraz inne systemy zyskują kolejne źródło informacji o napływających zagrożeniach.


• Honeypot bazy danych monitoruje próby przeprowadzenia ataków typu SQL Injection i innych zagrożeń wymierzonych w bazę.


• Istnieją także tzw. klienckie honeypoty (naśladują zazwyczaj przeglądarki internetowe). Zamiast czekać na ewentualny atak aktywnie wysyłają zapytania do serwerów i sprawdzają, czy odpowiadają one jakimkolwiek zagrożeniem.

Oprócz oczywistych zalet, takich jak zbieranie informacji o atakach i wykorzystywanie ich w poprawie poziomu zabezpieczeń, honeypot ma też więcej pozytywnych stron.

• Środowisko-pułapka może służyć do testowania w praktyce używanych w firmie zabezpieczeń. O ile audyty i testy penetracyjne przynoszą zazwyczaj bardzo dużo informacji, to możliwość sprawdzenia, jak radzą sobie systemy w zetknięciu z prawdziwymi przestępcami/botami, pozwoli wprowadzić jeszcze więcej ulepszeń i zminimalizować liczbę podatności.


• Zwiększenie świadomości bezpieczeństwa, czyli security awareness w praktyce. Obserwowanie, jak wystawione na świat zewnętrzny specjalne środowisko jest intensywnie atakowane przez hakerów i boty, może skutecznie uświadomić skalę ryzyka – zarówno personelowi IT, jak i kadrze nietechnicznej.


• W przypadku, gdy oszuści zorientują się, że penetrowany przez nich system znajduje się w przygotowanym do tego środowisku, honeypot może poprawić bezpieczeństwo dając jasny sygnał, że firma jest doskonale przygotowana do odpierania ataków i posiada do tego wszelkie potrzebne środki.

Tak samo, jak różne są sposoby realizacji honeypota w firmie, różne mogą być także opcje jego umiejscowienia w sieci firmowej. Sposób implementacji jest uzależniony przede wszystkim od celu, jaki przyświeca powstaniu honeypota, rodzaju działalności i systemów, dla których chcielibyśmy rozpoznać rodzaje zagrożeń oraz metodykę oszustów.

Honeypot może zostać zlokalizowany na styku sieci wewnętrznej i Internetu, jeszcze przed firewallem. Tak umiejscowiony być może nie da zbyt wielu informacji o konkretnych zamiarach przestępców, jednak pozwoli poznać adresy IP potencjalnych zagrożeń i w ten sposób wzbogacić firewall o kolejne reguły.

Implementacja honeypota wewnątrz sieci daje najwięcej możliwych informacji o przeprowadzanych atakach – ich źródle, rodzaju i przebiegu. Wymaga jednak bardzo dobrego zarządzania ryzykiem i bezbłędnej izolacji środowiska-pułapki. W przeciwnym wypadku może dojść do eskalacji ataku na inne elementy sieci, które nie są sandboxem.

Honeypot może także naśladować serwery usług i aplikacji przeznaczone dla klientów. Im lepiej uda się odwzorowywać usługę czy aplikację w postaci wdrożonego honeypota, tym więcej rzetelnych danych będzie on zbierał.

Należy mieć pełną świadomość, że sam honeypot, choć może odciągać uwagę hakerów od właściwych zasobów zlokalizowanych w sieci firmowej, w żadnym wypadku nie zastępuje innych systemów bezpieczeństwa ani bezpośrednio nie przyczynia się do poprawy jego poziomu. Nie stanowi on środka aktywnej ochrony, ale jest przydatnym narzędziem analitycznym, które może zbierać cenne, z punktu widzenia cyberbezpieczeństwa, informacje na temat metodologii i technik ataków. Jako źródło informacji może być zintegrowany z systemami SIEM, które dzięki dodatkowym danym będą jeszcze wydajniej wykrywać możliwe zagrożenia.

Do prawidłowego zabezpieczenia sieci konieczne jest więc wykorzystywanie między innymi rozwiązań typu firewall (np. chmurowy firewall nowej generacji od Netii), ochrona poczty elektronicznej (będącej wektorem większości ataków na firmowe sieci) oraz stosowanie sprawdzonych narzędzi do przywracania stanu systemu sprzed ataku lub awarii (np. przy pomocy usługi Netia Data Protection). W przypadku najbardziej wymagających organizacji bezpieczeństwo cybernetyczne i monitoring warto zlecić najlepszym specjalistom swojej branży, czyli zespołowi SOC Netii, który zajmie się monitoringiem sieci i wyszukiwaniem zagrożeń oraz ich neutralizacją przez całą dobę.