Что такое медовая точка?

Как медведи всегда ищут сладкие лакомства вроде меда, так и хакеры пускают слюни при мысли о недостаточно защищенном сервере. Хотя может показаться, что у хакера и его млекопитающего родственника, медведя, не так много общего, оба они часто ассоциируются с образом медовой точки. В мире ИТ «медовые точки» — это механизмы безопасности, которые администраторы используют для того, чтобы приманить хакеров, заставляя их проводить свои атаки на заранее определенных сайтах-обманках или серверах, надеясь при этом выявить виновных. Honeypots имитируют сетевые службы или прикладные программы, чтобы привлечь хакеров и защитить систему от повреждений. Как правило, для создания honeypots могут использоваться как клиентские, так и серверные технологии.

• Серверные honeypotting: основная идея серверных honeypots заключается в том, чтобы изолировать злоумышленников в изолированных областях ИТ-системы и, таким образом, держать их подальше от критически важных компонентов сети. Кроме того, honeypots дают возможность отслеживать действия хакеров. Для этого honeypots могут имитировать серьезные приложения, которые размещают одну или несколько служб (например, веб-сервер) в целевой сети. Если хакер будет одурачен отвлекающим маневром и попытается взломать вашу систему, эта активность привлечет внимание к honeypot и вызовет сигнал тревоги или ответные меры. В самом идеальном случае серверные «медовые точки» предоставляют информацию о том, как проходят автоматизированные или ручные атаки, так что администраторы получают данные, позволяющие им защитить свои системы от будущих атак.

• Клиентский honeypotting: Клиентская точка имитирует прикладное программное обеспечение, использующее серверные службы. Ярким примером этой технологии является имитация браузера, который ищет и посещает сомнительные веб-сайты с целью сбора информации о рисках безопасности. Если в результате атаки на браузер или плагин браузера происходит атака, то этот процесс отмечается. Оценка обнаруженных данных помогает улучшить смоделированное программное обеспечение.

Научно-исследовательские институты, государственные органы и военные используют так называемые исследовательские «медовые точки», чтобы получить информацию о новых моделях атак и затем сделать эту информацию общедоступной в Интернете на благо интернет-сообщества. В компаниях этот тип механизма безопасности используется, прежде всего, для защиты сети компании. С этой целью администраторы устанавливают так называемые производственные «медовые точки» в местах сети, которые обычно не посещаются во время обычной работы и недоступны ни для сотрудников, ни для клиентов. Цель состоит в том, чтобы направить злоумышленников в более безобидные области, привлекая их к имитируемым брешам в системе безопасности. Каждая атака на эти неактивные системы регистрируется, отслеживается и анализируется.

Если несколько honeypots объединяются для имитации целой сети, предлагая хакерам особенно привлекательную цель, то такая тактика относится к так называемой «медовой сети».

Обычно в распоряжении администраторов есть две различные возможности для создания honeypots: honeypots либо реализуются в виде физических систем, либо на основе программного обеспечения:

• Физическая медовая точка: физические медовые точки включают в себя независимые компьютеры, подключенные к сети со своими собственными адресами.

• Виртуальная точка: виртуальная точка — это логическая система, которой присваиваются физические ресурсы компьютера с помощью программного обеспечения виртуализации.

В обоих случаях honeypot изолирован, что означает, что злоумышленники не могут атаковать продуктивную систему из ложной системы.

Цель «медовых точек» — остаться незамеченными. Чем дольше атакующий может быть обманут, тем больше информации о его стратегии и методах может накопить система. Важным критерием, используемым для классификации honeypots, является оценка степени взаимодействия с атакующим. В этом контексте различают серверные и клиентские, а также малоинтерактивные и высокоинтерактивные honeypots.

• Медовые точки с низким уровнем взаимодействия: Медовые точки с низким уровнем взаимодействия основаны на имитации реальных систем или приложений. Здесь сервисы и функции имитируются лишь в той степени, в которой на них может быть проведена атака.

• Медовые точки с высоким уровнем взаимодействия: медовые точки с высоким уровнем взаимодействия обычно включают реальные системы, предлагающие серверные услуги, которые должны быть хорошо охраняемыми и защищенными. Если высокоинтерактивная точка не будет должным образом защищена производственной системой, то в систему, которую вы пытаетесь защитить, может быть осуществлено проникновение. Другая потенциально опасная возможность заключается в том, что с защищенного сервера могут быть запущены атаки на другие онлайн-серверы.

Простейшая версия серверных honeypots включает в себя одно приложение, которое эмулирует (т.е. воспроизводит) сетевые службы, включая установку соединения. Учитывая, что атакующие на этот тип honeypot могут взаимодействовать с имитируемой системой лишь ограниченным образом, тип информации, которую можно получить о злоумышленниках через honeypots с низким уровнем взаимодействия, относительно ограничен. Поэтому хакеры, как правило, способны относительно быстро разоблачить эти серверные honeypots. По этой причине данный тип механизма безопасности предпочтителен для искоренения автоматизированных атак на основе вредоносного ПО. Известным решением с открытым исходным кодом, с помощью которого можно установить серверные «мед-поты» с низким уровнем взаимодействия, является Honeyd.

• Honeyd: опубликованный под лицензией GPL, Honeyd позволяет администраторам создавать различные виртуальные хосты в компьютерной сети. Он может быть настроен таким образом, что позволяет реплицировать различные типы серверов, делая возможным копирование всей системы, включая стек протоколов TCP/IP. Однако это программное обеспечение все еще относится к числу медовых ботов с низким уровнем взаимодействия, поскольку Honeyd не имитирует все параметры системы, что означает, что хакеры могут быстро просмотреть систему. Судя по всему, программное обеспечение не разрабатывалось с 2008 года.

Клиентские honeypots с низким уровнем взаимодействия (также известные как honeyclients) — это программы, позволяющие пользователям эмулировать различные типы браузеров. Пользователи имеют возможность посещать веб-сайты и записывать атаки на эти эмулируемые браузеры. Известные медовые клиенты с открытым исходным кодом с ограниченной интерактивностью включают HoneyC, Monkey Spider и PhoneyC.

• HoneyC: малоинтерактивный Honeyclient HoneyC позволяет пользователям идентифицировать вредоносные серверы, найденные в Интернете. Вместо полнофункциональной операционной системы и соответствующего клиентского программного обеспечения HoneyC использует эмулированный клиент, который проверяет ответы сервера на наличие вредоносного содержимого. Фундаментальная структура программы состоит из трех компонентов: механизм посетителя отвечает за взаимодействие с сервером и эмулирует различные веб-браузеры с помощью модулей. Механизм очереди создает список серверов, который обрабатывается механизмом посетителя. Оценка взаимодействия с веб-сервером осуществляется через механизм анализа, который после каждого посещения проверяет, было ли нарушено правило безопасности программы.

• Monkey Spider: Monkey Spider — это веб-краулер, который может быть использован в качестве honeyclient с низким уровнем взаимодействия. Для этого программа просматривает веб-сайты программного обеспечения и ищет вредоносный код, который может представлять угрозу для веб-браузера.

• PhoneyC: написанный на языке Python, PhoneyC представляет собой «мед-клиент», с помощью которого можно имитировать различные веб-браузеры для проверки веб-сайтов на наличие вредоносного содержимого. Программа способна обрабатывать такие языки сценариев, как JavaScript или VB script, и поддерживает функции деобфускации, которые позволяют разгадать вредоносный код. Более того, PhoneyC поддерживает множество различных методов анализа веб-сайтов, например, антивирусный движок с открытым исходным кодом ClamAV.

Администраторы, желающие использовать серверные honeypot с большим количеством возможностей для взаимодействия, обычно используют полнофункциональный сервер, установленный в качестве ложной системы. Он может быть установлен либо на реальном оборудовании, либо в виртуальной среде. В то время как мед-поты с низким уровнем взаимодействия в первую очередь предназначены для выявления и анализа автоматических атак, мед-поты с высоким уровнем взаимодействия нацелены на борьбу с атаками, выполняемыми вручную.

Серверные honeypotting особенно перспективны, когда цель состоит в том, чтобы приманить хакеров особенно привлекательной целью с высокой степенью интерактивности. Однако такая установка требует гораздо больше времени, чем простые программные решения, которые просто имитируют функции сервера. Когда в качестве «точки меда» используется реальный сервер, всегда существует опасность, что злоумышленник может использовать проникшую в него систему в качестве отправной точки для дальнейших онлайн-атак. Это может привести к дальнейшим последствиям, поскольку операторы серверов часто несут ответственность за любые действия, совершенные с их устройствами.

Для обследования серверов, установленных в качестве «медовых точек», необходимы специальные инструменты мониторинга. К таким инструментам относится свободно распространяемый Sebek. Высокоинтерактивная среда honeypot может быть реализована с помощью программного обеспечения Argos.

• Sebek: инструмент сбора данных Sebek используется в высокоинтерактивных honeypots для наблюдения за хакерами и сбора данных о деятельности, связанной с безопасностью. По сути, программное обеспечение состоит из двух различных компонентов: клиент работает на honeypot и собирает все действия хакеров, такие как записи, загрузка данных и пароли, и передает их на сервер протокола, который может работать на независимой системе.

• Argos: высокоинтерактивная среда медовой точки, Argos, основана на модифицированном аппаратном эмуляторе QEMU. Программное обеспечение поддерживает различные гостевые операционные системы, которые выполняются в виртуальной машине и представляют собой honeypot. Для распознавания и регистрации атак Argus работает без дополнительного программного обеспечения для мониторинга. Входящий трафик данных, который достигает honeypot через сетевую карту, автоматически «запятнан» и отслеживается. То же самое относится и к данным, которые были сгенерированы на основе испорченных данных. Дополнительные вычислительные усилия, необходимые для эмуляции операционной системы и анализа данных, означают, что Argos работает значительно медленнее, чем производительные системы, работающие на сопоставимом оборудовании.

Медовые точки с высоким взаимодействием клиентов — это программные решения, которые работают на реальных операционных системах и используют стандартные веб-браузеры для регистрации атак, исходящих с онлайн-серверов. К распространенным инструментам здесь относятся Capture-HPC и mapWOC.

• Capture HPC: высокоинтерактивный honeyclient Capture-HPC использует архитектуру клиент-сервер. Здесь сервер определяет, какие веб-сайты должны быть посещены, и проверяет различные клиенты. Затем они вызывают заранее определенные сайты и отправляют данные о результатах обратно на сервер. Возможные клиенты включают различные веб-браузеры, офисные приложения, программы для чтения PDF или медиаплееры.

• mapWOC: Также бесплатно, mapWOC (сокращение от massive automated passive Web Observation Center) загружает веб-сайты с помощью реальных браузеров. Они запускаются на виртуальных машинах, чей трафик данных с клиентами постоянно отслеживается. Это делается для того, чтобы регистрировать и анализировать такие атаки, как drive-by-downloads. Основные компоненты mapWOC используют хост-систему Debian Squeeze, KVM для виртуализации и ClamAV для проверки вредоносного ПО.

Honeypots обычно используются для дополнения других компонентов ИТ-безопасности, таких как система обнаружения вторжений (IDS) и брандмауэры. Одним из аспектов, делающих honeypots особенно ценным активом, является их способность собирать высокорелевантные данные, которые могут помочь администраторам получить ценную информацию. Учитывая, что honeypots не выполняют никаких реальных сетевых функций, любая активность, происходящая в этой системе управления, представляет собой потенциальную угрозу. Все данные, собранные honeypots, имеют отношение к безопасности вашей системы. С другой стороны, если осуществляется мониторинг продуктивных систем, то такой тип анализа данных требует дополнительного технологического этапа, на котором данные, имеющие отношение к атаке, должны быть отфильтрованы из всего набора данных системы.

Однако следует учитывать, что не каждый honeypot способен предоставить ценную информацию. Если предлагаемая приманка слишком непривлекательна или ее трудно найти, то может случиться и так, что атаки не произойдет. Это означает, что все инвестиции, сделанные в системы безопасности, были напрасной тратой денег.

Honeypots могут помочь раскрыть важнейшие данные для компаний, но они также представляют дополнительные риски. Учитывая, что система-обманка стремится активно приманивать хакеров, всегда существует риск, что взлом honeypot может привести к дальнейшим повреждениям в сети. Этот риск можно снизить путем максимального разделения между honeypots и продуктивными системами, а также путем постоянного мониторинга всех действий внутри систем-приманок. Кроме того, важно учитывать, что взломанная система может привести к тому, что хакеры воспользуются ею для проведения внешних атак. Чтобы предотвратить использование honeypots в качестве отправной точки для атак, очень важно свести исходящие соединения к абсолютному минимуму.

Если высокоинтерактивный серверный honeypot оснащен теми же системами безопасности, что и продуктивная система, то его можно использовать для реализации мер контроля качества. В этом случае собранные данные позволяют получить прямую обратную связь о том, насколько эффективна система безопасности. Если проникновение зарегистрировано в honeypot, то важно также проверить, была ли проникнута продуктивная система. Более того, обе системы должны быть скорректированы для защиты от будущих атак схожего типа.

В прошлом прокуроры использовали honeypotting для поимки преступников, ищущих незаконный контент. Кроме того, часто обсуждается вопрос о том, могут ли владельцы авторских прав использовать honeypotting для того, чтобы попытаться превзойти распространение защищенного авторским правом контента.

Согласно отчету, опубликованному CNet, в 2006 году ФБР разместило на форумах ссылку, которая якобы вела на контент, содержащий детскую порнографию. Американские граждане, которые затем переходили по этим ссылкам, впоследствии посещались властями.

Honeypots также используются для расследования незаконных файлообменных платформ. Учитывая, что некоторые из них были отключены, а некоторые смогли остаться в сети, предполагалось, что как владельцы авторских прав, так и преследователи могли использовать их в качестве «медовых точек». Однако в зависимости от того, в какой стране вы живете, эта тактика может не иметь под собой законных оснований.