Admin
Администратор
Хакер думал, что украл пароль, а на самом деле – позвонил в полицию. На GitHub учат, как развести взломщика на эмоции (и логи).
Обновился каталог Awesome Deception с инструментами для киберобмана.
Злоумышленники давно привыкли к классической защите, поэтому всё больше команд безопасности пытаются сыграть на поле обмана. Вместо того чтобы только закрывать дыры, они ставят приманки, которые выглядят как настоящие секреты, доступы и сервисы. Тот, кто на них клюнет, почти наверняка пришёл не по работе, а по чужие данные.
На GitHub появился и регулярно обновляется каталог Awesome Deception. Это большая подборка статей, исследований, докладов, гайдов и инструментов про киберобман, ханипоты и «сигнальные» приманки вроде honeytokens и canary tokens. Авторы прямо отмечают, что исходный список в какой-то момент пришлось фактически спасать, старые версии разрастались, а ссылки со временем ломались, поэтому новая ветка сделана с упором на актуальность материалов.
Если переводить идею на простой язык, киберобман – это когда вы заранее размещаете в инфраструктуре вещи, которые не должны использоваться легитимно. Это может быть фальшивый ключ, учётная запись-приманка, файл, который может привлечь злоумышленника, тестовый сервис или целый поддельный сегмент сети. Как только атакующий взаимодействует с приманкой, защитники получают точный сигнал, что в системе кто-то чужой. Такой подход поддерживают и крупные методологии, например MITRE Engage, где обман рассматривается как часть планируемых операций по взаимодействию с противником, и MITRE D3FEND, где есть отдельная тактика Deceive и набор техник для «декораций» и ловушек.
Судя по свежим пополнениям в подборке, обман быстро смещается в облака и DevOps. Wiz, например, открыла исходники HoneyBee, инструмента, который с помощью LLM генерирует намеренно неправильно настроенные окружения и конфигурации, чтобы разворачивать реалистичные приманки и быстрее изучать атаки на популярные технологии. Это уже не «одна приманка в углу сети», а автоматизация развёртывания уязвимых стеков, похожих на то, что реально встречается у компаний.
Параллельно растёт интерес к теме «ИИ против ИИ». В научной работе LLM Agent Honeypot исследователи описывают ханипот, который пытается отличать обычных атакующих от автономных LLM-агентов и оценивать, насколько такие агенты уже встречаются «в дикой природе». Это направление пока больше похоже на разведку будущих рисков, но сам факт появления подобных экспериментов показывает, куда смотрит отрасль.
Интересно, что далеко не все новые «модные» цели уже привлекают реальных атакующих. GreyNoise в конце 2025 года писала, что в их эксперименте с MCP-ханипотами специфических попыток эксплуатации почти не заметили, хотя любые сервисы в интернете, по их наблюдениям, находят быстро, а потом начинается привычный фон сканирований. Иными словами, тренд на ИИ-middleware заметен, но массовой охоты именно за ним на тот момент не было.
Практики тоже делятся опытом, и иногда это выглядит куда приземлённее, чем «полноценные ханипоты». Grafana Labs, например, подробно рассказывала, как canary tokens помогают ловить вторжения ранним сигналом и почему важнее не форма приманки, а грамотное размещение и масштабирование. А Thinkst развивает идею «заметного обмана» и выпускает необычные варианты, вроде «кредитных карт» Canarytokens, которые должны пугать мошенников самим фактом, что любой украденный номер может оказаться ловушкой.
При этом крупные регуляторы и госструктуры тоже проверяют подход на практике. Национальный центр кибербезопасности Великобритании в декабре 2025 года опубликовал промежуточные выводы по испытаниям решений киберобмана и подчеркнул, что такие инструменты могут давать ценную видимость и выявлять скрытые компрометации, но требуют аккуратного внедрения и правильной «обвязки» процессами.
Последнее редактирование:
