IT ExpertКак это сделатьСам себе админ

Ловим хакеров на горшочек с медом

Яков Гродзенский | 22.02.2019

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Ловим хакеров на горшочек с медом

 Несмотря на игривое название (с английского Honeypots —«горшочек с медом»), этот метод обеспечения безопасности вполне серьезен: его задача состоит в организации имитирующей корпоративные ресурсы приманки, единственная цель которой — подвергнуться хакерской атаке или несанкционированному исследованию. Если на него не оказывают внешнего воздействия, Honeypot тихо стоит в сторонке и ждет злодеев, а в процессе работы собирает информацию, анализ которой позволяет понять, что ваша организация стала объектом целевой атаки, а также определить стратегию злоумышленников и изучить использованные для взлома инструменты.

Попробуем понять, в каких случаях применение этого интересного подхода целесообразно.

Вовремя обнаружить атаку

Противостояние хакеров и создателей средств ИБ напоминает бесконечное соревнование снаряда и брони. Новые орудия взлома появляются постоянно, поэтому надежно защитить корпоративный периметр от целевых атак становится очень сложно. Хуже того, примеры успешных взломов показывают, что даже крупные корпорации с огромными ИТ-бюджетами узнают об утечке конфиденциальных данных, только когда их уже выложили в Сеть. Злодеи могут подбираться к ИТ-системам месяцами, оставаясь незамеченными и не используя легко обнаруживаемых методов вроде активного сетевого сканирования или перебора паролей. Совершенно очевидно, что современные (в том числе превентивные) методы защиты периметра зачастую бесполезны — они могут даже не заметить атаку, не говоря уже о том, чтобы ее остановить.

Если вернуться к артиллерийской теме, на ум приходит активная защита современной бронетехники — машины обвешивают специальными устройствами для подрыва снарядов на подлете. Грамотно настроенный Honeypot немного напоминает такую ловушку: действующие скрытно хакеры должны обратить на него внимание в первую очередь и с высокой вероятностью атаковать приманку вместо других корпоративных ресурсов. На этом этапе решается главная задача: своевременное распознавание пропущенной системами безопасности комплексной целевой атаки позволяет предотвратить (или хотя бы вовремя остановить) нападение на реальные объекты инфраструктуры. Дальше с помощью Honeypot можно выявить преступников, понять их мотивы, цели и методы.

img

Обмануть обманщика

Но, чтобы все это сработало, хакеры не должны раскрыть приманку! Используя скомпрометированные узлы сети для скрытого сбора данных пассивными сканерами трафика (сниферами) и другими подобными инструментами, взломщики должны быть уверены в подлинности полученной информации. А значит, тут необходимо создать виртуальные объекты инфраструктуры, выглядящие в киберпространстве как настоящие.

Инструменты используются самые разные, но основных подходов два. Honeypot – максимально приближенный к рабочему выделенный сервер либо некий запущенный в виртуальном окружении программно эмулируемый сервис. «Горшочек» невозможно отличить от реального устройства (веб-сервера, файлового сервера, сервера баз данных, пользовательского компьютера, банкомата и т. д.), а поскольку для легальных пользователей организации маскировочный слой незаметен, любая попытка взаимодействия с ним выдает атакующих.

Часто приманка имитирует наличие незакрытых уязвимостей, что делает ее более привлекательной. При этом Honeypot-решения подсовывают хакерам ложные данные вроде логинов, паролей или идентификаторов сессий, а сами протоколируют все действия злодеев и собирают информацию для анализа.

Преимущества и недостатки

На рынке доступно множество решений для организации Honeypot. Например, распространяемые с открытым исходным кодом Bubblegum Proxypot, Pentbox, Dionaea, Jackpot, BackOfficer Friendly, Bigeye, HoneyDrive, Deception Toolkit, LaBrea Tarpit, Honeyd и множество других. Скажем, Honeyd — низкоуровневое решение для эмуляции сотни различных операционных систем, а HoneyDrive — специальный дистрибутив Linux с кучей уже настроенных Honeypots. Есть и узкоспециализированный софт для эмуляции веб-серверов, серверов баз данных, почтовых серверов и других сервисов. Среди коммерческих решений можно отметить PatriotBox, KFSensor, NetBait, ManTrap, Specter и Honeypot Manager — выбор, повторяю, огромен.

Как правило, продукты класса Honeypot нетребовательны к системным ресурсам и довольно просты в установке, при этом позволяют собрать огромное количество содержательной информации о действиях злоумышленников. Но есть и недостатки, главный из которых – возможность раскрытия хакерами приманки и ограниченная область видения. Honeypot бесполезен, если его не атакуют, а потому не может заменить традиционные инструменты защиты и оперативно-разыскные мероприятия. Применяться он должен только в сочетании с такими, например, средствами, как системы обнаружения и предотвращения вторжений. Есть также риск взлома Honeypot после раскрытия и использования его в качестве плацдарма для реальной атаки на инфраструктуру, поэтому часто приманку раскладывают в специальной изолированной сети Honeynet.

Honeypot не станет серебряной пулей на хакера (это, увы, невозможно в принципе), но вполне способен органично дополнить другие решения для организации многоуровневой защиты, прикрыв их уязвимые места. Сегодня безопасность можно обеспечить только так: если один уровень будет пробит, другие остановят атаку. Здесь тоже наблюдается полная аналогия с «активной» танковой броней. Насколько она должна быть многослойной и дорогой, зависит в первую очередь от оборотов компании и рисков для бизнеса (их всегда нужно оценивать, принимая решение о внедрении тех или иных продуктов). Кому-то будет достаточно скачать и запустить бесплатный софт для организации приманки, а кому-то может потребоваться интеграция комплексных коммерческих продуктов в общую систему обеспечения информационной безопасности.

Традиционный совет в конце статьи: за комплексными внедрениями лучше идти к системным интеграторам – как минимум для консультаций. Неумелые попытки самостоятельно решить задачу с использованием бесплатных продуктов в итоге могут оказаться дороже коммерческих лицензий и услуг профессионалов.

Журнал IT-Expert № 02/2019    [ PDF ]    [ Подписка на журнал ]

Об авторах

Яков Гродзенский

Яков Гродзенский

Руководитель направления информационной безопасности компании «Системный софт»

Мероприятия

16.05.2019 — 25.06.2019
Growth Marketing Summit

онлайн

21.05.2019
Digital Construction Forum 2019

Центр цифрового лидерства SAP Космодамианская наб., 52к7,

24.05.2019
Google Cloud Day

Москва, ул.Балчуг. д. 7, БЦ Балчуг Плаза

27.05.2019
Conference for best brands

Москва, Центр "Открытый мир"

28.05.2019
Smart City 2019: госпроекты и их реализация

Москва, Веранда ЦМТ, Краснопресненская наб., 12