کارشناسان امنیتی: استفاده از هانیپات را جدی بگیرید | بهترین هانی پات

کدام‌یک از هانی‌پات‌ها عملکرد بهتری دارند؟

همه سازمان‌ها برای پیشگیری از دسترسی هکر‌ها به اطلاعات و منابع حساس سازمانی، از خط‌مشی‌ها و پروتکل‌های امنیتی مختلفی استفاده می‌کنند. یکی از رایج‌ترین و کارآمدترین راهکار‌ها برای مقابله با تهدیدات هکری، هانی‌پات‌ها هستند. هانی‌پات‌ها به واسطه دور کردن هکرها از منابع سازمانی و جمع‌آوری اطلاعات حساس درباره آن‌ها، مورد توجه قرار دارند. در این مقاله قصد داریم ضمن معرفی هانی‌پات‌ها، نحوه استقرار آن‌ها در فضای ابری را بررسی کنیم.

هانی‌پات چیست؟

هانی‌پات یک سیستم جعلی و مشابه یک سیستم واقعی است که عملکردی شبیه به یک تله‌ دیجیتالی دارد و از طریق شبیه‌سازی رخنه‌ها و آسیب‌پذیری‌ها، سعی می‌کند هکرها را فریب داده و آن‌ها را به‌سمت خود جذب کند. هنگامی ‌که هکرها به سراغ سیستمی می‌روند که هانی‌پات روی آن نصب شده است، تصور می‌کنند به هدف مدنظر دست پیدا کرده‌اند، در حالی که تمامی اقدامات آن‌ها برای هک سامانه توسط ابزارهای تحلیلی ضبط می‌شوند. در چنین شرایطی، کارشناسان امنیتی می‌توانند درباره روش و چگونگی دور زدن کنترل‌های امنیتی که هکر‌ها از آن‌ها استفاده کرده‌اند به اطلاعات ارزشمندی دست پیدا کنند. به بیان دیگر، هانی‌پات نوعی فناوری فریب است که به کارشناسان امنیتی در درک الگوهای رفتاری هکرها کمک زیادی می‌کند. به‌طور کلی، هانی‌پات‌ها برای بررسی نقض‌های امنیتی و جمع‌آوری اطلاعات در مورد نحوه فعالیت هکرها مورد استفاده قرار می‌گیرند. 

عملکرد هانی‌پات به چه صورتی است؟ ‌

همان‌گونه که اشاره شد، هانی‌پات کاملا شبیه به یک سیستم واقعی است که برنامه‌ها و اطلاعات به‌ظاهر معتبر و مهمی روی آن قرار دارد. به‌طور مثال، یک هانی‌پات می‌تواند سیستم صدور فاکتور و صورت‌حساب مشتری (جعلی) شرکت را داشته باشد تا هکرها را ترغیب کند برای پیدا کردن شماره کارت‌های اعتباری به سراغ آن بروند. هنگامی که هکرها فرآیند نفوذ به سیستم را آغاز می‌کنند، از همان ابتدا تمامی فعالیت‌های آن‌ها ردیابی می‌شود تا سرنخ‌هایی در مورد نقاط ضعف امنیت شبکه به‌دست آید. 

علاوه بر این، هانی‌پات‌ها مجهز به آسیب‌پذیری‌های شناخته‌شده‌ای هستند که برای هکرها جذاب است. به‌طور مثال، کارشناسان امنیتی در هنگام ساخت یک هانی‌پات ممکن است پورت‌هایی را روی سیستم باز بگذارند یا از گذرواژه‌های نه‌چندان قدرتمندی برای حساب‌های کاربری استفاده کنند تا هکرها را ترغیب کنند به سراغ این سامانه‌ها بروند. 

با این توصیف باید بگوییم که هانی‌پات یک ابزار اطلاعاتی است که می‌تواند به کارشناسان امنیتی کمک کند تهدید‌های پیرامون منابع سازمانی و سیستم‌های تجاری را شناسایی کنند یا تهدیدهای بالقوه و جدید را تشخیص دهند. اطلاعاتی که یک هانی‌پات در اختیار کارشناسان امنیتی قرار می‌دهد به آن‌ها در اولویت‌بندی خط‌مشی‌های امنیتی و تدوین استراتژی‌های دفاعی کمک فراوانی می‌کند. با نظارت بر ترافیک ورودی به سیستم هانی‌پات قادر به ارزیابی موارد زیر هستید: 

• موقعیت جغرافیایی مجرمان سایبری را شناسایی کنید. 
•  سطح و وسعت تهدید را ارزیابی کنید. 
•  درباره روش‌هایی که هکرها از آن‌ها استفاده می‌کنند، اطلاعات فنی به‌دست آورید. 
•  داده‌ها و برنامه‌های را کاربردی که هکرها به آن‌ها علاقه دارند شناسایی کنید. 
•  میزان اثرگذاری اقدامات امنیتی را که برای مقابله با حمله‌های سایبری از آن‌ها استفاده می‌کنید تحلیل کنید. 

هانی‌پات‌های رایج و عملکرد آن‌ها

هانی‌پات‌ها انواع مختلفی دارند و به همین دلیل سطح محافظتی مختلفی ارائه می‌دهند. به‌طور معمول، هر کسب‌وکاری سیستم‌های مختلفی دارد که از بسته‌های امنیتی متنوعی برای محافظت از آن‌ها استفاده می‌کند و هانی‌پات‌ها نیز بر مبنای عملکرد این ابزارهای امنیتی پیاده‌سازی می‌شوند. همین مسئله باعث شده تا کارشناسان امنیتی برای شناسایی تهدیدات مختلف از هانی‌پات‌های متنوعی استفاده کنند. به‌طور کلی، هانی‌پات‌ها به گروه‌های زیر تقسیم می‌شوند. 

هانی‌پات‌های تولیدی

این هانی‌پات‌ها، تله‌هایی هستند که نقاط آسیب‌پذیری به هکرها نشان می‌دهند تا جذب آن‌ها شوند و از سیستم‌های واقعی دور شوند. هانی‌پات‌های تولیدی با هدف منحرف کردن خطرات سایبری از سیستم‌های واقعی مورد استفاده قرار می‌گیرند و به‌طور همزمان فعالیت‌های مخرب را تجزیه‌و‌تحلیل می‌کنند.

هانی‌پات‌های تحقیقاتی

این نوع هانی‌پات‌ها برای جمع‌آوری اطلاعات درباره فناوری‌های جدید یا برنامه‌هایی که قرار است روی سیستم‌های نهایی نصب شوند، مورد استفاده قرار می‌گیرند. این هانی‌پات‌ها از داده‌ها برای ردیابی دقیق‌تر تجزیه‌و‌تحلیل‌های کارآمدتر حمله‌ها استفاده می‌کنند. 

تله‌های ایمیل (Email Traps) یا تله‌های هرزنامه

 این هانی‌پات یک آدرس ایمیل جعلی در مکانی دور از دید کاربران عادی قرار می‌دهد که تنها یک ربات جمع‌آوری آدرس ایمیل قادر به یافتن آن است. با توجه به این‌که آدرس فوق برای هیچ هدفی غیر از تله هرزنامه استفاده نمی‌شود، هر ایمیلی که برای آن ارسال می‌شود یک هرزنامه خواهد بود. کارشناسان امنیتی می‌توانند این هانی‌پات‌ها را به‌گونه‌ای تنظیم کنند که تمامی ایمیل‌هایی را که با محتوای مشابه به تله هرزنامه ارسال می‌شوند دریافت کرده و به‌طور خودکار مسدود کند، به طوری که آدرس آی‌پی منبع فرستنده‌ها به لیست سیاه وارد شود.

 پایگاه داده طعمه (decoy database)

در روش فوق یک پایگاه داده به‌عنوان طعمه در نظر گرفته می‌شود تا هکرها را ترغیب کند به سوء‌استفاده از معماری غیرامن بپردازند و از تکنیک‌هایی مثل تزریق کد اس‌کیو‌ال و موارد دیگر برای نفوذ به پایگاه داده استفاده کنند. در این حالت، کارشناسان شبکه به‌خوبی قادر به شناسایی آسیب‌پذیری‌هایی خواهند بود که نیازمند نظارت بیشتر هستند. 

هانی‌پات عنکبوتی (Spider Honeypot)

این مدل هانی‌پات‌ها با ساخت صفحات وب و لینک‌هایی که تنها خزنده‌های وب به آن‌ها دسترسی دارند، سعی می‌کنند، نرم‌افزارهای مخربی را که عملکردی شبیه به خزنده‌های وب دارند و با هدف جمع‌آوری اطلاعات فنی وب‌سایت‌ها مورد استفاده قرار می‌گیرند، به خود جذب کنند. شناسایی خزنده‌های وب به مسدود کردن ربات‌های مخرب و تبلیغاتی کمک زیادی می‌کند. 

کدام‌یک از انواع هانی‌پات عملکرد بهتری دارند، هانی‌پات کم‌تراکنش یا با تراکنش بالا ؟

یکی از تعاریف مهم هانی‌پات که باید در مورد آن اطلاعات کافی داشته باشید، هانی‌پات تعامل بالا (high-interaction) و هانی‌پات‌ تعامل پایین (Low-interaction honeypots) است. هانی‌پات‌های با تعامل کم به منابع کم‌تری نیاز دارند و اطلاعات ابتدایی درباره سطح، نوع تهدید و مکانی که تهدید از آن شروع می‌شود، جمع‌آوری می‌کنند. پیاده‌سازی این مدل هانی‌پات‌ها ساده و سریع است، به‌طوری که از طریق شبیه‌سازی پروتکل‌های اولیه TCP ، IP  و سرویس‌های پرکاربرد شبکه راه‌اندازی می‌شوند. با این‌حال، هانی‌پات با تعامل کم خیلی جذاب نیست که باعث شود هکرها برای مدت زمان طولانی وقت خود را صرف آن کنند. به همین دلیل اطلاعات فنی دقیقی درباره  عادات یا تکنیک‌های پیچیده‌ای که هکرها از آن‌ها استفاده می‌کنند، ارائه نمی‌دهد. 

در نقطه مقابل، هانی‌پات‌های با تعامل بالا برای ترغیب هکرها به صرف زمان بیشتری در هانی‌پات، پیاده‌سازی می‌شوند و در بیشتر موارد، اطلاعات زیادی درباره مقاصد و اهداف موردنظر هکرها و آسیب‌پذیری‌های مستتر در سامانه‌ها در اختیار کارشناسان شبکه قرار می‌دهند. همچنین، اطلاعات دقیقی در مورد روش‌هایی که هکرها برای نفوذ به سامانه‌ها از آن‌ها استفاده می‌کنند، ارائه می‌دهند. هانی‌پات‌های با تعامل بالا، پایگاه‌های داده، سیستم‌ها و سرویس‌هایی را که می‌توانند برای مدت زمان بیشتری هکرها را مشغول کنند تعریف می‌‌کنند تا کارشناسان امنیتی زمان کافی برای ارزیابی و تحلیل رفتار هکرها داشته باشند. به‌طور مثال، هکرها برای یافتن اطلاعات حساس به چه بخش‌هایی از شبکه و سرورها مراجعه می‌کنند، از چه ابزارهایی برای افزایش سطح دسترسی و اعتبار و از چه اکسپلویت‌هایی برای به خطر انداختن سیستم استفاده می‌کنند.

با این حال، هانی‌پات‌های با تعامل بالا، به منابع سخت‌افزاری سنگینی نیاز دارند و راه‌اندازی و نظارت بر آن‌ها دشوارتر و زمان‌برتر است. همچنین، این نوع هانی‌پات‌ها گاهی‌اوقات دردسرساز هستند. اگر هانی‌پات مورد استفاده به اندازه کافی ایمن نباشد، یک هکر ممکن است از ضعف هانی‌پات سوء‌استفاده کند و برای دسترسی به میزبان‌های اینترنتی یا ارسال هرزنامه استفاده کند. همچنین، این احتمال وجود دارد که طراحی ضعیف، هکرها را مشکوک کند که در حال کار با یک سیستم تحت کنترل هستند. 

در مجموع باید بگوییم که هر دو نوع هانی‌پات در امنیت سایبری جایگاه و کاربرد خاص خود را دارند. به همین دلیل باید از هر دو مدل استفاده کنید تا اطلاعات اولیه در مورد انواع تهدید‌ها به‌دست آورید. سازمان‌ها می‌توانند از طریق به‌کارگیری هانی‌پات‌های با تعامل بالا و پایین بودجه امنیت سایبری را صرف مکان‌های حساس و نقاطی کنند که ممکن است به‌لحاظ طبیعی آسیب‌پذیر باشند. 

به‌کارگیری هانی‌پات چه مزایایی دارد؟ 

هانی‌پات‌ها می‌توانند به‌عنوان ابزار برای شناسایی آسیب‌پذیری‌های مستتر در سیستم‌ها و شبکه مورد استفاده قرار گیرند. به‌طور مثال، هانی‌پات می‌تواند میزان مخاطره‌پذیری و تهدیدات مرتبط با تجهیزات اینترنت اشیاء را نشان دهد تا کارشناسان امنیتی راهکارهایی برای حل مشکلات اتخاذ کنند. به‌طور کلی، از مزایای هانی‌پات‌ها به موارد زیر باید اشاره کرد: 

• شناسایی سریع تهدید و حمله: به‌کارگیری هانی‌پات، نسبت به تلاش برای تشخیص نفوذ به سیستم ارجحیت دارد. به‌طور مثال، مطابق با تعاریف ارائه‌شده برای هانی‌پات‌ها، این مکانیزم‌های امنیتی نباید هیچ‌گونه ترافیک قانونی داشته باشند، در این حالت، هرگونه فعالیت ثبت‌شده در هانی‌پات تلاش مهاجم برای نفوذ به آن‌را نشان می‌دهد. راهکار فوق باعث می‌شود تا مواردی مثل شناسایی آدرس‌های آی‌پی مشابه یا آدرس‌های آی‌پی یک کشور که ترافیک مشکوکی از سمت آن‌ها به زیرساخت ارسال می‌شود به‌سادگی شناسایی شود. در این حالت، آدرس‌هایی که دریافت می‌کنید، آدرس‌های مخربی هستند که امکان شناسایی و مسدود کردن آن‌ها به‌سادگی وجود دارد. 
• عدم نیاز به سخت‌افزار خیلی قوی: با توجه به این‌که هانی‌پات‌ها ترافیک بسیار محدودی را مدیریت می‌کنند، به سخت‌افزار خیلی قوی که منابع سیستمی بالایی داشته باشد، نیازی ندارند. به‌طوری که امکان استفاده از کامپیوترهای قدیمی که دیگر از آن‌ها استفاده نمی‌شود، به‌عنوان سیستم هانی‌پات وجود دارد. در مورد بخش نرم‌افزاری نیز امکان استفاده از هانی‌پات‌های آماده که به‌شکل آنلاین در دسترس هستند، وجود دارد. 
• کم شدن تعداد تشخیص‌های اشتباه در ارتباط با حمله‌ها: بر مبنای داده‌های جمع‌آوری‌شده از طریق هانی‌پات‌ها و متصل کردن آن‌ها با دیگر گزارش‌های سیستمی و دیوارهای آتش، این امکان وجود دارد تا سیستم‌های تشخیص نفوذ را با هشدارهای مرتبط‌تری پیکربندی کرد تا هشدارهای مثبت کاذب کمتری تولید شود. در این حالت، هانی‌پات‌ها می‌توانند به بهبود دیگر مکانیزم‌های امنیتی کمک زیادی کنند. 
• ارائه اطلاعات مطمئن در ارتباط با حمله‌های سایبری: هانی‌پات‌ها این ظرفیت را دارند تا اطلاعات قابل اعتمادی درباره سیر تکامل تهدیدات سایبری پیرامون زیرساخت‌ها در اختیارتان قرار دهند. اطلاعات مذکور در مورد بردارهای حمله، سوء‌استفاده‌ها و بدافزارها، تله‌های ایمیل، هرزنامه‌ها و حمله‌های فیشینگ است. آمارها نشان می‌دهند که هکرها به‌شکل پیوسته، تکنیک‌های نفوذی را که از آن‌ها استفاده می‌کنند تغییر می‌دهند. در چنین شرایطی، هانی‌پات به‌عنوان یک ابزار شناسایی، قابلیت شناسایی تهدیدها و نفوذهای مختلف را خواهد داشت. برای این منظور باید هانی‌پات در نقطه درستی نصب شود تا بتواند نقاط کور مستتر در شبکه را حذف کند. 
• آموزش الگوی رفتاری هکرها: هانی‌پات‌ها یکی از ابزارهای آموزشی کارآمد برای آموزش کارکنان بخش امنیت هستند. هانی‌پات محیطی کنترل‌شده و ایمن برای نشان دادن نحوه الگوی رفتاری هکرها و بررسی انواع مختلف تهدیدها ارائه می‌کند. با استفاده از هانی‌پات، کارکنان امنیتی از این نکته مطلع خواهند بود که تمامی ترافیک مرتبط با هانی‌پات به فعالیت‌های هکری مربوط است و دیگر مجبور نیستند وقت خود را صرف ترافیک‌های قانونی کنند. در نتیجه، تمام تمرکز خود را روی تهدیدها قرار می‌دهند. 
• شناسایی تهدیدات داخلی: در شرایطی که بیشتر سازمان‌ها وقت خود را صرف دفاع از زیرساخت‌ها در برابر عوامل خارجی می‌کنند، اما از این نکته غافل هستند که هانی‌پات‌ها توانایی تشخیص تهدیدات داخلی را دارند. البته، نکته‌ای که باید به آن دقت کنید این است که هر هکری که قبلا موفق به عبور از فایروال شده باشد، اکنون به زیرساخت سازمانی نفوذ کرده و قادر به انجام اقدامات خرابکارانه است. در شرایطی که فایروال‌ها قادر نیستند در برابر تهدیدات داخلی به کارشناسان امنیتی کمک کنند و به‌طور مثال نمی‌توانند جلوی کارمندی را که قصد دارد قبل از ترک شغل خود فایل‌های مهم را بدزدد بگیرند، هانی‌پات اطلاعات خوبی در مورد تهدیدات داخلی ارائه می‌دهد. همچنین، اطلاعات دقیقی در مورد آسیب‌پذیری‌هایی که به کارمندان اجازه می‌دهد از سیستم سوء‌استفاده کنند نشان می‌دهد.
• کاهش سرعت حمله: هر چه هکرها وقت بیشتری صرف هانی‌پات کنند، زمان کم‌تری برای هک سیستم‌های واقعی و ساخت در پشتی روی آن‌ها در اختیار خواهند داشت. 

به‌کارگیری هانی‌پات  با مخاطرات امنیتی همراه است؟ 

در حالت کلی باید بگوییم که خطری از جانب هانی‌پات زیرساخت را تهدید نمی‌کند. هانی‌پات بدون آن‌که سیستم‌های واقعی را در معرض خطر قرار دهد، از آن‌ها محافظت می‌کند. با این حال، هانی‌پات نباید تنها مکانیزم امنیتی باشد که سازمان برای محافظت از اطلاعات مهم از آن استفاده می‌کند. هانی‌پات‌ها از آسیب‌پذیری‌های کاذب برای به تله انداختن هکر‌ها استفاده می‌کنند، به همین دلیل باید به نحوی به شبکه سازمانی متصل شوند. در این‌جا، ضرورتی ندارد که هانی‌پات به سیستم یا زیرساخت ابرمحور اصلی یک سازمان متصل شود؛ بلکه یک وب‌سایت که ارتباطی با دامنه اصلی ندارد و تنها برای جذب حمله‌های هکری پیاده‌سازی شده جواب‌گوی این نیاز است. 

نکته‌ای که باید به آن دقت کنید این است که هکرهای حرفه‌ای ممکن است نوع سیستم‌های امنیتی شما را تشخیص دهند و متوجه شوند در حال استفاده از هانی‌پات هستید، اما پس از فهمیدن این موضوع، برای جلوگیری از ردیابی خودشان توسط مکانیزم امنیتی، حمله را متوقف خواهند کرد. بدیهی است در این حالت، آسیبی به اطلاعات سازمانی وارد نمی‌شود. 

همچنین، به این نکته دقت کنید که هانی‌پات‌ها قادر نیستند تمامی اتفاقاتی را که در جریان است مشاهده کنند. آن‌ها فقط فعالیت‌هایی را که به سمت هانی‌پات هدایت می‌شوند مشاهده می‌کنند. از این‌رو، اگر تهدید خاصی مرتبط با هانی‌پات نباشد، به این معنا نیست که هیچ حمله‌ای وجود ندارد. یک هانی‌پات اگر به‌درستی پیکربندی شده باشد، این توانایی را دارد تا هکرها را فریب دهد تا تصور کنند به سیستم واقعی متصل شده‌اند. در ادامه، هانی‌پات باید تمامی پیام‌های هشدار ورود، فیلدهای داده، اطلاعاتی آماری و حتا آرم‌های مشابه سیستم‌های واقعی شما را داشته باشد. نکته ظریفی که باید در این زمینه به آن دقت کنید این است که اگر یک مهاجم موفق به شناسایی هانی‌پات شود، می‌تواند بدون هیچ‌گونه اقدام مشکوکی در هانی‌پات، به سراغ سیستم‌های اصلی سازمان برود. 

در برخی موارد، هکرها بعد از شناسایی هانی‌پات، سعی می‌کنند حمله‌های جعلی انجام دهند تا توجه تیم فنی امنیتی از حمله‌های واقعی دور شود یا می‌توانند اطلاعات نادرستی را به هانی‌پات وارد کنند تا کارشناسان امنیتی را گیج کنند. یک هکر حرفه‌ای می‌تواند از هانی‌پات به‌عنوان ابزاری برای ورود به سیستم استفاده کند. به همین دلیل است که هانی‌پات‌ها هرگز نباید جایگزین کنترل‌های امنیتی مانند دیوارهای آتش و دیگر سیستم‌های تشخیص نفوذ شوند یا به شبکه اصلی سازمان متصل شده باشند. از آن‌جایی که هانی‌پات می‌تواند به‌عنوان دروازه‌ای برای نفوذ بیشتر مورد سوء‌استفاده قرار بگیرد، کارشناسان امنیتی باید اطمینان حاصل کنند که سطح حفاظتی پیرامون هانی‌پات‌ها در وضعیت مطلوبی قرار دارد. 

میزبانی از هانی‌پات‌ها در زیرساخت‌های ابرمحور

کارشناسان شبکه و امنیت و تیم‌های فناوری اطلاعات مستقر در سازمان‌ها می‌توانند از هانی‌پات برای محافظت از سیستم‌های ذخیره‌سازی مستقر در فضای ابری استفاده کنند. همان‌گونه که اشاره شد، هانی‌پات‌ها با هدف جمع‌آوری اطلاعات مربوط به هک که برای پیشگیری از حمله‌ها و تقویت امنیت ضروری است، مورد استفاده قرار می‌گیرند. کارشناسان فناوری اطلاعات می‌توانند هانی‌پات‌ها را به‌شکل مستقیم روی زیرساخت‌های ابری قرار دهند، البته شرکت‌های امنیتی این کار را پیشنهاد نمی‌کنند، زیرا ممکن است سیستم‌ها را در معرض خطر جدی قرار دهد. راهکار جایگزین دیگر در این زمینه، استفاده از ابر عمومی برای میزبانی هانی‌پات است. ابر عمومی در تعامل با هانی‌پات برای شناسایی حمله‌های سایبری که از کشورهای مختلف جهان متوجه یک هدف خاص است، بهترین انتخاب است. به‌طور کلی، هانی‌پات‌های مبتنی بر ابر را باید به‌گونه‌ای تنظیم کرد که در معرض دید هکرهایی باشند که در کشورهای مختلف قرار دارند. این تکنیک، اطلاعات بسیار ارزشمندی در اختیارتان قرار می‌دهد تا بتوانید از جدیدترین تکنیک‌هایی که هکرها برای نفوذ به سامانه‌ها از آن‌ها استفاده می‌کنند، اطلاع پیدا کنید و امنیت سایبری سازمان را به سطح بالاتری برسانید.

فرض کنید، هکرها هزاران کیلومتر دورتر از شما قرار دارند، با استفاده از هانی‌پات، می‌توانید مشاهده کنید که هکرها برای نفوذ به شبکه سازمانی چه کارهایی انجام می‌دهند. در چنین شرایطی، می‌توانید در بهترین زمان، به مقابله با تهدیدها بپردازید. در مجموع باید بگوییم که هانی‌پات‌ها می‌توانند با ساخت تله‌های دیجیتالی برای هکرهایی که قصد دارند از ضعف سیستم‌ها برای نفوذ به آن‌ها استفاده کنند، از زیرساخت‌های ابری، شبکه‌ها یا سامانه‌های منفرد محافظت کنند. آمارها نشان می‌دهند فناوری‌های مورد استفاده هکرها به‌طور پیوسته در حال پیشرفت است. بنابراین، استفاده از هانی‌پات برای جمع‌آوری اطلاعاتی در مورد فعالیت‌های هکری، کمک فراوانی به تدوین دکترین دفاعی کارآمد می‌کند.