Honeypots: насколько полезны ловушки в защищаемой инфраструктуре?

Инструменты защиты от хакерских атак довольно разнообразны – есть и решения для аналитики, и сканеры, и инструменты, основанные на поведенческом анализе. Однако, и уровень хакеров год от года только растет, появляются новые виды ВПО, уязвимости и, как следствие – векторы атак, с которыми ИБ-служба конкретной компании ранее не сталкивалась.

В выявлении таких атак особенно помогают инструменты, нацеленные на то, чтобы спровоцировать злоумышленника выдать свое присутствие в инфраструктуре. Как правило, это инструменты вида Deception, к самым распространенным из которых можно отнести Honeypot.

В этой статье будут разобраны основные преимущества «технологии обмана», специфика создания и установки «ловушек» в инфраструктуре компании, их виды и эффективность. 

Суть технологии обмана

Deception – это совокупность технологий обмана, которые применяются специалистами по ИБ для детектирования и изучения хакерских атак. Традиционно, их принято относить к Intrusion Detection System (IDS) – системам обнаружения вторжений.

Важно понимать, что этот класс решений появился еще в конце прошлого века, и конкретная реализация метода может серьезно разниться в зависимости от специфики инфраструктуры. Однако, основной смысловой единицей, независимо от разного рода факторов, остается Honeypot («горшочек с медом»).

Ханипот – это цифровая ловушка, которая выглядит как «точка интереса» для потенциального злоумышленника, но не содержит в себе ничего ценного. Злоумышленник думает, что нашел чувствительные данные или «точку входа», для перемещения в инфраструктуре, но по факту – нашел «болванку», взаимодействие с которой служит сигналом для специалистов по ИБ о присутствии злоумышленника в системе. В современных условиях, вместо ханипотов часто используются decoys («ловушки»), отличающиеся от ханипотов наличием централизованного управления. 

Зачем нужны ловушки

Создание honeypot’а – это достаточно ресурсозатратная работа, требующая и времени, и соответствующей квалификации специалистов. В то же время, ловушка – это не средство защиты, поскольку она никаким образом не препятствует продвижению злоумышленника в инфраструктуре, – это средство обнаружения, эффективность которого зависит от целой совокупности факторов, начиная с качества проработки и заканчивая целями самого хакера, который атакует компанию.

При этом, штат ИБ-специалистов в компаниях очень редко оптимален для выполнения возложенных на них задач. Реагирование, проверки, анализ и настройка систем защиты отнимают достаточно много времени, и взваливать на ИБ-службу еще и работу над созданием и обслуживанием ханипотов, целесообразно далеко не всегда.

Востребованность Deception-технологий можно напрямую привязать к двум факторам:

1. Зрелость с точки зрения ИБ. Если компания уже выстроила глубокую оборону своей инфраструктуры и рассматривает разные способы дополнительно насытить ее – создание ханипотов может стать простым и сравнительно не затратным способом.
2. Уровень угрозы. Чем выше вероятность того, что компания может стать целью таргетированной или АПТ-атаки – тем выше востребованность в «нетривиальных» решениях для защиты инфраструктуры и обнаружения вторжений.

На каком конкретно уровне зрелости ИБ в компании следует внедрять технологии Deception – вопрос достаточно дискуссионный, но совершенно точно не на начальных этапах, когда нет отработанных процессов и практик взаимодействия с уже существующими системами и классами решений.

Как выглядит honeypot «в металле»

В актуальных условиях, Deception-технологии чаще всего используются для детектирования APT-атак. Поэтому, важно чтобы привлекательность ханипота не делала его слишком подозрительным – высококлассные киберпреступники могут просто не «клюнуть» на такую наживку.

Иван Шаламов

Product owner R-Vision Threat Deception Platform в компании R-Vision

Honeypot – система, созданная для имитации уязвимости, которую злоумышленник может попытаться атаковать. Технология является важным инструментом для обеспечения безопасности и позволяет организациям получить информацию не только о попытках атак, но и защитить реальные системы, предоставляя злоумышленникам виртуальную среду для атаки, в которой у них не будет возможности нанести никакого ущерба.

Honeypot может быть реализована как программное или аппаратное обеспечение. Технология имеет различные варианты настройки, все зависит от потребностей организации. Например, Honeypot может имитировать уязвимость веб-сервера, базы данных или роутера.

На практике, ханипот может быть симуляцией уязвимого ПК или учетной записи в системе, незащищенной базы данных или чем-то более масштабным, например – «подделкой» тестового стенда компании.

Что нужно учесть при создании ханипота

При создании приманки основная сложность не в техническом исполнении, а в самой задумке – важно, чтобы ханипот был действительно привлекателен для злоумышленника. Соответственно, если основную ценность для хакера представляют базы данных компании – это должна быть база данных, в которой реальная информация заменена на недействительную информацию.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Я бы отметил три вещи. Во-первых, приманка должна быть достоверной, иначе пользы от нее не будет никакой. В интернете есть готовые комплекты для сборки своих honeypot и многие компании используют их буквально «как есть». Такие ловушки привлекут разве что какие-то примитивные инструменты автоматической разведки, реальные хакеры не будут тратить на них время. Или наоборот – будут имитировать бурную деятельность, а параллельно незаметно атаковать реальную инфраструктуру.

Во-вторых – создание ловушки никак не отменяет приложения основных усилий по защите основной информационной системы.

И третье – ловушку нельзя просто поставить и забыть. Нужен человек, который будет ею заниматься, отслеживать, что там происходит и вовремя оповещать об этом команду информационной безопасности.

Если говорить о «продвинутых» технологиях Deception, когда набор ханипотов представляет собой не самостоятельные ловушки, а централизованную сеть decoys, то большую роль играет еще и распределение ловушек по инфраструктуре. Если оно неравномерно – часть инфраструктуры окажется «голой», а другая часть – перенасыщенной ловушками, что может насторожить киберпреступников.