Технология Honeypot, Часть 1: Назначение Honeypot.

Технология Honeypot, Часть 1: Назначение Honeypot.

В общем случае, исследовательские Honeypot не уменьшают риск для организации, но полученная информация может быть применена на реальных системах, например, для улучшения предупреждения, обнаружения, возможностей протоколирования и необходимой реакции.

Anton Tarasenko [kshimaro@gmail.com]

Введение

Технология Honeypot - ресурс безопасности, назначение которого состоит в том, чтобы стать исследованным или подвергшимся нападению. Это означает, что независимо от того, какую структуру имеет средство Honeypot, цель состоит в том, чтобы данный ресурс был исследован, атакован и использован злоумышленником. Не имеет значения, чем является ресурс: имитируемым сервисом или полноценной операционной системой. Главное, что смысл функционирования ресурса заключается в нападении на него.

Исходя из данного определения, технология Honeypot заметно отличается от распространенных технологий обеспечения безопасности. Большинство технологий обеспечения безопасности, используемых сегодня, было спроектировано для решения какой-то одной задачи. Например, межсетевые экраны контролируют входящий и выходящий сетевой трафик и используются как средство блокирования несанкционированной активности. Системы обнаружения вторжений определяют атаки, производя мониторинг сети и системной активности.

Средства Honeypot отличаются от классических средств обеспечения безопасности, таких как межсетевые экраны или системы обнаружения вторжений, тем, что они не призваны решать какую-либо конкретную задачу. Напротив, Honeypot – гибкое средство, которое может быть применено в различных ситуациях. Например, средства Honeypot могут быть позволить предотвращать или обнаруживать атаки. По сути, Honeypot включают в себя некоторую функциональность практически всех средств обеспечения безопасности.

1. Назначение Honeypot

В отличие от таких механизмов, как межсетевые экраны и системы обнаружения вторжений, технология Honeypot не решает определенные задачи. Honeypot – это инструмент, который вносит свой вклад в полную архитектуру безопасности. Значение средств Honeypot и проблемы, которые они помогают решать, зависит от того, как данные средства построены, развернуты и используются. Средства Honeypot имеют определенные преимущества и недостатки, которые затрагивают их значение.

1.1 Преимущества Honeypot

Технологии Honeypot предоставляют аналитикам некоторые преимущества [1]:

  • сбор содержательной информации;
  • нетребовательность к системным ресурсам;
  • простота установки, конфигурирования и эксплуатации;
  • наглядность необходимости использования.

1.1.1 Сбор содержательной информации

Задача большинства механизмов безопасности, - это анализ собранных данных. Организации ежедневно собирают обширные объемы данных, включая файлы протокола межсетевых экранов, системные файлы регистрации событий и предупреждения систем обнаружения вторжений. Из-за большого количества данных процесс получения нужной информации представляется чрезвычайно трудным.

Средства Honeypot, с другой стороны, собирают очень небольшое количество данных, но то, что они действительно собирают, имеет обычно высокое значение. Вместо того чтобы регистрировать гигабайты данных каждый день, большинство Honeypot собирает несколько мегабайт данных в день, или даже меньше. Но данные, которые были зарегистрированы, наиболее вероятно являются сканированием, исследованием или атакой – то есть информацией, имеющей высокое значение.

Honeypot может дать точную информацию в быстром и легком для понимания формате. Это упрощает анализ и уменьшает время реакции. Например, проект Honeynet, группа, исследующая варианты построения Honeypot, собирает в среднем менее 1 мегабайта данных в день. Несмотря на то, что это - очень небольшое количество данных, они содержат, прежде всего, злонамеренную деятельность. Эти данные могут быть использованы для статистического моделирования, анализа действий, обнаружения нападений, или даже исследования злоумышленников. Объясняется это тем, что средства Honeypot не имеют никакого промышленного значения, и сделаны специально для того, чтобы “заманить” злоумышленника, таким образом, любое соединение, осуществленное с Honeypot, с высокой долей вероятности является исследованием хоста или атакой. Кроме того, в связи с небольшим количеством собираемой информации, достаточно легко сопоставить и идентифицировать то направление безопасности, которое не было проработано организацией.

1.1.2 Нетребовательность к системным ресурсам

В процессе функционирования механизмов безопасности необходимо контролировать параметры ограничения ресурсов для того, чтобы не возникла проблема нехватки ресурсов. Нехватка ресурсов - это, когда механизм безопасности больше не может продолжать функционировать, потому что его ресурсы исчерпаны. Например, функционирование межсетевого экрана может быть нарушено, потому что его таблица состояний полна, что привело к окончанию ресурсов, и межсетевой экран больше не может контролировать подключения. Это вынуждает межсетевой экран блокировать все подключения (или же наоборот – пропускать все запросы) вместо того, чтобы блокировать несанкционированную деятельность. Система обнаружения вторжений может использоваться для обработки интенсивного трафика, когда приходится контролировать и обрабатывать сотни мегабайт данных в секунду. Когда это случается, буферы датчика системы становятся полными, и приходящие пакеты могут быть отброшены. Ресурсы системы обнаружения вторжений будут исчерпаны, она больше не сможет эффективно контролировать сетевые взаимодействия, и потенциально может пропустить атаки. Другой пример - централизованные регистрационные серверы. Они могут не иметь возможности собрать все события от удаленных систем, таким образом, имея потенциальную возможность не зарегистрировать критические события. Поскольку средства Honeypot фиксируют и контролируют небольшую деятельность, они обычно не имеют проблем нехватки ресурсов. Большинство систем обнаружения вторжений испытывают трудности, контролируя сети, которые имеют большие пропускные способности. Скорость передачи данных и количество трафика являются просто слишком большими для датчика, чтобы проанализировать каждый пакет. В результате трафик отброшен, и потенциальные нападения пропущены. Honeypot, развернутый на той же самой сети, не столкнется с данной проблемой. Honeypot только фиксирует действия, направленные на него самого, таким образом, система не “переполняется” трафиком. Там, где система обнаружения вторжений может терпеть неудачу из-за нехватки ресурсов, Honeypot вряд ли будет иметь данную проблему. Дополнительным плюсом ограниченных требований средства Honeypot - то, что не требуется инвестировать большое количество денежных ресурсов в аппаратные средства для Honeypot. Средства Honeypot, в отличие от многих механизмов безопасности, типа межсетевых экранов или систем обнаружения вторжений, не требуют последней передовой технологии, обширные количества оперативной памяти, скорости чипа, или большого количества места на диске. Можно использовать компьютеры с достаточно невысокими показателями. Таким образом, Honeypot может не только работать в достаточно скоростной сети, но и при этом быть развернутым при достаточно дешевом техническом обеспечении.

1.1.3 Простота установки, конфигурирования и эксплуатации

Простота является самым значимым преимуществом технологии Honeypot. Нет никаких причудливых алгоритмов для развертывания Honeypot. Требуется лишь установить данное средство в организации и ждать результатов. Конечно же, существуют различные дополнительные решения для Honeypot – такие как база сигнатур атак, реакций и т.п. Но все, использующие Honeypot, оперируют одной предпосылкой: если кто-то соединяется с Honeypot, то это требует проверки. Здесь используется главный принцип: чем проще решение, тем оно надежнее. Повышение сложности неоспоримо ведет к возможным ошибкам конфигурации и работы системы в целом.

1.1.4 Наглядность необходимости использования Honeypot

Межсетевые экраны, блокируя действия злоумышленников, становятся жертвами их собственного успеха. Руководство может начать подвергать сомнению возвращение своих денежных вложений в безопасность, поскольку они чувствуют, что нет больше угрозы: "Мы вкладывали капитал и развернули межсетевой экран, и мы никогда не подверглись нападению. Почему мы нуждаемся в межсетевом экране, если нас никогда не атаковали?" Причина, по которой они никогда не были атакованы, - межсетевой экран, который помогает и уменьшает риск. Инвестиции в другие технологии безопасности, такие как сильная идентификация, шифрование, стоят перед той же самой проблемой. В них вкладывается большое количество денежных средств, ценное время организаций и ресурсы, но они могут стать жертвами их собственного успеха.

Напротив, средства Honeypot быстро и неоднократно демонстрируют свое значение. Всякий раз, когда они подвергаются нападению, так или иначе, подтверждается наличие злоумышленников, фиксируя несанкционированную деятельность.

Honeypot может использоваться, чтобы выровнять или уточнить не только свое собственное значение, но и инвестиции в других ресурсах безопасности. Когда управление чувствует, что нет никаких угроз, Honeypot может эффективно доказать, что большой риск действительно существует.

1.2 Недостатки Honeypot

C учетом всех объявленных преимуществ, можно предположить, что средство Honeypot будет окончательным решением для осуществления безопасности. К сожалению, это не так. Средства Honeypot имеют несколько недостатков. Именно из-за этих недостатков Honeypot не заменяют никаких механизмов безопасности; они только работают и расширяют полную архитектуру безопасности.

Главными проблемами средств Honeypot являются [1,2]:

· ограниченная область видения;

· возможность раскрытия Honeypot;

· риск взлома Honeypot и атаки узлов посторонних организаций.

1.2.1 Ограниченная область видения

Самый большой недостаток средств Honeypot - узкая область видения. Honeypot осуществляют мониторинг деятельности, которая направлена против них. Если действия атакующего направлены на различные подсистемы сети, то Honeypot не будет обнаруживать данную деятельность, если она не направлена непосредственно на Honeypot. Если злоумышленник идентифицировал Honeypot, то он может попытаться обойти его и проникнуть в организацию. Таким образом, очень ограниченная область видения Honeypot может исключить события, случающиеся вне данной области.

1.2.2 Возможность раскрытия Honeypot

Другой недостаток средств Honeypot – это возможность осуществлять возможность раскрытия Honeypot злоумышленником. Возможность раскрытия Honeypot злоумышленником – это сбор информации, с использованием которой злоумышленник может идентифицировать истинную сущность Honeypot, потому что он имеет определенные ожидаемые характеристики или особенности поведения. Например, Honeypot может имитировать работу Web-сервера. Всякий раз, когда злоумышленник соединяется с этим определенным типом Honeypot, Web-сервер отвечает, посылая общее сообщение об ошибках, используя стандартный HTML. Это - точный ответ, который мы ожидали бы для любого Web-сервера. Однако имеется орфографическая ошибка в одной из команд HTML, такой как проверка правописания длины слова - “legnht”. Эта орфографическая ошибка теперь является особенностью для данного Honeypot, и любой злоумышленник может быстро идентифицировать данный Honeypot из-за этой ошибки в имитации. Неправильно эксплуатируемый Honeypot может также идентифицировать себя. Например, Honeypot может быть спроектирован так, чтобы подражать NT IIS Web-сервер, но Honeypot также имеет определенные характеристики, которые идентифицируют его как UNIX-сервер Solaris. Эти противоречащие данные могут действовать как сигнатура для Honeypot. Существуют разнообразные методы, чтобы отличить настоящую систему или сервис от средства Honeypot.

Раскрытие Honeypot может негативно повлиять и со следующей стороны: злоумышленник, идентифицировавший Honeypot, начинает с ним взаимодействовать и, таким образом, ложно приводит администраторов в готовность. Тем временем, злоумышленник может сосредоточиться на реальных нападениях. Возможность раскрытия Honeypot злоумышленником составляет еще больший риск для исследовательских Honeypot, которые будут рассмотрены позднее. Система была спроектирована для сбора полезных сведений. Злоумышленник может подать плохую информацию к исследовательскому Honeypot в противоположность уходу от обнаружения. В дальнейшем, обрабатывая данную информацию, могут быть сделаны неправильные выводы.

Нельзя говорить, что все Honeypot должны избегать обнаружения. Некоторые организации хотят лишь отпугнуть или смутить злоумышленников. Как только Honeypot подвергается нападению, он может идентифицировать себя и затем предупредить злоумышленника в надежде отпугнуть его. Однако в большинстве ситуаций организации не хотят, чтобы Honeypot был обнаружен.

1.2.3 Риск взлома и атаки на узлы посторонних организаций

Третий недостаток Honeypot – риск. Под риском подразумевается, что Honeypot, на который нападают, может использоваться, чтобы напасть или повредить другим системам или организациям.

Различные Honeypot имеют различные уровни риска. Некоторые вводят очень небольшой риск, в то время как другие предоставляют злоумышленнику все возможности, чтобы пойти в новые наступления. Чем проще Honeypot, тем меньше риск. Например, Honeypot, который просто имитирует несколько сервисов, сложно скомпрометировать и использовать для атаки других систем. Риск является переменным в зависимости от того, как каждый строит и развертывает Honeypot. Из-за своих недостатков, средства Honeypot не могут заменить другие механизмы безопасности, такие как межсетевые экраны и системы обнаружения вторжений. Скорее, они улучшают защиту, работая с существующими механизмами безопасности.

1.3 Роль Honeypot в информационной безопасности

Исходя из значения Honeypot, их преимуществ и недостатков, стоит проанализировать, какую роль они играют в информационной безопасности. Каким образом Honeypot влияют на безопасность организации и уменьшают суммарный риск? Существуют две категории, в зависимости от поставленных задач, которые ставятся перед средствами Honeypot, о которых немного упоминалось ранее: производственные (production) и исследовательские (research) Honeypot.

В зависимости от категории существует некоторое различие в том, какую цель ставят Honeypot в обеспечении информационной безопасности.

1.3.1 Использование производственных Honeypot

Производственные Honeypot - системы, помогающие понизить риск в организации или среде. Они оказывают определенное влияние на обеспечение безопасности систем и сетей. Данные Honeypot могут быть использованы для решения основных задач обеспечения информационной безопасности [3]:

  • предупреждение;
  • обнаружение;
  • протоколирование.

Предупреждение

В терминах безопасности, предупреждение означает осуществление функций, не позволяющих оказать какое-либо деструктивное влияние злоумышленнику на систему. Существует множество инструментов для предупреждения несанкционированной активности, например, межсетевые экраны, которые контролируют весь входящий и выходящий из сети трафик, или системы аутентификации, такие как стойкие пароли, цифровые сертификаты. Таким образом, существует возможность определить, кто авторизован для доступа к ресурсам. Такие механизмы, как шифрование, предостерегают злоумышленников от доступа к критической информации, например, паролям или конфиденциальным документам.

Какую же роль здесь играют Honeypot? Каким образом Honeypot сдерживают злоумышленников? Если Honeypot некорректно введен в эксплуатацию, то он может создать риск, предоставив злоумышленнику окно в организацию. При этом хитрость состоит в том, что злоумышленнику придется тратить свое время и ресурсы на взлом Honeypot, тогда как настоящая система будет находиться в безопасности.

Другая концепция основывается на том, что злоумышленников отпугнет установленный в организации Honeypot. В любом случае злоумышленник может решить не тратить время и ресурсы на взлом Honeypot. Обе концепции являются психологическим оружием для запутывания злоумышленника.

В то время как обман и сдерживание могут предотвратить нападения на производственные системы, большинство организаций сочтут более рациональным использовать свое время и ресурсы для обеспечения и улучшения безопасности систем. Ведь какой смысл будет в развертывании Honeypot, чтобы обмануть нападавшего, если системы организации все еще используют уязвимые сервисы, приложения, к которым требуется применить патчи, а персонал использует пароли, которые являются достаточно простыми? Обман и сдерживание могут внести свой вклад в предотвращение многих последствий, вызванных деятельностью злоумышленника, но не стоит считать данный подход панацеей.

Обман и сдерживание также не в состоянии предотвратить самые обычные из нападений. Большинство злоумышленников сосредоточено на нападении на большое количество систем. Они делают это с использованием подготовленных автоматизированных средств. Эти злоумышленники не тратят время, анализируя целевые системы. Они просто пытаются атаковать, поражая так много компьютеров, сколько возможно, и смотрят, что происходит. Для обмана или сдерживания злоумышленник должен не торопиться, чтобы ввести “плохую” информацию, дабы Honeypot проанализировал ее. Большинство злоумышленников сегодня не тратит время на анализ своих целей. Они просто нападают на систему и затем двигаются дальше. Обман и сдерживание спроектированы как психологическое оружие, чтобы смутить людей. В данном случае данное оружие терпит неудачу. Еще хуже, что большинство нападений даже не осуществляется людьми. Они обычно выполняются автоматизированными средствами, например, с использованием сетевых червей. Обман или сдерживание не смогут предотвратить нападения такого типа.

Обман и сдерживание могут работать для организаций, которые хотят защитить ресурсы высокого значения. В этих случаях существует злоумышленник, анализирующий информацию, которая идет от Honeypot. Цель состоит в том, чтобы смутить квалифицированных злоумышленников. В отличие от злоумышленников, которые сосредотачиваются на простом, эти атакующие тщательно выбирают свои цели и анализируют получаемую информацию.

В таком случае, средство Honeypot может использоваться, чтобы обмануть или удержать злоумышленника. При этом время и ресурсы, вовлеченные в развертывание Honeypot для того, чтобы предотвращать нападения, особенно при предотвращении, основанном на обмане или сдерживании, лучше использовать для улучшения имеющейся безопасности системы, т.к. Honeypot не сможет предотвратить имеющиеся уязвимости в системе.

Обнаружение

Вторая задача - обнаружение; процесс обнаружения и оповещения о несанкционированной деятельности. Рано или поздно, предупреждение потерпит неудачу, и злоумышленник сможет проникнуть в систему. Существует несколько причин, почему данное событие может случиться: в правилах межсетевого экрана может быть обнаружена ошибка, сотрудник мог использовать простой пароль, или же в приложении обнаружена новая уязвимость. Есть достаточное количество методов, чтобы проникнуть в систему. Предупреждение может только смягчить риск, но никогда не сможет его устранить. Для выполнения рассматриваемой функции уже существуют такие технологии, как сетевые системы обнаружения вторжений – решение, спроектированное для контроля сети и обнаружения любой злонамеренной деятельности. Есть также программы, предназначенные для контроля системных файлов регистрации и их анализа на злонамеренные события. Эти решения не предотвращают нападения злоумышленников, но они имеют возможность сообщить, если данные нападения успешны. Каким образом средства Honeypot помогают обнаруживать злонамеренную или подозрительную деятельность? Тем временем, как Honeypot не вносят достаточное значение в предупреждение, они играют большую роль в обнаружении.

Процесс обнаружения в принципе относительно трудоемок, т.к. существуют такие понятия, как ложные срабатывания, пропуски и агрегация данных. Ложные срабатывания - это, когда система ложно выводит предупреждения о подозрительной или злонамеренной активности. В этом случае нормальный трафик может быть принят за попытку нападения или подозрительную деятельность. Пропуски - полная противоположность: система не в состоянии обнаружить нападение. Агрегация данных – суммирование всех данных, необходимых для обнаружения, для последующего анализа. Однократное ложное срабатывание – не проблема. Проблемы начинаются, когда ложные срабатывания случаются сотни или даже тысячи раз в день. Системные администраторы могут получить очень много предупреждений в течение одного дня, таким образом, обработать все предупреждения не будет представляться возможным. Данные системы становятся неэффективными, т.к. администраторы, в большинстве случаев, перестают обращать на них внимание. Точно также системные администраторы могут получать совсем небольшое количество предупреждений – и это может говорить о том, что в системе достаточное число пропусков. Проблема агрегации данных связана с тем, что данных – достаточно много: регистрационные журналы системы, журналы приложений – все эти данные необходимо агрегировать таким образом, чтобы в дальнейшем использовать для обнаружения.

Благодаря своей простоте, средства Honeypot эффективно соотносятся с данными тремя аспектами. Большинство средств Honeypot не имеет никакого промышленного трафика, таким образом, вероятность ложных срабатываний минимальна. Единственная возможность, когда может произойти ложное срабатывание, это когда произошла ошибка, например, какая-либо ошибка DNS-сервера или ошибочный запрос на сервер Honeypot. Во всех других случаях Honeypot генерирует корректные предупреждения.

Honeypot также не имеет проблем с пропусками атак. Фактически, одна из первичных выгод - они могут обнаружить новое нападение прежде всего на основании действий системной активности, а не сигнатур. Honeypot может использовать базу сигнатур для однозначного определения типа атаки, если ставится такая задача. Но все взаимодействие с Honeypot считается неправомерным, поэтому новые типы атак обнаруживаются точно так же, как и ранее известные. Простота Honeypot также решает и третью проблему: агрегацию данных. Honeypot создают достаточно небольшое количество данных, т.к. корректный трафик не учитывается. Нет никакого правильного промышленного трафика, который будет зарегистрирован. Honeypot генерируют только несколько мегабайт данных в день, большинство которых имеет высокое значение. Это делает чрезвычайно простым диагностировать полезную информацию от Honeypot.

Стоит сделать вывод, что Honeypot успешно помогают выполнять в осуществлении функций обнаружения, но никак не могут выступать единственным решением. Как и везде – здесь требуется помнить о главном аспекте информационной безопасности – безопасность должна осуществляться комплексно.

Протоколирование

Ранее упоминалась проблема агрегации собранных данных. С этой проблемой неоспоримо связана задача дальнейшего разбора информации с целью изучения действий злоумышленника. Как правило, большинство средств обеспечения безопасности генерирует достаточно объемные протоколы. Задача дальнейшего выделения необходимой для анализа информации может оказаться затруднительной.

Кроме того, существует потенциальная возможность вообще потерять информацию, если атакуемый компьютер будет поврежден злоумышленником. Средство Honeypot имеет несколько предпосылок для решения подобных проблем.

Во-первых, как уже неоднократно упоминалось, Honeypot собирает только необходимую информацию, поэтому задача выделения требуемой информации сводится к минимальной по временным затратам.

Во-вторых, средство Honeypot имеет возможность протоколировать информацию и отправлять протоколы на сторонний сервер, что предотвращает возможную потерю данных в случае взлома.

Когда атака была успешно обнаружена, требуется некоторым образом среагировать на данное событие. После взлома необходимо определить, оставил ли злоумышленник какие-либо черные ходы или логические бомбы, модифицировал или изъял доступную информацию, например учетные записи пользователей. Даже если злоумышленник применил методы сокрытия своих действий, такие как изменения файлов системной регистрации, эти действия все равно могут быть прослежены. Например, существует возможность определить каждый шаг злоумышленника, проанализировав атрибуты файлов. В большинстве операционных систем имеются данные по каждому файлу, когда к нему был осуществлен доступ, или он был изменен. Имеются автоматизированные средства, основанные на анализе параметров файлов, благодаря которым можно воспроизвести последовательность действий в системе. Но здесь имеет место следующая проблема. При большой активности в системе и сети различная правомерная деятельность происходит постоянно: запускаются процессы, используются и изменяются файлы, заполняется и освобождается память. Вероятность того, что действия злоумышленника будут потеряны или переписаны корректными событиями системы – достаточно велика. В результате даже с использованием имеющихся автоматизированных средств определить действия злоумышленника по поврежденным данным будет крайне трудно.

Еще одна проблема состоит в том, что после обнаружения атаки в большинстве случаев система должна быть остановлена для анализа. Однако в большинстве организаций остановить работу реальной системы не представляется возможным. На взломанном компьютере под защитой межсетевого экрана и системы обнаружения вторжений может находиться критический сервер, который используется всей организацией. Останов такого сервера может привести к большим потерям. Средство Honeypot решает и эти проблемы.

Как говорилось ранее, Honeypot не обрабатывает никакого правомерного трафика, весь трафик – подозрителен. Honeypot также не используется для внутриорганизационных нужд. Именно поэтому все действия злоумышленника, кроме того, что постоянно записываются, также могут быть восстановлены ранее приведенным способом, т.к. данные для восстановления не будут потеряны, повреждены или переписаны. Аналогично, останов сервера Honeypot никак не повлияет на работу организации, т.к. данный сервер не содержит никакой критической информации.

Таким образом, организации могут сфокусироваться на анализе полученных от Honeypot данных и применить впоследствии результаты к реальным системам. Honeypot – не является единственным решением для осуществления подобной реакции, это только инструмент, который помогает в данном вопросе. Первое решение, которое должно быть принято до инцидента, - создание резервных копий критических файлов, восстановительных дисковых образов или подготовка восстанавливающих программных средств. Honeypot, в свою очередь, раскрывает, каким образом и где именно осуществлял свою деятельность злоумышленник. Все рассмотренные функции, в дополнение к осуществлению которых может быть использовано средство Honeypot, как правило, необходимы организациям, цель которых – повысить свой уровень безопасности. Существует же возможность использования Honeypot с целью исследования поведения и средств злоумышленников.

1.3.2 Использование исследовательских Honeypot

Одна из самых больших проблем специалистов по безопасности - нехватка информации. Такие вопросы, как: кто является угрозой, зачем они атакуют, каким образом, какие средства используют, - часто остаются без ответов. Чтобы защититься от угрозы, требуется сначала знать о ней. Однако в информационном мире безопасности таких данных не много. Проблемой был источник данных. Традиционно, профессионалы безопасности узнавали о злоумышленниках, изучая используемые ими средства. Когда система была скомпрометирована, администраторы часто находили средства злоумышленников, оставленные ими на атакованной системе. Таким образом, делалось множество предположений, основанных на этих зафиксированных средствах. Эта методика подобна археологии, где обучаемые профессионалы пытаются понять вековые культуры, анализируя собранные материалы. Данная методика эффективна, но при этом существует возможность получить намного больше информации о злоумышленниках. Кроме исследования средств, имеет смысл идентифицировать злоумышленников, определить, насколько хорошо они организованы, и выявить их методы. Средства Honeypot могут помочь в изучении данных вопросов.

Исследовательские Honeypot имеют обширное значение, предоставляя платформу для изучения угроз. Какой лучший способ узнать о злоумышленниках, чем наблюдать за ними, записывая каждый их шаг, при нападении или компрометации системы? Вместо того чтобы только находить использованные злоумышленником средства, имеется возможность видеть, как злоумышленник исследует систему и начинает атаку. Существует возможность просматривать все, вплоть до нажатия клавиш, как только он получит доступ к системе. Значение такой информации огромно, использовать его можно совершенно по-разному. Например, исследовательские Honeypot могут быть применены:

  • при сборе информации об автоматизированных угрозах, таких как сетевые черви. Быстрый сбор информации положительно влияет на скорость реакции и дальнейшую нейтрализацию данных угроз;
  •  в качестве предсказательного механизма. Данные, собираемые Honeypot, могут быть использованы для статистического моделирования, предсказания новых вариантов атак;
  • для сбора ранее неизвестных средств и техник для осуществления атак;
  • для улучшения понимания мотиваций и организации злоумышленников. Благодаря сбору информации во время осуществления атаки, например, вариантов переговоров злоумышленников между собой, можно ответить на вопросы, кто есть угроза и зачем производится атака;
  • для сбора информации о достаточно квалифицированных злоумышленниках.

В общем случае, исследовательские Honeypot не уменьшают риск для организации, но полученная информация может быть применена на реальных системах, например, для улучшения предупреждения, обнаружения, возможностей протоколирования и необходимой реакции.

Следующая часть статьи называется “Классификация Honeypot”. В ней мы приведем признаки, классифицирующие средства Honeypot, расскажем о трех основных видах этих средств, а также попытаемся выдвинуть функциональные требования к реализации средств Honeypot на практике.

Список использованных источников в данной части:

  1. Lance Spitzner. Honeypots: Tracking Hackers. Addison Wesley, 2002.
  2. Honeypots: Monitoring and Forensics, 2002.

Доступно с http://honeypots.sourceforge.net.

  1. Lance Spitzner. Dynamic Honeypots, 2003.

Доступно с http://www.securityfocus.com/infocus/1731.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение