18 июня 2023

Обнаружение действий хакеров на ранних этапах при помощи Honeypot

Обнаружение действий хакеров на ранних этапах при помощи Honeypot

В 2019 году был зафиксирован стремительный рост кибератак, в том числе APT-атак, направленных на получение прибыли от крупных компаний. При этом также отмечен рост числа заражений вредоносным ПО и публикация новых уязвимостей, в т.ч. уязвимостей нулевого дня. Развиваются и методы, используемые хакерами, и традиционные средства защиты информации уже не являются для них непреодолимой преградой. Существуют методы обхода межсетевых экранов и антивирусов, а техники горизонтального продвижения (lateral movement) в сети делают хакеров скрытыми от традиционных средств анализа трафика. При этом классические средства защиты основаны на сигнатурном анализе, который не способен выявить аномальную активность, вызванную, например, эксплуатацией уязвимостей нулевого дня.

Конечно, чем раньше будут обнаружены действия хакеров, тем меньший ущерб они потенциально могут принести компании. Поэтому вместе с традиционными средствами, закрывающими периметр и контролирующими рабочие станции, в целях обнаружения действий хакеров на ранних этапах необходимо использовать современные решения классов SIEM, NTA, EDR и Sandbox (песочницы). На базе этих решений можно создать SOC, который будет осуществлять эффективный мониторинг безопасности инфраструктуры компании и реагирование на возникающие инциденты информационной безопасности. Об этих решениях мы поговорим в других статьях, а в этой статье речь пойдёт о другом, не менее интересном подходе к обнаружению действий хакеров – системах, называемых Honeypot.

«Горшочек с мёдом»

Мы рассмотрим Honeypot с 2 позиций: теоретической и практической. В этой статье поговорим о теории применения решений Honeypot: что из себя представляют, какой функционал могут в себя включать, как реализованы в различных специализированных продуктах.

Итак, что же такое Honeypot? Само слово Honeypot означает «горшочек с мёдом», и это иллюстрирует суть идеи – Honeypot должен играть роль «приманки», «лакомого кусочка» для хакера и смещать фокус его внимания на себя. Обычно мы считаем, что проявление активности на «приманке» — это однозначный маркер присутствия хакера. В самых простых случаях Honeypot может просто фиксировать факт появления хакера на «приманке», оповещая об этом офицера безопасности.

Однако такие простые случаи неприменимы в практическом смысле – во-первых, оповещение о факте обнаружения хакера не даёт информации о том, как реагировать на его действия; во-вторых, сам хакер быстро поймёт, что «приманка» не представляет ценности, и может перейти на другой, более ценный узел. Поэтому Honeypot должен быть не только «приманкой», но и «ловушкой» для хакера, ограничивая его в дальнейших действиях в инфраструктуре компании. Таким образом, Honeypot реализует технологии обмана хакеров (Deception), актуальность и эффективность которых подтверждается отчётами Gartner.

Функционал Honeypot реализуется следующим образом:

  • Функцию «приманки» Honeypot выполняет при помощи эмуляции. Honeypot может как эмулировать какой-либо сервис (например, веб-сервер с корпоративным порталом компании), так и полностью воспроизводить рабочую станцию или сервер вместе с его окружением. Чем выше степень достоверности эмулируемой машины, тем более предпочтительной точкой захвата для хакера будет выглядеть Honeypot и тем сложнее будет его выявить.
  • Функционал «ловушки» на Honeypot реализуется несколькими механизмами. Это могут быть логирование и анализ действий хакера с файловой системой, реестром, сетью и другими компонентами системы. Кроме того, «ловушки» могут реализовывать автоматическое реагирование на инциденты, например, обрыв сессии хакера на уровне «ловушки» или пограничного маршрутизатора сети. Функционал «ловушки» в этом схож с функционалом таких средств защиты, как HIDS, EDR и Sandbox.

Если в системе защиты информации компании располагается несколько Honeypot, они могут быть объединены в сеть и управляться из одного места. Централизованное управление Honeypot позволяет:

  • производить автоматическое развёртывание Honeypot;
  • настраивать их параметры;
  • собирать и анализировать данные в единой точке агрегации;
  • производить автоматическое реагирование на инциденты;
  • отправлять данные в SIEM-системы для дополнительного анализа (например, поиска корреляций между всеми событиями безопасности).

В такой конфигурации можно снимать нагрузку с Honeypot, производя на них только сбор данных, а обработку и реагирование перенести на сервер централизованного управления.

Разнообразие Honeypot

Существует множество классификаций Honeypot с точки зрения степени эмуляции сервисов, с точки зрения интерактивного взаимодействия со злоумышленником и т.д. Мы рассмотрим классификацию с точки зрения сбора данных, поскольку этот момент в большинстве случаев является определяющим, тогда как степень эмуляции сервиса и интерактивное взаимодействие со злоумышленником являются настраиваемыми параметрами.

С точки зрения сбора данных мы можем разделить Honeypot на следующие классы:

  • Агентские Honeypot собирают данные активным способом при помощи программных средств – агентов. Здесь «приманками» могут быть либо сами агенты, эмулируя некий сервис, либо сама машина – тогда агент просто собирает данные об активности на машине. Главный риск раскрытия связан с обнаружением процесса агента, поэтому требуется принимать меры по скрытию этого процесса.
  • Безагентские Honeypot используют для сбора данных т.н. Honeytokens – это «приманки», которые изображают не компьютерные системы, а некие интересные для хакера данные. Такими данными могут быть учётные записи, адреса электронной почты, записи в базах данных и т.д. В этом случае Honeypot выглядит как обычная машина, а для обнаружения действий хакеров используются штатные механизмы ПО, которое использует Honeytoken, например, стандартные механизмы Windows и Active Directory для учётных записей или стандартные средства логирования СУБД для обнаружения обращений к базам данных.

На сегодняшний день существует множество реализаций Honeypot – как свободных, так и коммерческих. Решения с централизованным управлением являются наиболее интересными, поскольку при построении системы Honeypot неудобно управлять парком разнообразных обособленных Honeypot, следуя требованиям и способам управления каждого конкретного решения.

Среди свободных реализаций можно выделить Modern Honey Network и T-Pot. Оба решения направлены на централизованное управление, развёртывание и просмотр данных с других свободных сервисных Honeypot. Если при этом Modern Honey Network может управлять сетью Honeypot, расположенных на разных сетевых узлах, то T-Pot располагает свои Honeypot на одном узле в виде контейнеров Docker. Modern Honey Network также имеет возможность добавления новых Honeypot.

Обе эти реализации имеют ограничения – во-первых, они рассчитаны на запуск только на ОС Linux, как и Honeypot, которыми они управляют; во-вторых, в силу того, что разные реализации Honeypot отправляют разный набор данных, не имея единого формата, сложно производить полноценный анализ данных. Обе системы также не рассчитаны на автоматическое реагирование, они осуществляют только мониторинг сети Honeypot.

Среди коммерческих иностранных реализаций можно рассмотреть FortiDeceptor от компании Fortinet и решения компании Illusive Networks. Помимо развёртывания и мониторинга действий на Honeypot эти решения также предлагают функционал для полноценного реагирования на инциденты: от оповещения администраторов системы об обнаружении хакера до автоматического предотвращения атаки. Оба решения также предлагают функционал по визуализации полученных данных: в графическом интерфейсе управления можно посмотреть интерактивную карту расположения Honeypot и проследить, как развивалась атака. Honeypot, развёртываемые решениями, являются виртуальными машинами, причём поддерживаются как ОС семейства Linux, так и Windows.

Среди Российский продуктов можно рассмотреть — Xello Deception, HoneyCorn, Гарда Лабиринт, R-Vision Threat Deception Platform, Deception AVSOFT LOKI. Это все Российские системы выявления и действий злоумышленников и информационной инфраструктуре по средствам использования приманок, иллюзий и ложно-навязанных целей.

В этой статье мы рассмотрели основные особенности работы систем Honeypot. Во второй части статьи мы поговорим о практическом применении систем Honeypot, основываясь на своём опыте построения и использования таких систем.

Статья нашего авторизированного партнёра ООО «Акстел-Безопасность»

Читайте также

7 июня 2024 Результаты независимого обзора системы HoneyCorn
Результаты независимого обзора системы HoneyCorn

Результаты независимого тестирования HoneyCorn

Читать статью
2 апреля 2024 Концепция HoneyCorn – Цена риска и обман злоумышленника
Концепция HoneyCorn – Цена риска и обман злоумышленника

Позиционирование и эффективность решения

Читать статью
20 марта 2024 Deception от HoneyCorn и InfoDiode обеспечат безопасную передачу данных об инцидентах в SOC
Deception от HoneyCorn и InfoDiode обеспечат безопасную передачу данных об инцидентах в SOC

Компании АМТ-ГРУП и HoneyCorn объявляют о завершении процесса тестирования на совместимость

Читать статью
16 марта 2024 Конференция АСУ ТП КВО
Конференция АСУ ТП КВО

Наша команда приняла участие в конференции АСУ ТП КВО

Читать статью
13 февраля 2024 Обновление HoneyCorn. Перечень важных функциональных изменения:
Обновление HoneyCorn. Перечень важных функциональных изменения:

Обновление HoneyCorn

Читать статью
18 октября 2023 HoneyCorn создаёт ложные сети спрятанный за PAM: решение интегрировано с системой PAM СКДПУ
HoneyCorn создаёт ложные сети спрятанный за PAM: решение интегрировано с системой PAM СКДПУ

Решение HoneyCorn интегрировано с PAM СКДПУ

Читать статью
6 октября 2023 Видеозапись вебинара
Видеозапись вебинара

Оценка эффективности Центров мониторинга информационной безопасности

Читать статью
3 октября 2023 Вебинар — оценка эффективности Центров мониторинга информационной безопасности
Вебинар — оценка эффективности Центров мониторинга информационной безопасности

Вебинар - оценка эффективности системы информационной безопасности

Читать статью
14 августа 2023 Конкурс «Лучшая ловушка для хакера – мой первый HoneyPot»
Конкурс «Лучшая ловушка для хакера – мой первый HoneyPot»

Специально для аудитории сообщества Codeby компания HoneyCorn объявляет конкурс на лучшую идею для ловушки

Читать статью
14 июля 2023 HoneyPot — альтернативная технология противодействия Кибератакам
HoneyPot — альтернативная технология противодействия Кибератакам

Методологии эффективного использования HoneyPot.

Читать статью
Видео

Наши видео

Работа с приманкой RDP
Эксплуатация Shellshock
Ловушка обзора сетевых соединений
Конструктор ловушек Windows — эксплуатация Zerologon
security-safe Смотреть больше на Rutube