Узнайте, как приманки могут повысить вашу безопасность и помочь поймать хакеров.
Honeypots — это системы-ловушки или серверы, которые развертываются вместе с производственными системами в вашей сети. Когда ловушки используются в качестве привлекательных целей, они способствуют наблюдению за безопасностью со стороны «синих команд» и уводят противника от фактической цели.
Приманки могут быть спроектированы разной сложности в соответствии с потребностями каждой организации и являются важной линией защиты в обеспечении раннего предупреждения об атаках. На этой странице более подробно объясняется, что подразумевается под приманками, как они используются и какие преимущества вы получаете от их внедрения.
Обзор понятия Honeypot
Honeypots имеют множество приложений и вариантов использования для предотвращения проникновения вредоносного трафика в критические системы, обеспечения раннего предупреждения о продолжающейся атаке до того, как критически важные системы будут затронуты, а также сбора информации о злоумышленниках и их методах.
Если приманки не содержат по-настоящему конфиденциальных данных и хорошо отслеживаются, вы можете получить представление об инструментах, тактиках и процедурах злоумышленников (TTP) и собрать судебные и юридические доказательства, не ставя под угрозу остальную часть сети.
Чтобы приманка работала, система должна выглядеть легитимной. Должны запускаться процессы, которые, как ожидается, будут выполняться в производственной системе и содержать важные фиктивные файлы. Любая система может стать приманкой, если в ней настроены соответствующие возможности прослушивания и регистрации.
Лучше всего разместить приманку за корпоративным брандмауэром не только для обеспечения критически важных возможностей регистрации и оповещения, но также для блокировки исходящего трафика, чтобы скомпрометированную приманку нельзя было использовать для атаки на другие внутренние ресурсы.
Исследовательские и производственные приманки
С точки зрения целей существует два типа приманок: исследовательские и производственные приманки. Исследовательские приманки собирают информацию об атаках и используются специально для расследования широкого вредоносного поведения.
Они собирают информацию как из вашей среды, так и по всему миру о тенденциях атак, версиях вредоносного ПО и уязвимостях, на которые активно нацелены хакеры. Вы можете использовать эти приманки для информирования о своей защите, определении приоритетов исправлений и будущих инвестициях.
С другой стороны, производственные приманки занимаются обнаружением активных угроз вашей внутренней сети и обманом злоумышленника. Сбор разведывательной информации по-прежнему остается приоритетом, поскольку приманки создают для вас дополнительные возможности мониторинга и заполняют общие пробелы в обнаружении при распознавании сканирования сети и распространении сети.
Производственные приманки совместимы с остальными вашими производственными серверами и запускают службы, которые обычно работают в вашей среде. Исследовательские приманки обычно более сложны и хранят больше типов данных, чем производственные приманки.
Сложность Honeypot может варьироваться
Приманки для производства и исследований также делятся на разные уровни в зависимости от сложности требований вашей компании:
Pure Honeypot: это полноразмерная, полностью имитируемая производственная система, работающая на различных серверах. Система содержит «конфиденциальные» данные и пользовательскую информацию, а также множество датчиков. Хотя они могут быть сложными и их обслуживание не всегда легко, предоставляемая ими информация имеет важное значение.
Приманка с высоким уровнем взаимодействия: ее можно сравнить с «чистой» приманкой, поскольку она запускает множество сервисов, но не так сложна и не содержит такого большого количества данных. Приманки с высоким уровнем взаимодействия не предназначены для имитации полной производственной системы в целом, а скорее (предположительно) запускают все службы, которые будут работать в производственной системе, включая соответствующую операционную систему.
Этот тип приманки позволяет развертывающей его компании видеть поведение и методологию злоумышленников. Приманки с высоким уровнем взаимодействия требуют ресурсов и некоторого обслуживания, но результаты компенсируют дополнительные усилия.
Honeypot среднего взаимодействия: они копируют аспекты уровня приложения, но не имеют собственной операционной системы. Их задача — остановить или сбить с толку злоумышленников, чтобы у компаний было больше времени, чтобы придумать, как правильно отреагировать на эту атаку.
Honeypot с низким уровнем взаимодействия: этот тип приманки чаще всего используется в производственной среде. Приманки с низким уровнем взаимодействия запускают несколько сервисов и в первую очередь служат системой раннего предупреждения для обнаружения атак. Их легко развертывать и обслуживать: многие группы безопасности развертывают несколько ловушек в разных сегментах своей сети.
Типы приманок
В настоящее время используются следующие технологии ловушек:
Приманки для вредоносных программ: они используют известные векторы репликации и атаки для обнаружения вредоносного ПО. Например, приманки были разработаны для репликации USB-накопителя. Когда машина заражена вредоносным ПО, распространяемым через USB, приманка заставляет вредоносное ПО заразить фиктивное устройство.
Приманки для спама: они используются для репликации открытой рассылки почты и открытых прокси. Спамеры тестируют открытое распространение электронной почты, сначала отправляя электронное письмо себе. В случае успеха они рассылают большое количество спама. Этот тип приманки может обнаружить этот тест и успешно заблокировать последующее количество спама.
Приманка базы данных. Такие действия, как внедрение SQL-кода, часто не обнаруживаются брандмауэрами, что заставляет некоторые компании использовать брандмауэр базы данных, поддерживающий приманки, для настройки ложных баз данных.
Клиентские приманки. Большинство приманок представляют собой серверы, которые прослушивают соединения. Клиентские приманки активно ищут вредоносные серверы, атакующие клиентские машины, и отслеживают подозрительные и неожиданные изменения в приманке. Эти системы обычно работают на основе технологии виртуализации и имеют стратегию сдерживания, позволяющую минимизировать риски для исследовательской группы.
Honeynets. Honeynet — это не одна система, а сеть, которая может состоять из нескольких приманок. Сети-приманки предназначены для стратегического отслеживания методов и мотивов злоумышленника, одновременно сдерживая весь входящий и исходящий трафик.
Преимущества технологии Honeypot
Honeypots предоставляют множество преимуществ безопасности для компаний, которые их внедряют, в том числе:
Honeypots мешают успеху злоумышленников и замедляют их продвижение
Когда злоумышленники находятся в вашей среде, они осматриваются, сканируют сеть и ищут неправильно настроенные и уязвимые устройства. На этом этапе они, скорее всего, активируют вашу приманку, которая уведомит вас, чтобы вы могли провести расследование и ограничить доступ злоумышленника. Это позволяет вам отреагировать до того, как злоумышленник получит возможность успешно получить данные из вашей среды.
Злоумышленники иногда тратят значительное время на работу с приманкой вместо того, чтобы сосредоточиться на областях с реальными данными. При переключении на бесполезную систему циклы тратятся впустую, в то время как вы получаете раннее предупреждение о продолжающейся атаке.
Они несложны и требуют минимального обслуживания
Современные приманки легко загрузить и установить, а также они могут предоставлять точные оповещения об опасных ошибках в конфигурации и поведении злоумышленников. В некоторых случаях ваша команда может забыть о том, что приманка когда-либо была развернута, пока кто-нибудь не покопается в вашей внутренней сети. В отличие от систем обнаружения вторжений, приманкам не нужны известные сигнатуры атак или новейшая информация, чтобы быть полезными.
Они помогут вам протестировать процессы реагирования на инциденты
Приманки — это экономичный способ повысить зрелость вашего подхода к обеспечению безопасности путем проверки того, знает ли ваша команда, что делать, если приманка обнаружит непредвиденную активность. Может ли ваша команда расследовать оповещение и принять соответствующие меры?
Honeypots не должны быть вашей единственной стратегией обнаружения угроз, но они обеспечивают еще один уровень безопасности, который может быть полезен при раннем обнаружении атак. Это один из немногих методов, доступных специалистам по безопасности для расследования реального вредоносного поведения и выявления угроз внутренней сети.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.