stringtranslate.com

Honeypot (вычисления)

В компьютерной терминологии приманка — это механизм компьютерной безопасности , предназначенный для обнаружения, отклонения или каким-либо образом противодействия попыткам несанкционированного использования информационных систем . Как правило, приманка состоит из данных (например, на сетевом сайте), которые кажутся законной частью сайта и содержат информацию или ресурсы, представляющие ценность для злоумышленников. Он фактически изолирован, контролируется и способен блокировать или анализировать действия злоумышленников. Это похоже на полицейские спецоперации , в просторечии известные как «травля» подозреваемого. [1]

Основное использование этой сетевой приманки — отвлечь потенциальных злоумышленников от более важной информации и машин в реальной сети, узнать о формах атак, которым они могут подвергнуться, и изучить такие атаки во время и после эксплуатации ловушки. Он предоставляет возможность предотвратить и увидеть уязвимости в конкретной сетевой системе. Honeypot — это приманка, используемая для защиты сети от нынешних или будущих атак. [2] [3] Приманки получают свою ценность от использования злоумышленниками. Если с ним не взаимодействовать, приманка практически не имеет никакой ценности. Honeypots можно использовать для всего: от замедления или остановки автоматических атак, обнаружения новых эксплойтов до сбора информации о возникающих угрозах или раннего предупреждения и прогнозирования. [4]

Схема приманки информационной системы

Типы

Приманки можно различать в зависимости от того, являются ли они физическими или виртуальными: [2] [3]

Приманки можно классифицировать в зависимости от их развертывания (использования/действия) и уровня их участия. В зависимости от развертывания приманки можно разделить на: [5]

Производственные приманки просты в использовании, собирают лишь ограниченную информацию и используются в основном корпорациями. Производственные приманки размещаются внутри производственной сети вместе с другими производственными серверами организацией для улучшения общего состояния их безопасности. Обычно рабочие приманки представляют собой приманки с низким уровнем взаимодействия, и их легче развернуть. Они дают меньше информации об атаках или злоумышленниках, чем исследовательские приманки. [5]

Research honeypots are run to gather information about the motives and tactics of the black hat community targeting different networks. These honeypots do not add direct value to a specific organization; instead, they are used to research the threats that organizations face and to learn how to better protect against those threats.[6] Research honeypots are complex to deploy and maintain, capture extensive information, and are used primarily by research, military, or government organizations.[7]

Based on design criteria, honeypots can be classified as:[5]

Pure honeypots are full-fledged production systems. The activities of the attacker are monitored by using a bug tap that has been installed on the honeypot's link to the network. No other software needs to be installed. Even though a pure honeypot is useful, stealthiness of the defense mechanisms can be ensured by a more controlled mechanism.

High-interaction honeypots imitate the activities of the production systems that host a variety of services and, therefore, an attacker may be allowed a lot of services to waste their time. By employing virtual machines, multiple honeypots can be hosted on a single physical machine. Therefore, even if the honeypot is compromised, it can be restored more quickly. In general, high-interaction honeypots provide more security by being difficult to detect, but they are expensive to maintain. If virtual machines are not available, one physical computer must be maintained for each honeypot, which can be exorbitantly expensive. Example: Honeynet.

Low-interaction honeypots simulate only the services frequently requested by attackers.[8] Since they consume relatively few resources, multiple virtual machines can easily be hosted on one physical system, the virtual systems have a short response time, and less code is required, reducing the complexity of the virtual system's security. Example: Honeyd. This type of honeypot was one of the first types being created in the late nineties and was mainly used for detecting attacks not studying them.[9]

Sugarcane is a type of honeypot that masquerades as an open proxy.[10] It can often take form as a server designed to look like a misconfigured HTTP proxy.[11] Probably the most famous open proxy was the default configuration of sendmail (before version 8.9.0 in 1998) which would forward email to and from any destination.[12]

Deception technology

Недавно появился новый сегмент рынка, называемый технологией обмана , использующий базовую технологию ловушки с добавлением передовой автоматизации для масштабирования. Технология обмана предназначена для автоматического развертывания ресурсов-приманок на территории крупного коммерческого предприятия или государственного учреждения. [13]

Вредоносные программы-приманки

Вредоносные приманки — это приманка, предназначенная для преднамеренного привлечения вредоносного программного обеспечения. Это делается путем имитации уязвимой системы или сети, например веб-сервера. Приманка намеренно настроена с учетом недостатков безопасности, которые могут способствовать атакам вредоносных программ. После атаки ИТ-команды могут проанализировать вредоносное ПО, чтобы лучше понять, откуда оно берется и как оно действует. [14]

Спам-версии

Спамеры злоупотребляют уязвимыми ресурсами, такими как открытые почтовые ретрансляторы и открытые прокси-серверы . Это серверы, которые принимают электронную почту от любого пользователя Интернета, включая спамеров, и отправляют ее по назначению. Некоторые системные администраторы создали программы-приманки, которые маскируются под эти злоупотребляемые ресурсы для обнаружения спамерской активности.

Такие приманки предоставляют этим администраторам несколько возможностей, и существование таких поддельных систем, которые могут использоваться для злоупотреблений, делает злоупотребления более трудными или рискованными. Honeypots могут быть мощной мерой противодействия злоупотреблениям со стороны тех, кто полагается на очень большие объемы злоупотреблений (например, спамеров).

Эти приманки могут раскрыть IP-адрес злоумышленника и обеспечить массовый перехват спама (что позволяет операторам определять URL -адреса спамеров и механизмы реагирования). Как описал М. Эдвардс в ITPro Today:

Обычно спамеры проверяют почтовый сервер на открытую ретрансляцию, просто отправляя себе сообщение электронной почты. Если спамер получает сообщение электронной почты, почтовый сервер, очевидно, разрешает открытую ретрансляцию. Однако операторы Honeypot могут использовать проверку ретрансляции, чтобы помешать спамерам. Приманка перехватывает тестовое сообщение электронной почты ретранслятора, возвращает тестовое сообщение электронной почты и впоследствии блокирует все остальные сообщения электронной почты от этого спамера. Спамеры продолжают использовать антиспам-приманку для рассылки спама, но спам так и не доставляется. Тем временем оператор-приманка может уведомить интернет-провайдеров спамеров и аннулировать их учетные записи в Интернете. Если операторы приманки обнаруживают спамеров, использующих открытые прокси-серверы, они также могут уведомить оператора прокси-сервера о необходимости заблокировать сервер для предотвращения дальнейшего злоупотребления. [15]

Очевидным источником может быть другая система, которой злоупотребляют. Спамеры и другие злоумышленники могут использовать цепочку таких злоупотребляемых систем, чтобы затруднить обнаружение исходной отправной точки злоупотребляющего трафика.

Это само по себе свидетельствует о силе приманок как инструментов борьбы со спамом . На заре появления приманок для защиты от спама спамеры, не особо заботясь о сокрытии своего местоположения, чувствовали себя в безопасности, проверяя уязвимости и рассылая спам непосредственно из своих собственных систем. Приманки сделали злоупотребление более рискованным и трудным.

Спам по-прежнему проходит через открытые ретрансляторы, но его объем гораздо меньше, чем в 2001-02 годах. Хотя большая часть спама исходит из США, [16] спамеры проникают через открытые ретрансляторы через политические границы, чтобы скрыть свое происхождение. Операторы приманок могут использовать тесты перехваченной ретрансляции, чтобы распознавать и пресекать попытки ретрансляции спама через свои приманки. «Препятствовать» может означать «принять ретранслируемый спам, но отказаться от его доставки». Операторы Honeypot могут обнаружить другие подробности, касающиеся спама и спамера, исследуя перехваченные спам-сообщения.

Приманки с открытой ретрансляцией включают Jackpot, написанный на Java Джеком Кливером; smtpot.py , написанный на Python Карлом А. Крюгером; [17] и спамхол, написанный на C. [18] Bubblegum Proxypot — это приманка с открытым исходным кодом (или «проксипот»). [19]

Электронная ловушка

Адрес электронной почты, который не используется ни для каких других целей, кроме получения спама, также может считаться приманкой для спама. По сравнению с термином « спам-ловушка », термин «приманка» может быть более подходящим для систем и методов, которые используются для обнаружения или контратаки зондов. Благодаря спам-ловушке спам доходит до места назначения «законно» — точно так же, как доходит электронная почта, не являющаяся спамом.

Объединением этих методов является Project Honey Pot — распределенный проект с открытым исходным кодом, который использует страницы-приманки, установленные на веб-сайтах по всему миру. Эти страницы-ловушки распространяют уникальные помеченные адреса электронной почты для спам-ловушек, и спамеров затем можно отслеживать — соответствующее спам-сообщение впоследствии отправляется на эти адреса электронной почты для спам-ловушек. [20]

Приманка базы данных

Базы данных часто подвергаются атакам злоумышленников с помощью SQL-инъекций . Поскольку такие действия не распознаются базовыми брандмауэрами, компании часто используют для защиты брандмауэры баз данных. Некоторые из доступных брандмауэров баз данных SQL предоставляют/поддерживают архитектуру ловушки, так что злоумышленник работает с базой данных-ловушкой, в то время как веб-приложение остается работоспособным. [21]

Приманка для промышленных систем управления

Промышленные системы управления (ICS) часто становятся объектом кибератак. [22] Одной из основных целей ICS являются программируемые логические контроллеры . [23] Чтобы понять методы злоумышленников в этом контексте, было предложено несколько ловушек. Conpot [24] [25] — это приманка с низким уровнем взаимодействия, способная моделировать ПЛК Siemens. HoneyPLC — это приманка среднего взаимодействия, которая может имитировать ПЛК Siemens, Rockwell и других марок. [26] [27]

Обнаружение приманки

Подобно тому, как приманки являются оружием против спамеров, системы обнаружения приманок являются оружием противодействия спамерам. Поскольку системы обнаружения, вероятно, будут использовать уникальные характеристики конкретных приманок для их идентификации, такие как пары свойство-значение конфигурации приманки по умолчанию, [28] многие используемые приманки используют набор уникальных характеристик, более крупных и устрашающих для тех, кто пытается обнаружить и тем самым идентифицировать их. Это необычное обстоятельство для программного обеспечения; ситуация, в которой «версионит» (большое количество версий одного и того же программного обеспечения, незначительно отличающихся друг от друга) может оказаться полезным. Преимуществом также является наличие нескольких легко обнаруживаемых приманок. Фред Коэн , изобретатель Deception Toolkit, утверждает, что каждая система, на которой работает его приманка, должна иметь порт для обмана, который злоумышленники могут использовать для обнаружения приманки. [29] Коэн считает, что это может сдержать противников. Honeypots также позволяют на ранней стадии обнаруживать законные угрозы. Независимо от того, как приманка обнаружит эксплойт, она может немедленно предупредить вас о попытке атаки. [30]

Риски

Целью приманок является привлечение и вовлечение злоумышленников на достаточно длительный период для получения индикаторов компрометации (IoC) высокого уровня, таких как инструменты атаки и тактики, методы и процедуры (TTP). Таким образом, приманка должна имитировать основные сервисы в производственной сети и предоставлять злоумышленнику свободу выполнять состязательные действия, чтобы повысить свою привлекательность для злоумышленника. Хотя приманка представляет собой контролируемую среду и ее можно отслеживать с помощью таких инструментов, как Honeywall, [31] злоумышленники все равно могут использовать некоторые приманки в качестве узловых узлов для проникновения в производственные системы. [32]

Второй риск, связанный с приманками, заключается в том, что они могут привлечь законных пользователей из-за отсутствия связи в крупномасштабных корпоративных сетях. Например, группа безопасности, которая применяет и контролирует ловушку, может не раскрыть местоположение ловушки всем пользователям вовремя из-за отсутствия связи или предотвращения внутренних угроз. [33] [34]

Сетки медовые

«Медовая сеть» — это сеть приманок с высоким уровнем взаимодействия, которая имитирует производственную сеть и настроена таким образом, что вся деятельность отслеживается, записывается и в некоторой степени незаметно регулируется».

-Лэнс Спитцнер,
проект Honeynet

Две или более ловушек в сети образуют медовую сеть . Обычно медовая сеть используется для мониторинга более крупной и/или более разнообразной сети, в которой одного приманки может быть недостаточно. Медовые сети и приманки обычно реализуются как часть более крупных сетевых систем обнаружения вторжений . Медовая ферма — это централизованная совокупность приманок и инструментов анализа. [35]

Концепция сети-приманки впервые возникла в 1999 году, когда Лэнс Спитцнер, основатель проекта Honeynet , опубликовал статью «Чтобы построить приманку». [36]

История

Ранняя формулировка концепции, названная «ловушка», определяется в FIPS 39 (1976 г.) как «преднамеренное внедрение очевидных недостатков в систему с целью обнаружения попыток проникновения или введения злоумышленника в заблуждение относительно того, какие недостатки использовать». [37]

Самые ранние методы приманки описаны в книге Клиффорда Столла «Яйцо кукушки» 1989 года .

Один из самых ранних задокументированных случаев использования приманки в целях кибербезопасности начался в январе 1991 года. 7 января 1991 года, когда он работал в AT&T Bell Laboratories, Чесвик заметил преступного хакера, известного как взломщик , пытавшегося получить копию пароля. файл. Чесвик написал, что он и его коллеги построили «тюрьму для хорутов» (или «мотель с тараканами»)», которая позволяла им наблюдать за нападавшим в течение нескольких месяцев. [38]

В 2017 году голландская полиция использовала методы приманки для отслеживания пользователей даркнет- рынка Hansa .

Метафора медведя, которого привлекает мед и который он крадет, распространена во многих традициях, включая германские, кельтские и славянские. Общеславянское слово, обозначающее медведя, медведь. Традиция кражи меда медведями передалась через истории и фольклор, особенно через знаменитого Винни-Пуха . [39] [40]

Смотрите также

Ссылки и примечания

  1. ^ Коул, Эрик; Норткатт, Стивен. «Приманки: Руководство для менеджера по безопасности по приманкам».
  2. ^ abcd Провос, Н. «Среда виртуальной приманки». УСЕНИКС . Проверено 29 апреля 2023 г.
  3. ^ abcd Мэйр, А; Барик, Д; Верма, К; Йена, Д. (2011). «Honeypot в сетевой безопасности: опрос». ACM (Ассоциация вычислительной техники) . 1 (1): 600–605. дои : 10.1145/1947940.1948065. S2CID  12724269 . Проверено 29 апреля 2023 г.
  4. ^ Шпитцнер, Л. (2003). «Приманки: ловля инсайдерской угрозы». 19-я ежегодная конференция по приложениям компьютерной безопасности, 2003 г. Материалы . IEEE. стр. 170–179. дои : 10.1109/csac.2003.1254322. ISBN 0-7695-2041-3. S2CID  15759542.
  5. ^ abc Мокубе, Иятити; Адамс, Мишель (март 2007 г.). «Приманки: концепции, подходы и проблемы». Материалы 45-й ежегодной юго-восточной региональной конференции . стр. 321–326. дои : 10.1145/1233341.1233399. ISBN 9781595936295. S2CID  15382890.
  6. ^ Лэнс Шпицнер (2002). Honeypots отслеживают хакеров . Аддисон-Уэсли . стр. 68–70. ISBN 0-321-10895-7.
  7. ^ Катакоглу, Онур (3 апреля 2017 г.). «Планшет атак на темной стороне Интернета» (PDF) . acm.org . Проверено 9 августа 2017 г.
  8. ^ Личфилд, Сэмюэл; Формби, Дэвид; Роджерс, Джонатан; Мелиопулос, Сакис; Бейя, Рахим (2016). «Переосмысление приманки для киберфизических систем». IEEE Интернет-вычисления . 20 (5): 9–17. дои : 10.1109/MIC.2016.103. ISSN  1089-7801. S2CID  1271662.
  9. ^ Гебель, Ян Геррит; Девальд, Андреас; Фрейлинг, Феликс (2011). Клиенты-приманки. дои : 10.1524/9783486711516. ISBN 978-3-486-71151-6.
  10. ^ Талукдер, Асоке К.; Чайтанья, Маниш (17 декабря 2008 г.). Архитектура безопасных программных систем. Страница 25 – CRC Press, Taylor & Francisco Group. ЦРК Пресс. ISBN 9781420087857.
  11. ^ «Разоблачение подполья: приключения открытого прокси-сервера» . 21 марта 2011 г.
  12. ^ «Перехват веб-атак с помощью открытых прокси-приманок» . 3 июля 2007 г.
  13. ^ «Технология, связанная с обманом, - это не просто приятно иметь, это новая стратегия защиты - Лоуренс Пингри». 28 сентября 2016 г.
  14. ^ Правин (31 июля 2023 г.). «Что такое Honeypot в кибербезопасности? Типы, реализация и реальные приложения». Биржа кибербезопасности . Проверено 5 декабря 2023 г.
  15. ^ Эдвардс, М. «Приманки для защиты от спама вызывают у спамеров головную боль». Windows ИТ-специалист. Архивировано из оригинала 1 июля 2017 года . Проверено 11 марта 2015 г.
  16. ^ «Sophos раскрывает последние страны, в которых рассылается спам» . Помогите Net Security . 24 июля 2006 г. Проверено 14 июня 2013 г.
  17. ^ «Программное обеспечение Honeypot, Продукты Honeypot, Программное обеспечение для обмана» . Ресурсы для обнаружения вторжений, ловушек и обработки инцидентов . Honeypots.net. 2013. Архивировано из оригинала 8 октября 2003 года . Проверено 14 июня 2013 г.
  18. ^ пыльтинтраммелл (27 февраля 2013 г.). «Спам-дыра – поддельная открытая бета-версия SMTP Relay». СоурсФордж . Дайс Холдингс, Инк . Проверено 14 июня 2013 г.
  19. ^ ЕС-Совет (5 июля 2009 г.). Сертифицированный этический хакер: защита сетевой инфраструктуры с помощью сертифицированного этического взлома. Cengage Обучение. стр. 3–. ISBN 978-1-4354-8365-1. Проверено 14 июня 2013 г.
  20. ^ «Что такое приманка?». Цифровой гид IONOS . 8 августа 2017 года . Проверено 14 октября 2022 г.
  21. ^ «Защитите свою базу данных с помощью архитектуры Honeypot» . dbcoretech.com. 13 августа 2010 г. Архивировано из оригинала 8 марта 2012 г.
  22. ^ Лангнер, Ральф (май 2011 г.). «Stuxnet: Анализ оружия кибервойны». Безопасность и конфиденциальность IEEE . 9 (3): 49–51. дои :10.1109/MSP.2011.67. ISSN  1558-4046. S2CID  206485737.
  23. ^ Стоуффер, Кейт; Фалько, Джо; Скарфоне, Карен (июнь 2011 г.). «Руководство по безопасности промышленных систем управления (ICS) — системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS) и другие конфигурации систем управления, такие как программируемые логические контроллеры (ПЛК)». Гейтерсбург, доктор медицины. дои : 10.6028/nist.sp.800.82. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
  24. ^ Джича, Артур; Паттон, Марк; Чен, Синьчунь (сентябрь 2016 г.). «Приманки SCADA: углубленный анализ Conpot». Конференция IEEE 2016 по разведке и информатике безопасности (ISI) . стр. 196–198. дои : 10.1109/ISI.2016.7745468. ISBN 978-1-5090-3865-7. S2CID  14996905.
  25. Conpot, MushMush, 23 июня 2023 г. , получено 24 июня 2023 г.
  26. ^ Лопес-Моралес, Эфрен; Рубио-Медрано, Карлос; Дупе, Адам; Шошитаишвили, Ян; Ван, Жоюй; Бао, Тиффани; Ан, Гейл-Джун (2 ноября 2020 г.). «HoneyPLC: Honeypot нового поколения для промышленных систем управления». Материалы конференции ACM SIGSAC 2020 года по компьютерной и коммуникационной безопасности . ККС '20. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 279–291. дои : 10.1145/3372297.3423356. hdl : 2286/RI57069. ISBN 978-1-4503-7089-9. S2CID  226228191.
  27. ^ HoneyPLC, SEFCOM, 24 мая 2023 г. , получено 24 июня 2023 г.
  28. ^ Кабрал, Уоррен; Валли, Крейг; Сикос, Лесли; Уэйклинг, Сэмюэл (2019). «Обзор и анализ артефактов Каури и их возможности использования в обманных целях». Материалы Международной конференции по вычислительной науке и вычислительному интеллекту 2019 года . IEEE. стр. 166–171. doi : 10.1109/CSCI49370.2019.00035. ISBN 978-1-7281-5584-5.
  29. ^ «Набор инструментов обмана». All.net . 2013 . Проверено 14 июня 2013 г.
  30. ^ Приманки для Windows. 2005. doi : 10.1007/978-1-4302-0007-9. ISBN 978-1-59059-335-6.
  31. ^ "Компакт-диск Honeywall - Проект Honeynet" . Проверено 7 августа 2020 г.
  32. ^ Шпитцнер, Лэнс (2002). Приманки, отслеживающие хакеров . Аддисон-Уэсли Профессионал. ОСЛК  1153022947.
  33. ^ Кассрави, Махмуд Т.; Хунли Чжан (май 2010 г.). «Клиентские приманки: подходы и проблемы». 4-я Международная конференция по новым тенденциям в информатике и науке о сервисе : 19–25.
  34. ^ «Иллюзорные сети: почему Honeypots застряли в прошлом | NEA | New Enterprise Associates» . www.nea.com . Проверено 7 августа 2020 г.
  35. ^ «Поддержка клиентов маршрутизатора Cisco» . Clarkconnect.com. Архивировано из оригинала 16 января 2017 г. Проверено 31 июля 2015 г.
  36. ^ «Знай своего врага: медовые сети GenII. Легче развернуть, труднее обнаружить, безопаснее обслуживать» . Проект Honeynet . 12 мая 2005 г. Архивировано из оригинала 25 января 2009 г. Проверено 14 июня 2013 г.
  37. ^ «Национальное бюро стандартов (15 февраля 1976 г.). Глоссарий по безопасности компьютерных систем» (PDF) . www.govinfo.gov . Проверено 19 марта 2023 г.
  38. ^ «Вечер с Берфердом, в котором крекера заманивают, выдерживают и изучают» (PDF) . cheswick.com . Проверено 3 февраля 2021 г.
  39. ^ «Слово «медведь»» . Питт.edu . Проверено 12 сентября 2014 г.
  40. ^ Шепард, Э.Х., Милн, А.А. (1994). Полное собрание сказок Винни-Пуха. Великобритания: Детские книги Даттона.

дальнейшее чтение

Внешние ссылки