HoneyPot — это кибер-система, созданная для наблюдения за действиями злоумышленников. Дословно переводится как «Горшочек с медом», и выполняет функцию уязвимой инфраструктуры, которую можно взломать.
Приманка ХаниПот смоделирована таким образом, чтобы выглядеть максимально реалистично. На сегодняшний день HoneyPot — это один из наиболее эффективных инструментов обнаружения источников угроз.
Целью системы HoneyPot является сбор информации о методах киберпреступников и своевременное информирование IT-отделов о начале атаки. Так как HoneyPot существует отдельно от реальной инфраструктуры, любое взаимодействие с приманкой означает нацеленную кибератаку.
В свою очередь, это позволяет специалистам быстро принять меры по отношению к злоумышленнику, обеспечивать более надежную защиту уязвимых мест в инфраструктуре и избегать уже реальных атак.
Планирование развертывания приманок HoneyPots
Во-первых, планирование развертывания данной системы должно подходить под цели и особенности организации. Вам следует определить, какие данные в компании особенно ценны? Какие системы содержат важные активы? Как злоумышленник может получить к ним доступ?
Все это поможет определить, какие типы приманок нужно использовать конкретно для вашей инфраструктуры. Помимо прочего, развертывание приманок HoneyPot должно учитывать и географический фактор.
HoneyPots бывают разные – от простых смоделированных систем до систем, работающих на операционных системах или даже в аппаратном и виртуальном режиме.
Как говорилось ранее, HoneyPots предназначены для трансляции уязвимостей, чтобы привлечь злоумышленников. Например, может использоваться служба с уязвимостью, устаревшая или нелицензионная операционная система, сетевые ресурсы с подозрительными названиями и т.п.
Особенность ресурсов HoneyPot в том, что все они – ложны и направлены исключительно на поимку хакера. Они настроены на отслеживание злоумышленников в системе без их ведома. Это обеспечивает компаниям раннее предупреждение и позволяет исследовать методы киберпреступников.
Система крупномасштабного мониторинга HoneyNet
Систему HoneyPot можно расширить в целую структуру, состоящую из нескольких систем в корпоративной сети. Подобную развернутую систему называют HoneyNet.
HoneyNet позволяет настраивать несколько видов приманок с различными конфигурациями и уязвимостями. Обычно с помощью централизованного инструментария для мониторинга всех приманок в сети.
Как правило, HoneyNet представляет собой виртуальную сеть с виртуальными службами и приложениями, которые выглядят для злоумышленника как настоящая сеть. И такая система особенно полезна для крупномасштабного мониторинга активности вредоносных программ, за счет использования различных операционных систем и уязвимостей.
Как работает HoneyPot
Приманка ХаниПот – это имитация ложно существующего файла, сервера или компьютерной системы. HoneyPot используется как для обнаружения атак, так и для «отвлечения» атак от реальной инфраструктуры компании.
Приманки должны быть настолько реалистичны, чтобы злоумышленник посчитал ее стоящей целью. Отслеживая трафик, попадающий в HoneyPot, вы сможете понять, откуда приходят злоумышленники, чего они хотят и на что охотятся. Это поможет вам улучшить меры безопасности, направленные на реальные корпоративные данные.
С учетом роста работы через Интернет, растет и уровень киберпреступности. И HoneyPot может помочь защитить ваш бизнес от кибератак.
Решения приманок на рынке
Рассмотрим поставщиков решений HoneyPot, существующих на рынке. Все они предоставляют систему приманок, позволяющую обнаруживать вторжения и угрозы для вашей корпоративной сети. Однако каждое решение стоит рассмотреть отдельно, предварительно составив требования.
Сравнительная таблица решений от вендоров HoneyPots представлена на нашем сайте.
Рассмотрим некоторые ХаниПот:
- Honeyd-WIN32 – HoneyPot для Это версия со слабым уровнем взаимодействия, обширным функционалом и открытым исходным кодом. Один Honey-Win32 способен смоделировать несколько пользователей и тысячи портов. Поддерживает UDP и TCP-порты с возможностью их настройки. В решении используется язык сценариев. Минус решения заключается в долгой установке.
- KFSensor – также под Windows и со слабым уровнем взаимодействия и предварительно настроенными портами UDP и TCP. HoneyPot имитирует уязвимость для троянов, червей и прочих атак на сервисы. Здесь присутствует возможность удаленного администрирования, эмуляция сетевых протоколов, а также записи действий хакера. KFSensor можно расширять и дописывать свои сценарии, тем самым увеличивая базу данных сигнатур.
- VMware – используют для создания приманок и целых сетей HoneyPots. У этой рабочей станции идет поддержка Linux и Windows. С VMware вы сможете сохранять сеансы, сбрасывать их в случае попытки хакера загрузить вредоносную программу. Однако в VMware отсутствует функция оповещений и отслеживания, для этого используется дополнительное ПО.
- Spector – один из самых простых в установке и настройке за счет ограниченного функционала. Этот HoneyPot имитирует ряд операционных систем семейства Windows, сетевые службы, а также порты для троянов. Spector предоставляет возможность взаимодействовать с хакером, собирать информацию о злоумышленнике благодаря интеллектуальным модулям. Также в HoneuPot есть функция удаленного администрирования, предоставления реалистичных данных для «кражи» и генерации программ, которые хакер может скачать.
- APS – HoneyPot слабого взаимодействия для операционной системы Windows. Он обнаруживает ряд мошеннических действий (сканирование портов, рассылки, DoS-атаки и пр.) и передает информацию IT-специалисту. В APS ведется статистика обнаружения атак благодаря исследованию корпоративной сети и регулярному сканированию портов.
- ManTrap – представитель HoneyPot сильного взаимодействия, имеющий контролируемую ОС для взаимодействия со взломщиком. Имеет расширенный сбор данных и разрешение настраивать ловушки. Вы можете создать учетные записи, приложения, отдельные ложные файлы и даже целые процессы. В случае атаки хакер будет видеть реальную ОС, однако все его действия будут записываться. Преимущество этого HoneyPot в создании виртуального окружения в единой физической системе.
Ответы о технологии HoneyPot от разработчиков
Технология HoneyPot может применяться в самых разных сферах деятельности, иметь легкий и сложный процесс использования, сбора данных и взаимодействия со злоумышленниками. Но как выбрать правильный HoneyPot? Когда лучше выбрать низкий уровень имитации, а когда высокий? Лучше приобрести готовый продукт или обратиться к поставщику услуг?
С этими и другими вопросами о технологии мы обратились к компании Xello, единственному российскому разработчику HoneyPot-решений.
На вопросы ответил СЕО Xello – Александр Щетинин.
Александр, расскажите об удобности интеграции решения в условиях уже существующей корпоративной защиты и варианты такой интеграции?
«Что касается нашего решения, то оно достаточно просто интегрируется в любую корпоративную сеть и существующие СЗИ никакой помехи нам не несут. Для того чтоб запустить систему у заказчика в минимальной конфигурации нам нужны 2 виртуальные машины и 2 служебные учетные записи в Active Directory. Далее можно достаточно гибко масштабироваться и распространять приманки по тем хостам, по которым хочет заказчик и располагать серверы-ловушки в релевантных для него подсетях.»
Какие есть варианты централизованного управления системами интегрируемой ловушки?
«В нашей системе используется единая консоль управления, из которой управляются как хостовые приманки, так и конфигурируются серверы-ловушки. Все хостовые приманки управляются безагентским способом, что мы считаем безусловно своим конкурентным преимуществом. Сервера ловушки также всегда находятся под управлением центрального сервера.»
Есть ли возможность расширения типов приманок?
«Да мы постоянно наращиваем, количество поддерживаемых типов и протоколов наших приманок.»
Какие методы оповещения об атаке имеются? Существует ли возможность мониторинга системы в реальном времени или наблюдение пост-активное?
«Да, конечно, наша система изначально и заточена под раннее обнаружение атаки и поэтому возможность мониторинга в режиме реального времени была для нас приоритетом при разработке. Мы поддерживаем оповещение SOC через интеграцию с SIEM и почтовыми серверами. То есть при наступлении инцидента он появится в веб-консоли, отправится оповещение в SOC(SIEM), а также офицеру безопасности на email. Все это дает клиенту выигрыш в самом ценном ресурсе при реагировании на инцидент ИБ – времени.»
Какое примерное количество ложных срабатываний и методы борьбы с ними?
«Количество ложных срабатываний в целом у данного класса систем достаточно низкое, так как все приманки и ловушки не видимы рядовому пользователю. И если кто-то с ними взаимодействует, то это с большой долей вероятности злоумышленник. Также, когда решение внедряется в «боевую» инфраструктуру, существует множество факторов ложных срабатываний, например, легитимные механизмы внутреннего сканирования, с такого рода срабатываниями можно бороться только с помощью исключений.»
Расскажите о кастомизации ловушки. Как сильно клиент может видоизменить готовое решение ловушки при возникновении необходимости, есть ли инструменты для подобных действий, если да, то какие?
«Что касается нас, то сами ловушки могут достаточно гибко изменяться. От изменения пула триггеров реагирования до установки любого дополнительного софта на них. Мы тут предоставляем максимальную свободу нашим заказчикам.»
Какой спектр хакерских атак и сканирований способна отследить ловушка, а что останется вне поля наблюдения при любых условиях?
«В случае с deception-технологиями фокус не на спектре возможных атак, а на правильном расположении ловушек и их правдоподобности. Остановлюсь здесь поподробнее. Все мы знаем, что может быть множество типов атак, к примеру, на протокол SSH, но достаточно лишь того, чтобы приманка или ловушка типа SSH во время его перемещения по сети и этого будет достаточно для успешного детектирования атаки. Ловушка сработает по любому обращению по данному протоколу к ней. Именно поэтому фокус производители платформ делают не на спектре возможных атак, а как раз на вероятности обойти ловушки и не попасть в них. А это напрямую зависит от правдоподобности и правильном расположении ловушек в сетевой инфраструктуре.»
Подробнее на сайте: https://cloudnetworks.ru/analitika/honeypot/
