УДК 004.056

Использование Honeypot-систем с целью обеспечения безопасности критической информационной инфраструктуры

Урсегов Андрей Константинович – магистрант Санкт-Петербургского государственного университета телекоммуникаций им. проф. М. А. Бонч-Бруевича

Перминова Яна Александровна – магистрант Санкт-Петербургского государственного университета телекоммуникаций им. проф. М. А. Бонч-Бруевича

Аннотация: В статье рассматривается развитие средств обеспечения безопасности критической информационной инфраструктуры от киберугроз на основе актуальных кибератак на банковский сектор Российской Федерации. Представлено описание DDoS-атаки и ее основные типы. Предложена методика по обеспечению активной защиты от DDoS-атак типа SYN flood на основе honeypot-систем, которые могут уменьшить нагрузку на защищаемый объект за счет увеличения производительности сети при создании реплик веб-сервера, являющихся приманками.

Ключевые слова: honeypot, КИИ, информационная безопасность, DDoS-атака.

В последние годы в Российской Федерации в сфере информационной безопасности активно развивается направление по обеспечению защищенности критической информационной инфраструктуры (информационные системы, информационно-телекоммуникационные сети, которые являются ключевыми для обеспечения жизнедеятельности государства [1]), что связано с ростом кибератак.

Только за 2022 год, в сравнении с 2021, выросло количество кибератак на государственные учреждения на 25%, на частных лиц на 44% и на обычных пользователей на 17% [2]. Особенно выделялись на общем фоне атаки на финансовые организации.

Исходя из распоряжения правительства РФ от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» банки являются объектами КИИ, поскольку обеспечивают финансовые и экономические процессы в стране [1], но не смотря на высокий уровень безопасности в подобных организациях все равно происходят различные инциденты.

6 декабря 2022 руководство ВТБ сообщило, что они подверглись крупнейшей и широкомасштабной кибератаке за все время работы банка. По мнению руководства компании, атака носит спланированной характер, целью которой являлось нарушение работоспособности банка путем DDoS-атак на различные веб-сервисы ВТБ, что полностью приостановило работу компании, так как многие пользователи в тот день испытывали проблемы при оплате штрафов или иных финансовых операциях [3].

Кроме этого, в начале октября 2022 года подобная ситуация произошла со Сбербанком. Банк подвергся крупнейшей DDoS-атаке, в которой участвовало более 100 тысяч хакеров [4].

Все участники рынка на данный момент находятся в зоне риска для кибератак, так как злоумышленники не акцентируют внимание на масштабы финансовой организации. Однако, наибольшие потери могут понести те банки, которые выделяют крайне малы бюджеты на информационную безопасность, так как удачное киберпреступление может привести к закрытию организации.

Из-за стремительного роста технологий и способов реализации различных сетевых атак, необходимо постоянно развивать механизмы для обеспечения информационной безопасности в компании. Наиболее интересным и уникальным является решение, представленное в статье [5]. Авторы данного решения предлагают использовать honeypot-системы (информационные системы, способные имитировать уязвимые компоненты компьютерной сети, с целью привлечения внимания злоумышленников) в качестве активной защиты для противодействия DDoS-атакам.

Цель DDoS-атак – блокировка возможности обработки запросов от клиента сервисом. Существует множество различных типов подобных атак [2]. Далее представлены одни из самых распространенных типов:

• SYN flood строится на алгоритме трехэтапного рукопожатия TCP. Злоумышленник с большой скоростью отправляет на сервер запросы с поддельным IP-адресом источника на соединение, что приводит к полному заполнению памяти таблицы соединений;
• При UDP flood сервер-жертва получает большое количество UDP-пакетов от различных IP-адресов, что приводит к переполнению трафика в сетевом оборудовании в связи утилизации всей полосы пропускания.
• Ping of Death – дестабилизация или выведение из строя целевого компьютера путем непрерывного генерирования неправильно сформированных или слишком больших пакетов с помощью утилиты ping, что приводит к переполнению памяти.

В рамках исследования устойчивости решения выбрана DDoS-атака типа SYN flood, которая осуществляется по стандартному порту HTTP веб-сервера IIS. Объектом для нападения является лабораторный стенд, организованный в Microsoft Azure и эмитирующий корпоративную сеть реальной организации. Трафик сперва попадает на балансировщик, которому предоставлена максимальная производительность сети и на котором реализован анализатор трафика по следующим параметрам: IP-адрес источника, порт источника, IP-адрес назначения, порт назначения и номера протокола IP. В скрипте (программа, содержащая в себе последовательность действий, выполняемых операционной системой) прописано правило по отслеживанию нагрузки на процессоре и указаны пороговые значения, при которых происходит создание новых реплик виртуальной машины (далее – ВМ), являющихся приманками, которые способны эмулировать IIS веб-сервер средствами honeyd, и, соответственно, их удаление при снижении нагрузки.

В ходе атаки происходит нарастание нагрузки на ВМ, что является триггером системы для создания honeyd. Осуществляется горизонтальное масштабирование сервиса, увеличивается сетевая емкость системы за счет добавления ловушек, на которые будет перенаправляться трафик балансировщиком при выявлении аномалий или подозрительной активности, то есть увеличивается производительности сети, но при этом происходит снижение загрузки на основной веб-сервер.

Данная работа продемонстрировала возможность использования honeypot-систем в качестве эффективного средства защиты от DDoS-атак типа SYN flood, поскольку решение авторов статьи позволяет оказывать сервис клиентам в условиях активной защиты, что является актуальной проблемой для всех банков и объектов критической информационной инфраструктуры в целом. Стоит отметить, что подобная реализация защиты не требует многих вложений и может быть легко интегрирована уже в имеющую инфраструктуру компании, что в теории может значительно обезопасить бизнес.

Список литературы

1. Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // Правительство Российской Федерации.
2. Число кибератак на госучреждения России в 2022 году выросло на четверть. [Электронный ресурс]. URL: https://tass.ru/ekonomika/16981635. (Дата обращения: 11.06.2023).
3. ВТБ подвергся «беспрецедентной кибератаке». [Электронный ресурс]. URL: https://www.rbc.ru/finances/06/12/2022/638eed159a79472c176add86. (Дата обращения: 12.06.2023).
4. ЦБ рассказал о потерях банков из-за хакерских атак в 2022 году. [Электронный ресурс]. URL: https://www.vedomosti.ru/finance/articles/2023/02/22/964073-tsb-rasskazal-o-poteryah-bankov-iz-za-hakerskih-atak. (Дата обращения: 12.06.2023).
5. Красов А.В., Петрив Р.Б., Сахаров Д.В., Сторожук Н.Л., Ушаков И.А. Масштабируемое Honeypot-решение для обеспечения безопасности в корпоративных сетях // Труды учебных заведений связи. 2019. Т. 5. № 3. С. 86‒97. DOI:10.31854/1813-324X-2019-5-3-86-97.
6. Классификация DDoS: полное руководство по типам атак. [Электронный ресурс]. URL: https://ddos-guard.net/ru/blog/classification-of-ddos-attacks. (Дата обращения: 13.06.2023).