Honeypot (информационная безопасность) | это... Что такое Honeypot (информационная безопасность)? (original) (raw)
Honeypot («Лову́шка») (англ. горшочек с мёдом) — ресурс, представляющий собой приманку для злоумышленников.
Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков.
Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Любое внешнее взаимодействие с этим ресурсом рассматривается как недобросовестная активность. Honeypot собирает небольшое количество информации, после анализирования которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.
Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности разрабатывают стратегии отражения атак злоумышленников.
Содержание
- 1 История появления
- 2 Альтернативные методы защиты
- 3 Виды honeypot
- 4 Расположение honeypot
- 5 Реализации honeypot
- 6 Ссылки
История появления
Honeypot появились с первыми компьютерными злоумышленниками и благодаря усилиям специалистов по информационной безопасности. Honeypot'ам насчитывается по меньшей мере 20 лет, разработки по их созданию и внедрению проводились параллельно с исследованиями IDS.
Первым документальным упоминанием была книга Клиффорда Столла "The Cuckoo's Egg", написанная в 1990 г. Через десять лет, в 2000 г. honeypot стали повсеместно распространенными системами-приманками.
Впоследствии IDS и honeypot будут представлять собой единый комплекс по обеспечению информационной безопасности предприятия.
Альтернативные методы защиты
Помимо honeypot, в настоящее время применяются следующие средства защиты компьютерных сетей: honeynet, honeytoken, padded cell, IDS, IPS. Последние два не подходят под определение honeypot - они являются не приманками, а системами обнаружения и предотвращения вторжений. В то же время наиболее близким понятию honeypot становится IDS - система обнаружения вторжений, протоколирующая все несанкционированные подключения к целевой системе. Padded Cell - это разновидность приманки типа "песочница". Попадая в нее, злоумышленник не может нанести какой-либо вред системе, т.к. он постоянно находится в изолированном окружении. Honeynet - это сеть из honeypot, о ней см. ниже. В любом случае, вне зависимости от того, какая система защиты установлена, на ней в качестве приманки должна быть подложная информация, а не оригинал.
Виды honeypot
Существуют honeypot, созданные на выделенных серверах и программно-эмулируемые honeypot.
— Honeypot, установленный на выделенном сервере, позволяют максимально приблизить его к реальному серверу, роль которого он выполняет(сервер данных, сервер приложений, прокси-сервер).
— Эмулируемый honeypot быстро восстанавливается при взломе, а также четко ограничивается от основной ОС. Он может быть создан при помощи VMware или Honeyd.
Разница между ними в масштабах сети. Если, к примеру, это малая офисная сеть, то не имеет особого смысла ставить выделенный сервер для протоколирования подозрительных событий в сети. Здесь достаточно будет ограничиться виртуальной системой или даже одним виртуаульным сервисом. В больших организациях используются именно выделенные сервера с полностью воспроизведенными на них сетевыми службами. Обычно в конфигурировании таких служб специально допускают ошибки, чтобы у злоумышленника удался взлом системы. В этом и состоит основная идея honeypot — заманить взломщика.
Расположение honeypot
Различные варианты размещения honeypot помогут дать полные сведения о тактике нападающего. Размещение honeypot внутри локальной сети даст представление об атаках изнутри сети, а размещение на общедоступных серверах этой сети или в DMZ - об атаках на незащищенные сетевые службы, такие как: почтовые сервисы, SMB, ftp-серверы и т.д.
Варианты расположения honeypot в локальной сети
honeypot в локальной сети
honeypot может быть установлен внутри локальной сети (после firewall) — то есть на компьютерах локальной сети и серверах. Если не производится удаленное администрирование сети, то следует перенаправлять весь входящий ssh-трафик на honeypot. Принимая сетевой трафик, система-ловушка должна протоколировать все события, причем на низком уровне. Honeypot — это не простая программа, которая записывает логи сервера. Если злоумышленник смог получить доступ к серверу, стереть все логи ему не составит труда. В идеале все события в системе должны записываться на уровне ядра.
honeypot в DMZ
В демилитаризованной зоне или DMZ располагаются общедоступные сервера. К примеру, это может быть веб-сервер или почтовый сервер. Поскольку наличие таких серверов зачастую привлекает внимание спамеров и взломщиков, необходимо обеспечить их информационную защиту. Установка honeypot на сервера DMZ является одним из решений этой проблемы.
Если же нет выделенного веб-сервера, можно эмулировать веб-службы при помощи программных honeypot. Они позволяют в точности воспроизвести несуществующий в действительности веб-сервер и заманить взломщика. Эмуляция почтовых и других сетевых служб ограничивается лишь выбором конкретного программного решения.
Сеть с двумя, тремя и более honeypot по определению называется honeynet. Она может быть ограничена от рабочей сети. Управляющий трафик, попадающий в honeynet, должен фиксироваться ловушками этой сети.
Реализации honeypot
Все известные honeypot можно поделить на 2 класса — открытые и коммерческие
| открытые | коммерческие |
|---|---|
| Bubblegum Proxypot | PatriotBox |
| Jackpot | KFSensor |
| BackOfficer Friendly | NetBait |
| Bait-n-Switch | ManTrap |
| Bigeye | Specter |
| HoneyWeb | Honeypot Manager |
| Deception Toolkit | |
| LaBrea Tarpit | |
| Honeyd | |
| Sendmail SPAM Trap | |
| Tiny Honeypot |
Ниже приводится краткое пояснение некоторых реализаций.
Deception Toolkit — самый первый open-source honeypot, датирован 1997 годом
HoneyWeb — эмулирует различные типы веб-сервисов
BackOfficer Friendly — honeypot для ОС Windows, может применяться в качестве HIPS
Honeyd — низкоуровневый honeypot для Linux, способен эмулировать сотни ОС
Bubblegum Proxypot — open-source honeypot, применяется для борьбы со спамерами
Specter — коммерческий низкоуровневый honeypot для ОС Windows. Эмулирует 13 различных ОС.
Honeypot Manager — коммерческий honeypot. Эмулирует сервер с установленной СУБД Oracle.
Ссылки
- Honeypots Solutions
- Проактивная защита от хакеров и инсайдеров - статья о принципах работы и преимуществах Honeypot-систем, а также их месте в общей системе безопасности
 Вредоносное программное обеспечение |
|
|---|---|
| Инфекционное вредоносное ПО | Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Хронология |
| Методы сокрытия | Бэкдор · Компьютер-зомби · Руткит |
| Вредоносные программыдля прибыли | Adware · Privacy-invasive software · Ransomware (Trojan.Winlock) · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Формграббер · Scareware (Лжеантивирус) · Порнодиалер |
| По операционным системам | Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус |
| Защита | Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек информации · Хронология антивирусов |
| Контрмеры | Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast |