Ловим хакеров на горшочек с медом
Несмотря на игривое название (с английского Honeypots —«горшочек с медом»), этот метод обеспечения безопасности вполне серьезен: его задача состоит в организации имитирующей корпоративные ресурсы приманки, единственная цель которой — подвергнуться хакерской атаке или несанкционированному исследованию. Если на него не оказывают внешнего воздействия, Honeypot тихо стоит в сторонке и ждет злодеев, а в процессе работы собирает информацию, анализ которой позволяет понять, что ваша организация стала объектом целевой атаки, а также определить стратегию злоумышленников и изучить использованные для взлома инструменты.
Попробуем понять, в каких случаях применение этого интересного подхода целесообразно.
Вовремя обнаружить атаку
Противостояние хакеров и создателей средств ИБ напоминает бесконечное соревнование снаряда и брони. Новые орудия взлома появляются постоянно, поэтому надежно защитить корпоративный периметр от целевых атак становится очень сложно. Хуже того, примеры успешных взломов показывают, что даже крупные корпорации с огромными ИТ-бюджетами узнают об утечке конфиденциальных данных, только когда их уже выложили в Сеть. Злодеи могут подбираться к ИТ-системам месяцами, оставаясь незамеченными и не используя легко обнаруживаемых методов вроде активного сетевого сканирования или перебора паролей. Совершенно очевидно, что современные (в том числе превентивные) методы защиты периметра зачастую бесполезны — они могут даже не заметить атаку, не говоря уже о том, чтобы ее остановить.
Если вернуться к артиллерийской теме, на ум приходит активная защита современной бронетехники — машины обвешивают специальными устройствами для подрыва снарядов на подлете. Грамотно настроенный Honeypot немного напоминает такую ловушку: действующие скрытно хакеры должны обратить на него внимание в первую очередь и с высокой вероятностью атаковать приманку вместо других корпоративных ресурсов. На этом этапе решается главная задача: своевременное распознавание пропущенной системами безопасности комплексной целевой атаки позволяет предотвратить (или хотя бы вовремя остановить) нападение на реальные объекты инфраструктуры. Дальше с помощью Honeypot можно выявить преступников, понять их мотивы, цели и методы.
Обмануть обманщика
Но, чтобы все это сработало, хакеры не должны раскрыть приманку! Используя скомпрометированные узлы сети для скрытого сбора данных пассивными сканерами трафика (сниферами) и другими подобными инструментами, взломщики должны быть уверены в подлинности полученной информации. А значит, тут необходимо создать виртуальные объекты инфраструктуры, выглядящие в киберпространстве как настоящие.
Инструменты используются самые разные, но основных подходов два. Honeypot – максимально приближенный к рабочему выделенный сервер либо некий запущенный в виртуальном окружении программно эмулируемый сервис. «Горшочек» невозможно отличить от реального устройства (веб-сервера, файлового сервера, сервера баз данных, пользовательского компьютера, банкомата и т. д.), а поскольку для легальных пользователей организации маскировочный слой незаметен, любая попытка взаимодействия с ним выдает атакующих.
Часто приманка имитирует наличие незакрытых уязвимостей, что делает ее более привлекательной. При этом Honeypot-решения подсовывают хакерам ложные данные вроде логинов, паролей или идентификаторов сессий, а сами протоколируют все действия злодеев и собирают информацию для анализа.
Преимущества и недостатки
На рынке доступно множество решений для организации Honeypot. Например, распространяемые с открытым исходным кодом Bubblegum Proxypot, Pentbox, Dionaea, Jackpot, BackOfficer Friendly, Bigeye, HoneyDrive, Deception Toolkit, LaBrea Tarpit, Honeyd и множество других. Скажем, Honeyd — низкоуровневое решение для эмуляции сотни различных операционных систем, а HoneyDrive — специальный дистрибутив Linux с кучей уже настроенных Honeypots. Есть и узкоспециализированный софт для эмуляции веб-серверов, серверов баз данных, почтовых серверов и других сервисов. Среди коммерческих решений можно отметить PatriotBox, KFSensor, NetBait, ManTrap, Specter и Honeypot Manager — выбор, повторяю, огромен.
Как правило, продукты класса Honeypot нетребовательны к системным ресурсам и довольно просты в установке, при этом позволяют собрать огромное количество содержательной информации о действиях злоумышленников. Но есть и недостатки, главный из которых – возможность раскрытия хакерами приманки и ограниченная область видения. Honeypot бесполезен, если его не атакуют, а потому не может заменить традиционные инструменты защиты и оперативно-разыскные мероприятия. Применяться он должен только в сочетании с такими, например, средствами, как системы обнаружения и предотвращения вторжений. Есть также риск взлома Honeypot после раскрытия и использования его в качестве плацдарма для реальной атаки на инфраструктуру, поэтому часто приманку раскладывают в специальной изолированной сети Honeynet.
Honeypot не станет серебряной пулей на хакера (это, увы, невозможно в принципе), но вполне способен органично дополнить другие решения для организации многоуровневой защиты, прикрыв их уязвимые места. Сегодня безопасность можно обеспечить только так: если один уровень будет пробит, другие остановят атаку. Здесь тоже наблюдается полная аналогия с «активной» танковой броней. Насколько она должна быть многослойной и дорогой, зависит в первую очередь от оборотов компании и рисков для бизнеса (их всегда нужно оценивать, принимая решение о внедрении тех или иных продуктов). Кому-то будет достаточно скачать и запустить бесплатный софт для организации приманки, а кому-то может потребоваться интеграция комплексных коммерческих продуктов в общую систему обеспечения информационной безопасности.
Традиционный совет в конце статьи: за комплексными внедрениями лучше идти к системным интеграторам – как минимум для консультаций. Неумелые попытки самостоятельно решить задачу с использованием бесплатных продуктов в итоге могут оказаться дороже коммерческих лицензий и услуг профессионалов.
Опубликовано 22.02.2019