ネットワークセキュリティ
ハニーポット
別称: 囮システム, デコイホスト
定義
攻撃者を誘い込み、その手口を観察して本番資産から引き離すために、意図的に公開された囮システムやサービス。
ハニーポットは本物のサーバー・アプリケーション・データを模した欺瞞用資産であり、そこへのあらゆる接触は定義上不審なものとして扱われます。低対話型ハニーポットは限定的なサービスをエミュレートしてスキャンや一般的なマルウェアを検出し、高対話型ハニーポットは完全な OS を稼働させて高度な攻撃手口を捕捉します。防御側は収集したテレメトリから侵害指標を抽出し、TTP を分析して検知エンジニアリングに活用します。ハニーポットは本番ネットワークから隔離し、踏み台として悪用されないようにする必要があり、観測結果は通常 SIEM や脅威インテリジェンス基盤へ転送されます。
例
- インターネット上に脆弱に見せかけて公開された SSH サーバーが、試行された全ての認証情報を記録する。
- DMZ 内の偽データベースが、いかなるクエリでもアラートを発する。
関連用語
ハニーネット
相互接続された複数のハニーポットから成る制御環境であり、現実的なマルチホスト構成の中で攻撃者の挙動を研究するためのもの。
Honeytoken
Honeytoken — definition coming soon.
Canary Token
Canary Token — definition coming soon.
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
Demilitarized Zone (DMZ)
Demilitarized Zone (DMZ) — definition coming soon.