Ця стаття не містить посилань на джерела. (березень 2020) |
Honeypot («Пастка») (англ. горщик з медом) — ресурс, що є собою приманкою для зловмисників.
Мета Honeypot — зазнати атаки або несанкціонованого дослідження, що згодом дозволить вивчити стратегію зловмисника та визначити перелік засобів, за допомогою яких можуть бути завдані удари реально наявним об'єктам безпеки. Реалізація Honeypot може бути спеціальним виділеним сервером, або мережевим сервісом, завдання якого — привернути увагу зловмисника.
Honeypot є ресурсом, що без будь-якого впливу на нього є неактивним. Honeypot збирає невелику кількість інформації, після аналізу якої будується статистика методів, якими користуються зловмисники, а також визначається наявність якихось нових рішень, які згодом будуть застосовуватися в боротьбі з ними.
Наприклад, вебсервер, який не має імені та фактично нікому не відомий, не повинен, відповідно, мати і гостей, які відвідували б його, тому всі особи, які намагаються на нього проникнути, є потенційними зловмисниками. Honeypot збирає інформацію про характер поведінки цих зловмисників і про їхні способи впливу на сервер. Після цього фахівці зі сфери інформаційної безпеки розробляють стратегії відбиття атак зловмисників.
Історія появи
Honeypot з'явилися з першими комп'ютерними зловмисниками завдяки зусиллям фахівців з інформаційної безпеки. Створення та впровадження Honeypot'ів відбувалися паралельно з дослідженнями систем виявлення вторгнень (англ. Intrusion Detection System, IDS).
Першим документальним згадуванням була книга Кліффорда Столла[en] «The Cuckoo's Egg[en]», написана в 1990 р. Через десять років, у 2000 р. honeypot стали повсюдно поширеними системами-приманками.
Згодом IDS і honeypot стали єдиним комплексом із забезпечення інформаційної безпеки підприємства.
Альтернативні методи захисту
Крім honeypot застосовуються інші засоби захисту комп'ютерних мереж: honeynet, honeytoken, padded cell, система виявлення вторгнень. Найбільш близьким поняттю honeypot є система виявлення вторгнень, що протоколює всі несанкціоновані підключення до цільової системі.
Padded Cell — це різновид приманки типу «пісочниця». Цей різновид honeypot працює в парі з системою виявлення вторгнень, при виявленні загрози аналізується системою виявлення вторгнень і пернаправляє в штучне середовище Padded Cell. Потрапляючи в неї, зловмисник не може завдати якоїсь шкоди системі, він постійно розташований в ізольованому оточенні. Незалежно від того, яка система захисту встановлена, на ній як приманка має бути підроблена інформація, а не оригінал.
Види honeypot
Існують honeypot'и, створені на виділених серверах, та програмно-емульовані honeypot'и.
- Honeypot, встановлений на виділеному сервері, дозволяють максимально наблизити його до реального серверу, роль якого він виконує (сервер даних, сервер застосунків, проксі-сервер).
- емульований honeypot швидко відновлюється при зломі, а також чітко обмежується від основної ОС. Він може бути створений за допомогою віртуальної машини або Honeyd.
Різниця між ними в масштабах мережі. У малій офісній мережі, немає особливого сенсу ставити виділений сервер для протоколювання підозрілих подій в мережі — достатньо обмежитися віртуальною системою або навіть одним віртуальним сервісом. У великих організаціях використовуються виділені сервери з повністю відтвореними на них мережевими службами. Зазвичай в конфігурації таких служб спеціально допускають помилки, щоб у зловмисника вдався злом системи. В цьому полягає основна ідея honeypot — заманити зловмисника.
Також honeypot поділяються за функціональним призначенням:
Спам пастка або пастка для електронної пошти (Spam Traps & Email Traps)
Спам-пастки часто використовуються, щоб допомогти постачальникам послуг Інтернету (ISP) ідентифікувати та блокувати спамерів, а також зробити скриньки електронної пошти більш безпечними шляхом усунення вразливостей. Спам-пастки зазвичай встановлюються за допомогою підроблених електронних адрес, розміщених у прихованих місцях, щоб приманити спамерів. Оскільки адреса електронної пошти прихована, лише автоматичний збір адрес може знайти її, тому будь-які електронні листи, надіслані на підроблену електронну адресу, швидше за все, будуть спамом. Тоді будь-які повідомлення, що містять схожий вміст, ніж повідомлення, надіслані на підроблену адресу електронної пошти, можуть бути заблоковані, а вихідну IP-адресу відправника можна додати до чорного списку (blacklist), щоб запобігти будь-яким майбутнім електронним листам.
Malware Honeypot
Приманки зловмисного програмного забезпечення зазвичай розроблені для імітації програмного забезпечення та API, щоб викликати атаки зловмисного софту в контрольованому середовищі. Після розгортання та запуску malware характеристики шкідливого програмного забезпечення можуть бути проаналізовані командою з кібербезпеки для розробки антивірусного програмного забезпечення для захисту від зловмисного програмного забезпечення або для усунення вразливостей в API.
Spider or Crawler Honeypot
Пастки для мережевих веб-сканерів (також відомих як «павуки», web spiders, crawlers, data scrappers) працюють шляхом створення веб-сторінок або посилань, доступних лише для автоматизованих сканерів. Виявляючи павуків, організації можуть навчитися блокувати шкідливих ботів і сканерів рекламних мереж.
Мережа honeypots
Дві і більше honeypots формують мережу honey net. Як правило мережа honeypots використовується для моніторингу більшої та/або розподіленної мережі, у якій однієї honeypot пастки може бути недостатньо. Honey nets і honeypots зазвичай впроваджуються як частини великих мережевих систем виявлення вторгнень. На відміну від honeypots, honeynets часто здається більш схожим на реальну мережу та забезпечують ширше середовище для спостереження. Вони краще підходять для великих і складніших мереж, оскільки пропонують зловмисникам альтернативну корпоративну мережу.
Honey farm — це централізована колекція honeypots і інструментів аналізу. Вперше концепт мережі пасток honey net згадується у 1999 році, коли Ленс Шпіцнер (Lance Spitzner), засновник проекту Honeynet Project, опублікував статтю "To Build a Honeypot". «Побудувати медовий горщик»[1]
Розміщення honeypot
Різні варіанти розміщення honeypot допоможуть дати повні відомості про тактику нападника. Розміщення honeypot всередині локальної мережі дасть уявлення про атаки зсередини мережі, а розміщення на загальнодоступних серверах цієї мережі або в DMZ — про атаки на незахищені мережеві служби, такі як: поштові сервіси, SMB, ftp-сервери і т. д.
Honeypot в локальній мережі
Honeypot може бути встановлений всередині локальної мережі (після firewall) — тобто на комп'ютерах локальної мережі та серверах. Якщо не здійснюється віддалене адміністрування мережі, то слід перенаправляти весь вхідний ssh-трафік на honeypot. Приймаючи мережевий трафік, система-пастка повинна протоколювати всі події, причому на низькому рівні. Honeypot — це не проста програма, яка записує логи сервера. Якщо зловмисник зміг отримати доступ до сервера, стерти всі логи йому не важко. В ідеалі всі події в системі повинні записуватися на рівні ядра.
Honeypot в DMZ
У демілітаризованій зоні або DMZ розташовуються загальнодоступні сервери. Наприклад, це може бути вебсервер або поштовий сервер. Оскільки наявність таких серверів часто привертає увагу спамерів та зловмисників, необхідно забезпечити їхній інформаційний захист. Встановлення honeypot'а на сервері DMZ є одним з рішень цієї проблеми.
За відсутності виділеного вебсерверу, можна емулювати вебслужби за допомогою програмних honeypot’ів. Вони дозволяють в точності відтворити неіснуючий насправді вебсервер та заманити зловмисника. Емуляція поштових та інших мережевих служб обмежується лише вибором конкретного програмного рішення.
Мережа з двома, трьома та більше honeypot'ами з визначення називається honeynet. Вона може бути відокремлена від робочої мережі. Керуючий трафік, що потрапляє в honeynet, повинен фіксуватися пастками цієї мережі.
Реалізації honeypot
Всі відомі honeypot можна поділити на 2 класи — відкриті та комерційні
відкриті | комерційні |
---|---|
Bubblegum Proxypot | PatriotBox |
Jackpot | KFSensor |
BackOfficer Friendly | NetBait |
Bait-n-Switch [Архівовано 14 березня 2006 у Wayback Machine.] | ManTrap |
Bigeye | Specter |
HoneyWeb | Honeypot Manager |
Deception Toolkit [Архівовано 30 жовтня 2014 у Wayback Machine.] | |
LaBrea Tarpit [Архівовано 13 грудня 2014 у Wayback Machine.] | |
Honeyd | |
Sendmail SPAM Trap | |
Tiny Honeypot |
Нижче наводиться коротке пояснення деяких реалізацій:
Deception Toolkit — найперший open-source honeypot, датований 1997 роком
HoneyWeb — емулює різні типи вебсервісів
BackOfficer Friendly — honeypot для ОС Windows, може застосовуватися як HIPS
Honeyd — низькорівневий honeypot для Linux, здатний емулювати сотні ОС
Bubblegum Proxypot — open-source honeypot, застосовується для боротьби зі спамерами
Specter — комерційний низькорівневий honeypot для ОС Windows. Емулює 13 різних ОС.
Honeypot Manager — комерційний honeypot. Емулює сервер з встановленою СКБД Oracle.
Медове шифрування - система шифрування, яка в разі спроби розшифрування шифротексту з неправильним ключем дає правдоподібні, проте неправильні дані.
Ризики використання honeypot пасток
Попри очевидні переваги використання пасток (honeypots) існують певні ризики при використанні пасток
Приманки можуть бачити лише спрямовану на них діяльність
Тобто, те що загроза не спрямована на приманку, не означає, що такої загрози не існує. Honeypots працюють лише тоді, коли вони успішно залучають загрозу та обманом змушують її вважати, що це реальний сервер чи ресурс. В той же час, загрози та атаки стають все більш досвідченими та можуть визначити приманку, перш ніж продовжувати подальшу атаку. Тому для кібербезпеки важливо впровадити інші комплексні технології по виявленню атак окрім honeypots.
Ідентифікація пасти (honeypot) зловмисниками
Хоча правильно налаштований honeypot теоретично повинен змусити зловмисника повірити, що він отримав доступ до реальної системи, проте якщо зловмиснику вдасться ідентифікувати honeypot, він зможе використати цю інформацію в своїх інтересах.
Наприклад, ідентифікація аналізу роботи honeypot, зловмисник може створити спуфінг атаку, щоб відвернути увагу від справжнього експлойту, націленого на реальні робочі системи, або навіть передавати неправдиву інформацію honeypotу.
Honeypots може бути використана для отримання доступу до реальних систем
Спланована хакерська атака може використовувати пастк (honeypot) як шлях до реальної системи, використовуючи її як стартовий майданчик для подальшого вторгнення. Хоча honeypot або honeywall може забезпечувати деяку базову безпеку та зупиняти атаки, спрямовані на проникнення на реальні ресурси та системи, honeypots однак не повинні замінювати необхідні засоби кібербезпеки, включаючи брандмауери та інші системи виявлення вторгнень.
Honeypots не можуть замінити належну кібербезпеку
Honeypots можуть надати організаціям інформацію, яка допоможе визначити напрямок та види атаки, щоб покращити пріоритети зусиль із кібербезпеки, але вони не можуть замінити належні комплексні заходи кібербезпеки.
Посилання
- Види honeypot'ів(англ.)
- Проактивний захист від хакерів й інсайдерів(рос.) — стаття про принципи роботи та переваги Honeypot-систем, а також їхнє місце в загальній системі безпеки
- ↑ To Build a Honeypot. Архів оригіналу за 25 січня 2009. Процитовано 29 листопада 2023. [Архівовано 2009-01-25 у Wayback Machine.]