Как будто мёдом намазано: что такое Honeypot и как поймать хакера «на живца»

Как будто мёдом намазано: что такое Honeypot и как поймать хакера «на живца»

Приманка позволяет проверить работоспособность систем защиты и изучить метод атаки киберпреступника.

image

Honeypot — это сервер или система, представляющие собой приманку для хакеров и предназначенные для того, чтобы стать привлекательной мишенью киберпреступников.

Приманки развертываются рядом с фактически используемыми системами, чтобы позволить ИБ-специалистам отследить реакцию систем безопасности и отвести атаку злоумышленника от наиболее важных систем. Пока киберпреступник атакует систему-приманку, ИБ-специалист может собрать важную информацию о типе атаки и о методах, которые использует злоумышленник. Затем это можно использовать для усиления общей защиты сети.

Как работает Honeypot

Во многих отношениях приманка выглядит точно так же, как настоящая компьютерная система. В ней есть приложения и данные, которые киберпреступники используют для определения цели. Например, приманка может содержать поддельные конфиденциальные данные о потребителе, такие как платёжная или личная информация.

Приманки содержат уязвимости, чтобы заманить хакеров. Например, у них могут быть открытые порты. Оставленный открытым порт может привлечь злоумышленника, позволяя команде безопасности наблюдать процесс атаки.

Honeypotting отличается от других типов мер безопасности тем, что он не предназначен для прямого предотвращения атак. Целью приманки является усовершенствование системы обнаружения вторжений (Intrusion Detection System, IDS) и реагирования на угрозы, чтобы она могла лучше управлять атаками и предотвращать их.

Есть два основных вида приманок: производственные и исследовательские.

Производственные приманки сосредоточены на выявлении компрометации внутренней сети, а также на обмане злоумышленника. Они располагаются рядом с настоящими производственными серверами и выполняют те же функции;

Исследовательские приманки собирают информацию об атаках, сосредотачиваясь не только на том, как угрозы действуют во внутренней среде, но и на том, как они действуют в целом. Это помогает администраторам разработать более надежные системы защиты и выяснить, какие исправления им необходимы в первую очередь.

Типы приманок

Существуют различные типы приманок, каждая из которых предназначена для различных производственных или исследовательских целей.

Чистая приманка (Pure Honeypot)

Это полномасштабная система, работающая на различных серверах. Она полностью имитирует производственную систему. Чистая приманка выдает себя за систему с конфиденциальными данными о пользователях, которые имеют ряд сенсоров, используемых для отслеживания и наблюдения за действиями злоумышленника.

Honeypot с высоким уровнем взаимодействия (High-interaction Honeypot)

Она предназначена для того, чтобы злоумышленники проводили как можно больше времени внутри системы-приманки. Это дает команде безопасности больше возможностей наблюдать за целями и намерениями хакера и больше шансов обнаружить уязвимости в системе.

Приманка с высоким уровнем взаимодействия может иметь дополнительные системы, базы данных и процессы, в которые злоумышленник захочет проникнуть. Исследователи могут наблюдать, как и какую именно информацию ищет киберпреступник, и как он пытается повысить привилегии.

Honeypot со средним уровнем взаимодействия (Mid-interaction Honeypot)

Они имитируют элементы прикладного уровня, но не имеют операционной системы. Их задача – запутать злоумышленника или задержать его, чтобы у ИБ-специалистов было больше времени для реагирования на атаку.

Honeypot с низким уровнем взаимодействия (Low-interaction Honeypot)

Такие приманки менее ресурсоемки и собирают элементарную информацию о типе угрозы и ее происхождении. Их относительно просто настроить, и они используют TCP-протокол, IP-протокол и сетевые службы. Однако, внутри этой приманки нет ничего, что могло бы удерживать внимание злоумышленника в течение значительного времени.

Виды приманок

Приманка вредоносных программ (Malware Honeypot)

Приманки вредоносных программ используют уже известные векторы атак, которые привлекают вредоносное ПО. Например, они могут имитировать USB-устройство. Если компьютер подвергается атаке, приманка обманом заставляет вредоносное ПО атаковать поддельный USB-накопитель.

Спам-приманка (Spam Honeypot)

Спам-приманки предназначены для привлечения спамеров с помощью открытых прокси и почтовых ретрансляторов. Спамеры тестируют почтовые ретрансляторы, используя их для создания массовых рассылок. Спам-приманка может идентифицировать тест спамера и блокировать его спам.

Приманка базы данных (Database Honeypot)

Фальшивая база данных используется для привлечения атак на базы данных, таких как SQL-инъекции, которые открывают доступ к данным. Такие приманки могут быть реализованы с использованием брандмауэра базы данных.

Клиентская приманка (Client Honeypot)

Клиентские приманки пытаются заманить вредоносные серверы, которые злоумышленники используют при взломе клиентов. Они имитируют клиента и показывают, как хакер вносит изменения в сервер во время атаки. Клиентские приманки обычно запускаются в виртуализированной среде и имеют защиту от обнаружения.

Сеть приманок (Honeynet)

Сеть из различных типов приманок позволяет изучать несколько типов атак – DDoS-атаки или атаки программ-вымогателей. Хотя Honeynet используется для изучения различных видов атак, она содержит весь трафик, как входящий, так и исходящий, для защиты остальной системы организации.

Honeypot в сетевой безопасности

Приманка в сетевой безопасности предназначена для заманивания хакера в поддельные сетевые среды, чтобы:

  • Определить цель киберпреступника;
  • Методы атаки цели;
  • Определить способ предотвращения атаки.

Приманка в контексте кибербезопасности организации включает в себя создание среды, наполненной потенциально привлекательными цифровыми активами, для наблюдения за попытками хакера получить к ним доступ и его действиями, когда он оказался внутри системы.

Настройка Honeypot

Honeypotting представляет из себя подключение поддельного актива к Интернету или ко внутренней сети организации и предоставление хакерам доступа к нему. Фактическая установка может быть относительно простой или сложной, в зависимости от вида деятельности, которую вы пытаетесь изучить. Вот несколько сценариев атак, на которые могут быть настроены приманки.

Атака на базу данных

Энергетическая компания может настроить поддельный сервер Microsoft SQL, который содержит информацию о местонахождении всех электростанций. Названия электростанций и их геолокации при этом вымышлены.

Сетевые администраторы могут сделать базу данных легкой для взлома, а затем использовать эту приманку, чтобы увидеть, как хакеры пытаются украсть информацию. Во многих случаях IT-команда создаст систему, которая будет полностью аналогична их реальной настройке сети. Таким образом, если злоумышленники смогут проникнуть внутрь, компания сможет выявить уязвимости в своих реальных сетях.

Важно иметь в виду, что приманки в сетевой безопасности разрабатываются на основе целей IT-команды организации. Следовательно, настройки безопасности приманки могут сильно различаться в разных фирмах.

Внутренняя атака

Предположим, что инсайдер в компании пытается провести кибератаку. ИБ-специалисты могут установить поддельный сервер с таким же строгим контролем доступа, как и тот, который предположительно является целью злоумышленника. Таким образом, они ограничивают поверхность атаки тем, кто может обойти строгую систему проверки учетных данных, например, инсайдеру.

Случайные атаки

Организация может увидеть, какие случайные атаки в дикой природе могут быть нацелены на определенный тип системы и что хакеры делают внутри. В этом случае киберпреступник может легко взломать актив, чтобы получить больше информации для использования в своих разведданных.

Преимущества приманки

Приманки имеют несколько преимуществ, которые ИБ-специалисты могут использовать для повышения безопасности сети.

Приостановление цепочки заражения

Злоумышленник перемещается по целевой среде в поисках уязвимостей, сканируя всю сеть. Однако, он может наткнуться на приманку. На этом этапе вы можете как заманить хакера внутрь, так и исследовать его поведение. Приманки также нарушают цепочку атак, побуждая злоумышленника тратить свое время на поиск бесполезной информации в приманке, отвлекая его от реальной цели.

Тестирование систем реагирования на инциденты

Honeypotting — это эффективный способ проверить, как ваша команда безопасности и система будут реагировать на угрозу. Вы можете использовать приманку для оценки эффективности реагирования вашей команды и устранения любых недостатков в киберзащите.

Простота и низкие эксплуатационные расходы

Приманки — это простые в реализации и эффективные инструменты для предоставления предупреждений и информации о поведении злоумышленника. Ваша команда безопасности может развернуть приманку и просто ждать, пока злоумышленник попадётся на неё. При этом не обязательно постоянно контролировать поддельную среду.

Опасности сети приманок

Несмотря на то, что приманка в кибербезопасности является эффективным инструментом, обычно её бывает недостаточно. Например, honeypot не может обнаружить нарушения безопасности в легитимных системах. Другими словами, пока хакер атакует ваш поддельный актив, другой может атаковать реальный ресурс, и приманка об этом вам никак не сообщит.

Кроме того, приманка не всегда может идентифицировать злоумышленника. Хотя вы можете получить некоторую информацию о методах хакера, вы не можете собрать информацию, необходимую для выявления или предотвращения атаки.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!