УДК 004.032.22
Преимущество Honeypod в обнаружении злоумышленников в информационных системах
Петров Максим Павлович – студент Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича
Рудов Александр Владимирович – студент Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича
Цветков Александр Юрьевич – старший преподаватель кафедры Защищенных систем связи Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича
Аннотация: В современном мире информационные технологии занимают все более важное место, их использование становится необходимым для большинства организаций и предприятий. Однако, с ростом количества информации, передаваемой по сети, возрастает и риск ее кражи или уничтожения. Кибератаки становятся все более частыми и разнообразными, что требует от специалистов в области информационной безопасности постоянного совершенствования методов защиты информации. Одним из таких методов является использование системы Honeypot, которая позволяет обнаруживать и предотвращать кибератаки. Honeypot — это специально созданный объект, который имитирует уязвимость в системе и привлекает к себе внимание злоумышленников. При этом, система Honeypot не содержит никакой реальной информации и не является частью рабочей сети организации. Система Honeypot представляет собой мощный инструмент в области кибербезопасности, который используется для обмана и привлечения потенциальных злоумышленников с целью обнаружения и анализа кибератак. Система представляют собой ловушки, которые позволяют анализировать поведение злоумышленников и собирать информацию о новых уязвимостях и методах атак. Honeypots могут быть размещены как внутри корпоративной сети, так и в интернете, и могут имитировать различные сервисы и уязвимости. Они являются эффективным инструментом для обнаружения и предотвращения кибератак. Honeypot не несут никаких ценных данных, так как это поддельный хост, который помогает регистрировать сетевой трафик. Системы Honeypot выполняют несколько ключевых функций: Обман злоумышленников; Обнаружение атак; Анализ атак. Типы данных, которые собирают Honeypot: Логи сетевой активности; Записи аутентификации; Захват сетевого трафика; Файлы, загруженные злоумышленниками; Команды и действия злоумышленников; Системная информация; Временные метки и длительность активности; Информация о источниках (IP-адресах) атак; Информация о проникновении; Снимки состояния системы.
Ключевые слова: Honeypod, информационная безопасность, преимущества Honeypod, недостатки Honeypod, уровень риска.
Преимущества и недостатки Honeypot
Ценность данных: Один из ключевых аспектов в кибербезопасности – это эффективное использование собранных данных. Организации собирают огромные объемы информации, включая журналы брандмауэра, системные журналы и уведомления об обнаружении вторжений. Этот объем информации может быть огромным, и извлечение ценной информации из него может быть сложной задачей. В случае Honeypot ситуация иная: они собирают ограниченное количество данных, но этот объем информации, как правило, имеет высокую ценность.
Уровень шума: Концепция Honeypot предполагает отсутствие ожидаемой производственной активности, что существенно снижает уровень шума. Вместо ежедневной фиксации большого количества информации, многие Honeypot получают несколько мегабайтов данных в день или еще меньше. Все собранные данные, вероятно, представляют собой сканирование, зондирование или попытки атаки – информацию, которая обладает высокой ценностью.
Honeypot предоставляют точные данные в удобном формате, упрощая анализ и ускоряя реакцию. Например, Honeynet Project собирает менее 1 МБ данных в день, но они в большей степени содержат вредоносную активность. Эти данные позволяют проводить статистическое моделирование, анализировать тенденции, обнаруживать атаки и анализировать характеристики злоумышленников – как микроскоп, обнаруживающий детали.
Кроме того, Honeypot помогают избежать исчерпания ресурсов в системах безопасности. Например, они предотвращают блокировку брандмауэра из-за переполнения таблицы соединений и снижают риск переполнения буферов датчика IDS при высоком объеме сетевой активности.
Исчерпание ресурсов в IDS может привести к упущению атак, но Honeypot обычно не сталкиваются с этой проблемой. Например, большинство IDS-сенсоров не могут эффективно обработать высокоскоростные гигабитные сети из-за большого объема трафика, что может привести к упущению потенциальных атак. В то же время как Honeypot, функционируя в той же сети, фокусируется только на активности, направленной на него, и не перегружается общим трафиком.
Honeypot экономят деньги за счет низких требований к ресурсам, их можно развернуть на доступном оборудовании. Они также просты в использовании, не требуя сложных алгоритмов, баз данных сигнатур и настроек, что делает их надежными благодаря простоте.
Honeypot уменьшают ложные тревоги, так как все взаимодействия с ними считаются подозрительными, и они не зависят от заранее известных сигнатур атак, в отличие от IDS.
Honeypot ограничены в противодействии современным атакам из-за следующих факторов: Современные атаки становятся всё более масштабными и сложными, что выходит за рамки возможностей Honeypot; Киберпреступность вышла на новый уровень и представляет собой высокоорганизованные теневые структуры, что делает Honeypot менее эффективными. Ошибки в настройках программного обеспечения, действия инсайдеров и другие человеческие аспекты добавляют сложности в борьбе с атаками.
Типы Honeypot
Существует главным образом два типа Honeypot: Производственные Honeypot; Исследовательские Honeypot. Производственные Honeypot используются для защиты организации, в то время как исследовательские Honeypot используются для экспериментов и исследований.
Производственные Honeypot легко внедряются, захватывают ограниченное количество информации и в основном используются компаниями или корпорациями. Они размещаются внутри производственной сети с другими серверами организации для улучшения общего уровня безопасности. Они приносят пользу безопасности конкретной организации и помогают смягчить риски. Обычно производственные Honeypot предоставляют меньше информации об атаках или атакующих, чем исследовательские Honeypot.
Исследовательские Honeypot часто очень сложны в развертывании. Основные цели исследовательских Honeypot – собрать обширную информацию о мотивах и тактике сообщества Blackhat, направленной на различные сети. Следует отметить, что исследовательские Honeypot не добавляют прямой ценности конкретной организации; вместо этого они используются для исследования угроз, с которыми сталкиваются организации, и изучения способов более эффективной защиты от этих угроз. Исследовательские Honeypot сложны в развертывании и поддержке, захватывают обширную информацию и, используются исследовательскими, военными и правительственными компаниями.
Исследовательские Honeypot предоставляют обширные данные об атакующих, но связаны с большими рисками и необходимо больше стараний для администрирования, что может потенциально снизить безопасность организации.
Инсталляция и конфигурация Honeypot обусловлена его сложностью и функциональностью, требуя соответствующих усилий и времени. Более сложные Honeypot требуют дополнительных конфигураций и настройки. Действие бывает простым, средним или сложным, в зависимости от требуемых параметров и уровня конфигурации.
Сбор информации обусловлен типом Honeypot. Honeypot может получать обширную информацию, тогда как имитация системного сервиса ограничивает сбор данных. Процесс бывает простым, разнообразным или расширенным в зависимости от конфигураций Honeypot и его способностей для сбора событий.
Уровень протоколирования определяет детализацию записи информации. Чем больше уровень - более подробная информация предоставляется. Невысокий уровень фиксирует базовые данные, включая IP источника и отправляемую информацию. Средний уровень документирования может содержать в себе обе черты протоколов взаимодействия, в том числе время и идентификаторы. Высокий уровень протоколирования используется при высокой степени взаимодействия, записывая все что происходит в системе.
Уровень имитации отражает степень подражания приложению или услуге. Простой уровень ограничивается отправкой простого сообщения. Средний уровень более детально имитирует сервис, учитывая его характеристики. Высокий уровень имитации включает полную реализацию функциональности сервиса, приближаясь к полной эмуляции. Уровень имитации также учитывает действия на возможную атаку.
Уровень риска связан с вероятностью возникновения опасностей при эксплуатации Honeypot. Эта вероятность растет с увеличением технических возможностей Honeypot, что потенциально может предоставить больше возможностей для атак. Низкий уровень риска может означать потенциальную угрозу только для фиктивного сервиса. Средний уровень риска возникает при имитации нескольких сервисов, а большой уровень риска связан с высокой степенью взаимодействия.
Есть типизация Honeypot по уровню взаимодействия с возможным атакующим. Три основных типа Honeypot:
- слабого взаимодействия;
- среднего взаимодействия;
- сильного взаимодействия.
Отдельный вид Honeypot обеспечивает конкретный уровень взаимодействия и функциональность с атакующим. С начальным уровнем взаимодействия функции Honeypot постепенно расширяется, как показано стрелками на рисунке. С ростом функциональности меняются значения признаков для всех видов Honeypot.
Honeypot слабого взаимодействия
Honeypot легок в установке и обслуживании, имитируя ограниченный набор сервисов. Например, он может эмулировать обычный Unix-сервер с ограниченными функциями, такие как telnet и FTP. Злоумышленник в теории может попытаться установить соединение, но коммуникация ограничена до конкретного взлома пароля, регистрируемых Honeypot. На этом моменте настоящей ОС нет, и коммуникация завершается.
Другой вариант – имитация FTP-сервера, к которому нарушитель хочет попытаться получить доступ с использованием неизвестной учетной записи, в надежде получить данные с паролями. Однако в конкретном примере доступна лишь анонимная учетная запись, и данные с паролями фиктивен. Связь с Honeypot ограничивается возможностью аутентификации, анонимным доступом и попытками загрузить фиктивный файл с паролями.
Ресурсы Honeypot слабого взаимодействия предназначены для обнаружения несанкционированных активностей, включая сканировие и неправомерный доступ. Они обычно представлены в виде ПО, что облегчает их инсталляцию и настройку на хосте. Администратору требуется лишь отслеживать предупреждения, генерируемые Honeypot, и наблюдение изменений в имитируемом ПО.
Возможности Honeypot слабого взаимодействия — это решениемо с малым уровнем протоколирования и малым риском. Ограниченная функциональность уменьшает количество событий для протоколирования и снижает вероятность ошибок. Они не предоставляют реальную ОС для взаимодействия с нарушителями, их сложно использовать для атак или анализа других систем. Данные Honeypot относительно легко устанавливаются и поддерживаются, что также снижает риски.
Ресурсы Honeypot конкретного типа ограничены в объеме данных, предоставляемых о нарушителе. Слабо взаимодействующие решение дают транзакционную информацию, которая состоит из данных, собранных о ходе атаки, но не содержит информацию о самой атаке. Для Honeypot слабого взаимодействия это может означать следующее:
- дата атаки и время;
- IP-адрес и порт источника (нарушителя);
- IP-адрес и порт назначения (средства Honeypot).
В случае если имитируемые сервисы связываются с нарушителем, есть потенциал для наблюдения его активности. Однако количество доступной информации варьируется от функциональности и степени имитации Honeypot слабого взаимодействия.
Honeypot слабого взаимодействия собирают информацию о хорошо известных способах атак, и нарушитель связываются с ними, как с обычной системой, и получает заранее определенные реакции. Однако в случае нестандартных или неожиданных видов атак Honeypot слабого взаимодействия, очевидно, могут не предоставлять полезной информации или демонстрировать негативные результаты.
Honeypot слабого взаимодействия подходят для конкретных пользователей и малых организаций из-за своей простоты и малого риска. Они также могут оказаться полезны для изучения этой технологии в более глубоком плане.
Honeypot среднего взаимодействия
Возможности Honeypot среднего взаимодействия дают нарушителю больше возможностей, чем Honeypot слабого взаимодействия, однако ограниченную функциональность сравнительно Honeypot сильного взаимодействия. Они обнаруживают разнообразные активности и предоставляют несколько вариантов отчётов на взаимодействия нарушителя.
Для примера, имитируя IIS Web Server, Honeypot среднего взаимодействия должно быть настроен на разнообразные уровни функционирования и поведения, что позволяет выявить конкретные сетевые черви. Этот уровень взаимодействия является выше, чем у Honeypot слабого взаимодействия, который предоставляет лишь HTTP-баннер. В конкретном случае, мы можем записать действия червя для последующего исследования. Важно отметить, что полная ОС не предоставляется, что уменьшает риск, а вместо этого предоставляется имитированное ПО.
Иным наглядным примером Honeypot среднего взаимодействия считаются конкретные функции ОС, к примеру "chroot" в Unix или Virtual Machine Ware (VMWare) в Windows. Они предоставляют возможность администратору делать виртуальные ОС внутри настоящей системы, которые могут быть под контролем реальной ОС. Внешне эти виртуальные окружения могут оказаться практически неотличимы от реальных ОС.
Тем не менее этот метод имеет свои ограничения. Во-первых, он сложен и подвержен ошибкам при развёртывании и использовании. Во-вторых, создание полностью функциональных виртуальных окружений, способных взаимодействовать с реальной ОС, требует значительных усилий. Более реалистичные окружения могут дать нарушителям больше способов для обхода и получения контроля над настоящей системой. Поэтому многие Honeypot среднего взаимодействия ограничивают функционал, чтобы уменьшить риски.
Honeypot среднего взаимодействия требует более сложного развертывания и настройки в сравнение с Honeypot слабого взаимодействия. Обычно такие решения не предоставляются в виде готового программного продукта. Их внедрение и использование требует тщательной настройки для определения желаемого уровня взаимодействия и возможностей.
Эксплуатация и обслуживание Honeypot среднего взаимодействия также является более сложной. Большая степень взаимодействия с нарушителем требует специальных мер безопасности, чтобы предотвратить возможное повреждение других систем. Регулярное обслуживание и наблюдение актуальных уязвимостей вместе с тем необходимы.
Honeypot среднего взаимодействия сложнее и несут дополнительный риск, но способны собирать куда больше данных, включая деятельность сетевых червей и действия нарушителей, а также анализ ситуации системы после взлома, включая методы доступа и использованные инструменты.
Honeypot сильного взаимодействия
Возможности Honeypot сильного взаимодействия имеют значительные риски и требуют много времени и ресурсов для установки и поддержки. Они предоставляют нарушителям доступ к настоящей ОС без ограничений, что может привести к исследованию новых инструментов, выявлению уязвимостей и анализу взаимодействия между нарушителями.
Создание среды средств Honeypot сильного взаимодействия не требует изменений в реальных операционных системах и имеет стандартные настройки, похожие на обычные производственные системы. Основное различие заключается в их отсутствии производственной ценности, так как они создаются для анализа, атак или компрометации. Эти средства предоставляют полноценный доступ нарушителям, что сопряжено с высоким риском и требует значительных усилий по уменьшению этого риска.
Honeypot сильного взаимодействия чаще всего размещаются в контролируемой сетевой среде, например, за межсетевым экраном. Уровень контроля над действиями злоумышленника во многом зависит от настроек межсетевого экрана, который ограничивает его способность выполнять внешние атаки. Важным аспектом является детальное определение набора правил для межсетевого экрана.
Honeypot сильного взаимодействия требует значительных трудов и времени для развертывния и настройки. В него можно интегрировать разные технологии безопасности, но поддержка усложняется актуализацией правил межсетевого экрана и сигнатур найденых атак. При более высоком уровне взаимодействия с нарушителем повышается риск допущения ошибок. Однако после правильной конфигурации Honeypot сильного взаимодействия способен предоставить уникальную информацию.
Каждый из упомянутых видов Honeypot обладает соответствующими характеристиками в рамках первичной классификации. Таблица 1 демонстрирует сопоставление классификаций в зависимости от уровня взаимодействия и конкретных признаков.
Таблица 1.
|
Honeypot взаимодействие
|
Процесс установк-и настройки |
Процесс использование и поддержки |
Сбор данных
|
Уровень протоколи-рования |
Уровень имитации |
Уровень риска |
|
слабое |
простой |
простой |
ограниченный |
низкий |
низкий |
низкий |
|
среднее |
средний |
средний |
переменный |
средний |
средний |
средний |
|
сильное |
сложный |
сложный |
расширенный |
высокий |
высокий |
высокий |
Список литературы
- Шемякин С.Н., Гельфанд А.М., Орлов Г.А. Критическая информационная инфраструктура. Сборник научных статей по итогам работы Международного научного форума. Том 1. – М.:2020. – 114 - 118 с.
- Карельский П.В., Ковцур М.М., Миняев А.А. Особенности развертывания Security Operations Center при организации удаленного доступа к инфраструктуре компании. Актуальные проблемы инфотелекомунникация в науке и образовании – М.:2021. – 433-437 с.
- Красов А.В., Гельфанд А.М., Коржик В.И., Котенко И.В., Петрив Р.Б., Сахаров Д.В., Ушаков И.А., Шариков П.И., Юркин Д.В. Построение доверенной вычислительной среды. М.:2019. – 108 с.
- Буйневич М.В., Ганов Г.А., Израилов К.Е. Интеллектуальный метод визуализации взаимодействий в интересах аудита информационной безопасности операционной системы. М.:2020. – 67 – 74 с.
- Красов А.В., Петрив Р.Б., Сахаров Д.В., Сторожук Н.Л., Ушаков И.А.
- Масштабируемое Honeypot-решение для обеспечения безопасности в корпоративных сетях, «Труды учебных заведений связи». 2019. Т. 5. № 3. С. 86-97.
Template by Webgau.de