В 2019 году стремительный рост кибератак, в том числе APT-атак, направленных на получение прибыли от крупных компаний. При этом также отмечен рост числа заражений вредоносным ПО и публикация новых уязвимостей, в т.ч. уязвимостей нулевого дня. Развиваются и методы, используемые хакерами, и традиционные средства защиты информации уже не являются для них непреодолимой преградой. Существуют методы обхода межсетевых экранов и антивирусов, а техники горизонтального продвижения (lateral movement) в сети делают хакеров скрытыми от традиционных средств анализа трафика. При этом классические средства защиты основаны на сигнатурном анализе, который не способен выявить аномальную активность, вызванную, например, эксплуатацией уязвимостей нулевого дня.
Конечно, чем раньше будут обнаружены действия хакеров, тем меньший ущерб они потенциально могут принести компании. Поэтому вместе с традиционными средствами, закрывающими периметр и контролирующими рабочие станции, в целях обнаружения действий хакеров на ранних этапах необходимо использовать современные решения классов SIEM, NTA, EDR и Sandbox (песочницы). На базе этих решений можно создать SOC, который будет осуществлять эффективный мониторинг безопасности инфраструктуры компании и реагирование на возникающие инциденты информационной безопасности. Об этих решениях мы поговорим в других статьях, а в этой статье речь пойдёт о другом, не менее интересном подходе к обнаружению действий хакеров – системах, называемых Honeypot.
"Горшочек с мёдом"
Мы рассмотрим Honeypot с 2 позиций: теоретической и практической. В этой статье поговорим о теории применения решений Honeypot: что из себя представляют, какой функционал могут в себя включать, как реализованы в различных специализированных продуктах.
Итак, что же такое Honeypot? Само слово Honeypot означает «горшочек с мёдом», и это иллюстрирует суть идеи – Honeypot должен играть роль «приманки», «лакомого кусочка» для хакера и смещать фокус его внимания на себя. Обычно мы считаем, что проявление активности на «приманке» - это однозначный маркер присутствия хакера. В самых простых случаях Honeypot может просто фиксировать факт появления хакера на «приманке», оповещая об этом офицера безопасности.
Однако такие простые случаи неприменимы в практическом смысле – во-первых, оповещение о факте обнаружения хакера не даёт информации о том, как реагировать на его действия; во-вторых, сам хакер быстро поймёт, что «приманка» не представляет ценности, и может перейти на другой, более ценный узел. Поэтому Honeypot должен быть не только «приманкой», но и «ловушкой» для хакера, ограничивая его в дальнейших действиях в инфраструктуре компании. Таким образом, Honeypot реализует технологии обмана хакеров (Deception), актуальность и эффективность которых .
Функционал Honeypot реализуется следующим образом:
- Функцию «приманки» Honeypot выполняет при помощи эмуляции. Honeypot может как эмулировать какой-либо сервис (например, веб-сервер с корпоративным порталом компании), так и полностью воспроизводить рабочую станцию или сервер вместе с его окружением. Чем выше степень достоверности эмулируемой машины, тем более предпочтительной точкой захвата для хакера будет выглядеть Honeypot и тем сложнее будет его выявить.
- Функционал «ловушки» на Honeypot реализуется несколькими механизмами. Это могут быть логирование и анализ действий хакера с файловой системой, реестром, сетью и другими компонентами системы. Кроме того, «ловушки» могут реализовывать автоматическое реагирование на инциденты, например, обрыв сессии хакера на уровне «ловушки» или пограничного маршрутизатора сети. Функционал «ловушки» в этом схож с функционалом таких средств защиты, как HIDS, EDR и Sandbox.
- производить автоматическое развёртывание Honeypot;
- настраивать их параметры;
- собирать и анализировать данные в единой точке агрегации;
- производить автоматическое реагирование на инциденты;
- отправлять данные в SIEM-системы для дополнительного анализа (например, поиска корреляций между всеми событиями безопасности).
Существует множество классификаций Honeypot с точки зрения степени эмуляции сервисов, с точки зрения интерактивного взаимодействия со злоумышленником и т.д. Мы рассмотрим классификацию с точки зрения сбора данных, поскольку этот момент в большинстве случаев является определяющим, тогда как степень эмуляции сервиса и интерактивное взаимодействие со злоумышленником являются настраиваемыми параметрами.
С точки зрения сбора данных мы можем разделить Honeypot на следующие классы:
- Агентские Honeypot собирают данные активным способом при помощи программных средств – агентов. Здесь «приманками» могут быть либо сами агенты, эмулируя некий сервис, либо сама машина – тогда агент просто собирает данные об активности на машине. Главный риск раскрытия связан с обнаружением процесса агента, поэтому требуется принимать меры по скрытию этого процесса.
- Безагентские Honeypot используют для сбора данных т.н. Honeytokens – это «приманки», которые изображают не компьютерные системы, а некие интересные для хакера данные. Такими данными могут быть учётные записи, адреса электронной почты, записи в базах данных и т.д. В этом случае Honeypot выглядит как обычная машина, а для обнаружения действий хакеров используются штатные механизмы ПО, которое использует Honeytoken, например, стандартные механизмы Windows и Active Directory для учётных записей или стандартные средства логирования СУБД для обнаружения обращений к базам данных.
Среди свободных реализаций можно выделить Modern Honey Network и T-Pot. Оба решения направлены на централизованное управление, развёртывание и просмотр данных с других свободных сервисных Honeypot. Если при этом Modern Honey Network может управлять сетью Honeypot, расположенных на разных сетевых узлах, то T-Pot располагает свои Honeypot на одном узле в виде контейнеров Docker. Modern Honey Network также имеет возможность добавления новых Honeypot.
Обе эти реализации имеют ограничения – во-первых, они рассчитаны на запуск только на ОС Linux, как и Honeypot, которыми они управляют; во-вторых, в силу того, что разные реализации Honeypot отправляют разный набор данных, не имея единого формата, сложно производить полноценный анализ данных. Обе системы также не рассчитаны на автоматическое реагирование, они осуществляют только мониторинг сети Honeypot.
Среди коммерческих реализаций можно рассмотреть FortiDeceptor от компании Fortinet и решения компании Illusive Networks. Помимо развёртывания и мониторинга действий на Honeypot эти решения также предлагают функционал для полноценного реагирования на инциденты: от оповещения администраторов системы об обнаружении хакера до автоматического предотвращения атаки. Оба решения также предлагают функционал по визуализации полученных данных: в графическом интерфейсе управления можно посмотреть интерактивную карту расположения Honeypot и проследить, как развивалась атака. Honeypot, развёртываемые решениями, являются виртуальными машинами, причём поддерживаются как ОС семейства Linux, так и Windows.
Одной из основных фишек FortiDeceptor является интеграция с другими продуктами фабрики безопасности Fortinet, что позволяет ему легко взаимодействовать с FortiSIEM, FortiAnalyzer и FortiGate. Среди интересных особенностей решений Illusive Networks можно отметить возможность выделения Crown Jewels – критически важных узлов, компрометация которых ведёт к компрометации сети (такой точкой может быть, например, контроллер домена Active Directory). Это даёт возможность, например, запускать сценарии автоматического реагирования, когда злоумышленник продвигается к критичной точке и находится на небезопасном расстоянии от неё.
В этой статье мы рассмотрели основные особенности работы систем Honeypot. Во второй части статьи мы поговорим о практическом применении систем Honeypot, основываясь на своём опыте построения и использования таких систем.
Автор: Дмитрий Жандаров, инженер по информационной безопасности
