Четыре этапа
Honeynet Project разделяет свою деятельность на четыре этапа. Участники берут на себя все финансирование деятельности Honeynet Project; каждый на безвозмездной основе предоставляет аппаратное обеспечение, а также тратит свое время и силы, не получая никакого вознаграждения. Вместе с тем, в момент подготовки данной статьи представители Honeynet Project изыскивали возможность получения государственного финансирования.
Этап I. Первый этап начался в 1999 году и продолжался два года. Его целью было подтверждение основополагающей идеи: создание, развертывание и тестирование технологии сетей-приманок и их возможности собирать информацию о деятельности хакеров. За первыми сетями-приманками закрепилось название GenI. Их структура была весьма далека от совершенства, они опирались лишь на базовые механизмы и не имели методов для сбора сведений о зашифрованных действиях злоумышленников. Однако они эффективно выявляли большинство автоматизированных атак. Кроме того, уже на этом этапе были успешно протестированы средства раннего предупреждения и прогнозирования атак.
Этап II. Второй этап начался в 2002 году и должен продлиться примерно два года. Его основная цель — усовершенствовать возможности сетей-приманок и упростить работу с ними. Предполагается развернуть сети GenII, которые будут отличаться более совершенными методами мониторинга и контроля действий хакеров. Адаптация методов контроля позволяет хакерам совершать значительно больше операций, при этом снижая риск того, что они обнаружат, что «попали в ловушку» и нанесут ущерб другим сетям. Опубликовано три документа, посвященные виртуальным сетям-приманкам. В 2002 году в Вашингтоне была развернута первая беспроводная сеть-приманка. Значительно улучшены возможности сбора информации (особенно касающейся зашифрованных передач), развертывание сетей-приманок стало существенно проще.
Этап III. Третий этап начинается в 2003 году и рассчитан примерно на год. За этот период планируется создать средства, позволяющие размещать технологии развертывания сетей-приманок GenII на загружаемом компакт-диске. Предполагается, что организации будут просто загружать диск, действующий как шлюз сети-приманки, развертывая тем самым все, что необходимо для работы сетей-приманок, в том числе средства регистрации в глобальной базе данных полной информации о деятельности хакеров.
Этап IV. Четвертый этап, скорее всего, начнется в 2004 году. Его цель — разработать централизованную систему сбора данных, которая согласовывает сведения, получаемые из множества распределенных сетей-приманок, и предоставляет интерфейсы для их анализа. Работа в рамках данной концепции, связанная с созданием двух пользовательских интерфейсов, уже началась. Первый из этих интерфейсов будет действовать локально в каждой сети-приманке, позволяя администраторам анализировать в реальном времени атаки на их сеть и выполнять мониторинг функциональности, в частности, анализировать трафик и извлекать передаваемые по сети пакеты. Второй пользовательский интерфейс будет служить для анализа данных, полученных из множества различных сетей-приманок, и хранить эти сведения в единой базе данных. Распределенные сети-приманки будут передавать в центральную систему такие данные, как журналы регистрации межсетевых экранов, описание передаваемых пакетов и уведомления систем обнаружения вторжений. Эта информация затем будет согласовываться и анализироваться в реальном времени. Здесь открываются огромные потенциальные возможности для анализа тенденций или раннего предупреждения и прогнозирования атак.
