ТЕХНОЛОГИЯ HONEYPOT, КАК ПРЕВЕНТИВНЫЙ МЕТОД ОТ СЕТЕВЫХ АТАК

9 июля 9:03

Любая компания или организация, имеющая свою корпоративную сеть, выделяет время и средства на структуру информационной безопасности (ИБ), которая, в свою очередь, выполняет защиту 3 основных и главных свойств информации: конфиденциальность, целостность и доступность. Рано или поздно появляются злоумышленники, конкуренты, которые попытаются вторгнуться в сеть не с благими намерениями. Информация является важным ресурсом, её утрата и передача может привести к неприятным и плачевным последствиям. Для защиты от подобных событий придумано и классифицировано огромное количество информационных решений: антивирусное обеспечение, межсетевые экраны, процедуры идентификации и аутентификации и т.д. Помимо примитивного комплекса защиты ИБ существуют также системы обнаружения и предотвращения вторжений (IPS/IDS). Это набор программных и аппаратных средств, позволяющих выявлять и предотвращать попытки НСД (несанкционированный доступ).

Тем не менее, многие специалисты в области ИБ замечают, что в сетях последнее время стал преобладать нежелательный трафик, причём его количество значительно больше по сравнению с полезным объёмом данных. Современные средства защиты от сетевых атак в значительной мере помогают устоять от популярных атак, но что говорить о малоизвестных атаках или атаках нулевого дня, защиты от которых быть не может?

Технология Honeypot представляет из себя «горшочек с мёдом», то есть является «сладким» местом для хакеров. Теоретически идея скрытых ловушек была придумана ещё давно, но в настоящее время существует не так много практических решений.

Как именно реализован данный механизм на практике? Это может быть стандартная система, приложение или эмулятор системы, которая представляет из себя ловушку для злоумышленника. Honeypot создан для того, чтобы привлечь к себе внимание и навлечь на себя атаку. Ведь перед началом любой атаки злоумышленник анализирует представленную перед ним систему и выявляет её слабые стороны, он с большой вероятностью наткнётся на Honeypot. Таким образом, специалист по информационной безопасности сможет отследить начало серьёзной атаки и успеть предпринять ряд оборонительных действий.

Ещё одно преимущество Honeypots — это гибкая настройка под любую систему. Как инструмент ваш Honeypot может выполнять разные задачи: определять начало атаки, собирать информацию или рассказывать вам интересную информацию о действиях хакера (принято разделение – на производственные ловушки и исследовательские: первые занимаются защитой сетей, вторые для сбора информации). [1]

Вручную настраиваемые системы называются статическими. Их конфигурация определяется администратором и меняется только по его команде.  Системы, которые автоматически подстраиваются под изменения конфигурации называются динамическими. [2]

Главным отличием Honeypot от IBM систем (система обнаружения вторжения) является «фильтрация данных». Современные IBM системы собирают любую информацию о каждом действии в системе. В то время как «ловушки» просто включены в систему и не выполняют никаких функций и действий в ней. Следовательно, любое внешнее взаимодействие с Honeypot является с большой вероятностью хакерской атакой. Ведь намного удобнее анализировать небольшое количество данных с «ловушки», нежели обрабатывать тысячи предупреждений и десятки гигабайт логов.

Важно помнить, что Honeypot требует грамотной настройки, так как при отсутствии таковой он действительно может быть скомпрометирован сам. Также нужно учитывать, что Honeypot может быть настроен для эмуляции всех возможных систем — от серверов Apache до компьютеров Windows XP.

Цель Honeypot — навлечь на себя атаку или несанкционированное исследование. Такой встроенный механизм позволяет изучить стратегию злоумышленника и определить, каким образом могут быть нанесены удары по реально существующим объектам безопасности. [3] Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, единственная задача которого — привлечь внимание злоумышленников.

Cписок литературы:

  1. «Honeypot: ловушка для хакера №1». Статья. [Электронный ресурс] – Режим доступа: https://xakep.ru/2003/04/24/18282/ (дата обращения 20.11.2019)
  2. Dynamic Honeypots [Электронный ресурс]. Режим доступа: http://www.symantec.com/connect/articles/dynamic-Honeypots (дата обращения 20.11.2019)
  3. Как настроить собственный Honeypot. Статья. [Электронный ресурс] – Режим доступа: https://www.anti-malware.ru/practice/solutions/How-To-Setup-Your-Own-Honeypot (дата обращения 20.11.2019)