В компьютерной терминологии приманка — это механизм компьютерной безопасности , предназначенный для обнаружения, отклонения или каким-либо образом противодействия попыткам несанкционированного использования информационных систем . Как правило, приманка состоит из данных (например, на сетевом сайте), которые кажутся законной частью сайта и содержат информацию или ресурсы, представляющие ценность для злоумышленников. Он фактически изолирован, контролируется и способен блокировать или анализировать действия злоумышленников. Это похоже на полицейские спецоперации , в просторечии известные как «травля» подозреваемого. [1]
Основное использование этой сетевой приманки — отвлечь потенциальных злоумышленников от более важной информации и машин в реальной сети, узнать о формах атак, которым они могут подвергнуться, и изучить такие атаки во время и после эксплуатации ловушки. Он предоставляет возможность предотвратить и увидеть уязвимости в конкретной сетевой системе. Honeypot — это приманка, используемая для защиты сети от нынешних или будущих атак. [2] [3] Приманки получают свою ценность от использования злоумышленниками. Если с ним не взаимодействовать, приманка практически не имеет никакой ценности. Honeypots можно использовать для всего: от замедления или остановки автоматических атак, обнаружения новых эксплойтов до сбора информации о возникающих угрозах или раннего предупреждения и прогнозирования. [4]
Приманки можно различать в зависимости от того, являются ли они физическими или виртуальными: [2] [3]
Приманки можно классифицировать в зависимости от их развертывания (использования/действия) и уровня их участия. В зависимости от развертывания приманки можно разделить на: [5]
Производственные приманки просты в использовании, собирают лишь ограниченную информацию и используются в основном корпорациями. Производственные приманки размещаются внутри производственной сети вместе с другими производственными серверами организацией для улучшения общего состояния их безопасности. Обычно рабочие приманки представляют собой приманки с низким уровнем взаимодействия, и их легче развернуть. Они дают меньше информации об атаках или злоумышленниках, чем исследовательские приманки. [5]
Research honeypots are run to gather information about the motives and tactics of the black hat community targeting different networks. These honeypots do not add direct value to a specific organization; instead, they are used to research the threats that organizations face and to learn how to better protect against those threats.[6] Research honeypots are complex to deploy and maintain, capture extensive information, and are used primarily by research, military, or government organizations.[7]
Based on design criteria, honeypots can be classified as:[5]
Pure honeypots are full-fledged production systems. The activities of the attacker are monitored by using a bug tap that has been installed on the honeypot's link to the network. No other software needs to be installed. Even though a pure honeypot is useful, stealthiness of the defense mechanisms can be ensured by a more controlled mechanism.
High-interaction honeypots imitate the activities of the production systems that host a variety of services and, therefore, an attacker may be allowed a lot of services to waste their time. By employing virtual machines, multiple honeypots can be hosted on a single physical machine. Therefore, even if the honeypot is compromised, it can be restored more quickly. In general, high-interaction honeypots provide more security by being difficult to detect, but they are expensive to maintain. If virtual machines are not available, one physical computer must be maintained for each honeypot, which can be exorbitantly expensive. Example: Honeynet.
Low-interaction honeypots simulate only the services frequently requested by attackers.[8] Since they consume relatively few resources, multiple virtual machines can easily be hosted on one physical system, the virtual systems have a short response time, and less code is required, reducing the complexity of the virtual system's security. Example: Honeyd. This type of honeypot was one of the first types being created in the late nineties and was mainly used for detecting attacks not studying them.[9]
Sugarcane is a type of honeypot that masquerades as an open proxy.[10] It can often take form as a server designed to look like a misconfigured HTTP proxy.[11] Probably the most famous open proxy was the default configuration of sendmail (before version 8.9.0 in 1998) which would forward email to and from any destination.[12]
Недавно появился новый сегмент рынка, называемый технологией обмана , использующий базовую технологию ловушки с добавлением передовой автоматизации для масштабирования. Технология обмана предназначена для автоматического развертывания ресурсов-приманок на территории крупного коммерческого предприятия или государственного учреждения. [13]
Вредоносные приманки — это приманка, предназначенная для преднамеренного привлечения вредоносного программного обеспечения. Это делается путем имитации уязвимой системы или сети, например веб-сервера. Приманка намеренно настроена с учетом недостатков безопасности, которые могут способствовать атакам вредоносных программ. После атаки ИТ-команды могут проанализировать вредоносное ПО, чтобы лучше понять, откуда оно берется и как оно действует. [14]
Спамеры злоупотребляют уязвимыми ресурсами, такими как открытые почтовые ретрансляторы и открытые прокси-серверы . Это серверы, которые принимают электронную почту от любого пользователя Интернета, включая спамеров, и отправляют ее по назначению. Некоторые системные администраторы создали программы-приманки, которые маскируются под эти злоупотребляемые ресурсы для обнаружения спамерской активности.
Такие приманки предоставляют этим администраторам несколько возможностей, и существование таких поддельных систем, которые могут использоваться для злоупотреблений, делает злоупотребления более трудными или рискованными. Honeypots могут быть мощной мерой противодействия злоупотреблениям со стороны тех, кто полагается на очень большие объемы злоупотреблений (например, спамеров).
Эти приманки могут раскрыть IP-адрес злоумышленника и обеспечить массовый перехват спама (что позволяет операторам определять URL -адреса спамеров и механизмы реагирования). Как описал М. Эдвардс в ITPro Today:
Обычно спамеры проверяют почтовый сервер на открытую ретрансляцию, просто отправляя себе сообщение электронной почты. Если спамер получает сообщение электронной почты, почтовый сервер, очевидно, разрешает открытую ретрансляцию. Однако операторы Honeypot могут использовать проверку ретрансляции, чтобы помешать спамерам. Приманка перехватывает тестовое сообщение электронной почты ретранслятора, возвращает тестовое сообщение электронной почты и впоследствии блокирует все остальные сообщения электронной почты от этого спамера. Спамеры продолжают использовать антиспам-приманку для рассылки спама, но спам так и не доставляется. Тем временем оператор-приманка может уведомить интернет-провайдеров спамеров и аннулировать их учетные записи в Интернете. Если операторы приманки обнаруживают спамеров, использующих открытые прокси-серверы, они также могут уведомить оператора прокси-сервера о необходимости заблокировать сервер для предотвращения дальнейшего злоупотребления. [15]
Очевидным источником может быть другая система, которой злоупотребляют. Спамеры и другие злоумышленники могут использовать цепочку таких злоупотребляемых систем, чтобы затруднить обнаружение исходной отправной точки злоупотребляющего трафика.
Это само по себе свидетельствует о силе приманок как инструментов борьбы со спамом . На заре появления приманок для защиты от спама спамеры, не особо заботясь о сокрытии своего местоположения, чувствовали себя в безопасности, проверяя уязвимости и рассылая спам непосредственно из своих собственных систем. Приманки сделали злоупотребление более рискованным и трудным.
Спам по-прежнему проходит через открытые ретрансляторы, но его объем гораздо меньше, чем в 2001-02 годах. Хотя большая часть спама исходит из США, [16] спамеры проникают через открытые ретрансляторы через политические границы, чтобы скрыть свое происхождение. Операторы приманок могут использовать тесты перехваченной ретрансляции, чтобы распознавать и пресекать попытки ретрансляции спама через свои приманки. «Препятствовать» может означать «принять ретранслируемый спам, но отказаться от его доставки». Операторы Honeypot могут обнаружить другие подробности, касающиеся спама и спамера, исследуя перехваченные спам-сообщения.
Приманки с открытой ретрансляцией включают Jackpot, написанный на Java Джеком Кливером; smtpot.py , написанный на Python Карлом А. Крюгером; [17] и спамхол, написанный на C. [18] Bubblegum Proxypot — это приманка с открытым исходным кодом (или «проксипот»). [19]
Адрес электронной почты, который не используется ни для каких других целей, кроме получения спама, также может считаться приманкой для спама. По сравнению с термином « спам-ловушка », термин «приманка» может быть более подходящим для систем и методов, которые используются для обнаружения или контратаки зондов. Благодаря спам-ловушке спам доходит до места назначения «законно» — точно так же, как доходит электронная почта, не являющаяся спамом.
Объединением этих методов является Project Honey Pot — распределенный проект с открытым исходным кодом, который использует страницы-приманки, установленные на веб-сайтах по всему миру. Эти страницы-ловушки распространяют уникальные помеченные адреса электронной почты для спам-ловушек, и спамеров затем можно отслеживать — соответствующее спам-сообщение впоследствии отправляется на эти адреса электронной почты для спам-ловушек. [20]
Базы данных часто подвергаются атакам злоумышленников с помощью SQL-инъекций . Поскольку такие действия не распознаются базовыми брандмауэрами, компании часто используют для защиты брандмауэры баз данных. Некоторые из доступных брандмауэров баз данных SQL предоставляют/поддерживают архитектуру ловушки, так что злоумышленник работает с базой данных-ловушкой, в то время как веб-приложение остается работоспособным. [21]
Промышленные системы управления (ICS) часто становятся объектом кибератак. [22] Одной из основных целей ICS являются программируемые логические контроллеры . [23] Чтобы понять методы злоумышленников в этом контексте, было предложено несколько ловушек. Conpot [24] [25] — это приманка с низким уровнем взаимодействия, способная моделировать ПЛК Siemens. HoneyPLC — это приманка среднего взаимодействия, которая может имитировать ПЛК Siemens, Rockwell и других марок. [26] [27]
Подобно тому, как приманки являются оружием против спамеров, системы обнаружения приманок являются оружием противодействия спамерам. Поскольку системы обнаружения, вероятно, будут использовать уникальные характеристики конкретных приманок для их идентификации, такие как пары свойство-значение конфигурации приманки по умолчанию, [28] многие используемые приманки используют набор уникальных характеристик, более крупных и устрашающих для тех, кто пытается обнаружить и тем самым идентифицировать их. Это необычное обстоятельство для программного обеспечения; ситуация, в которой «версионит» (большое количество версий одного и того же программного обеспечения, незначительно отличающихся друг от друга) может оказаться полезным. Преимуществом также является наличие нескольких легко обнаруживаемых приманок. Фред Коэн , изобретатель Deception Toolkit, утверждает, что каждая система, на которой работает его приманка, должна иметь порт для обмана, который злоумышленники могут использовать для обнаружения приманки. [29] Коэн считает, что это может сдержать противников. Honeypots также позволяют на ранней стадии обнаруживать законные угрозы. Независимо от того, как приманка обнаружит эксплойт, она может немедленно предупредить вас о попытке атаки. [30]
Целью приманок является привлечение и вовлечение злоумышленников на достаточно длительный период для получения индикаторов компрометации (IoC) высокого уровня, таких как инструменты атаки и тактики, методы и процедуры (TTP). Таким образом, приманка должна имитировать основные сервисы в производственной сети и предоставлять злоумышленнику свободу выполнять состязательные действия, чтобы повысить свою привлекательность для злоумышленника. Хотя приманка представляет собой контролируемую среду и ее можно отслеживать с помощью таких инструментов, как Honeywall, [31] злоумышленники все равно могут использовать некоторые приманки в качестве узловых узлов для проникновения в производственные системы. [32]
Второй риск, связанный с приманками, заключается в том, что они могут привлечь законных пользователей из-за отсутствия связи в крупномасштабных корпоративных сетях. Например, группа безопасности, которая применяет и контролирует ловушку, может не раскрыть местоположение ловушки всем пользователям вовремя из-за отсутствия связи или предотвращения внутренних угроз. [33] [34]
«Медовая сеть» — это сеть приманок с высоким уровнем взаимодействия, которая имитирует производственную сеть и настроена таким образом, что вся деятельность отслеживается, записывается и в некоторой степени незаметно регулируется».
-Лэнс Спитцнер,
проект Honeynet
Две или более ловушек в сети образуют медовую сеть . Обычно медовая сеть используется для мониторинга более крупной и/или более разнообразной сети, в которой одного приманки может быть недостаточно. Медовые сети и приманки обычно реализуются как часть более крупных сетевых систем обнаружения вторжений . Медовая ферма — это централизованная совокупность приманок и инструментов анализа. [35]
Концепция сети-приманки впервые возникла в 1999 году, когда Лэнс Спитцнер, основатель проекта Honeynet , опубликовал статью «Чтобы построить приманку». [36]
Ранняя формулировка концепции, названная «ловушка», определяется в FIPS 39 (1976 г.) как «преднамеренное внедрение очевидных недостатков в систему с целью обнаружения попыток проникновения или введения злоумышленника в заблуждение относительно того, какие недостатки использовать». [37]
Самые ранние методы приманки описаны в книге Клиффорда Столла «Яйцо кукушки» 1989 года .
Один из самых ранних задокументированных случаев использования приманки в целях кибербезопасности начался в январе 1991 года. 7 января 1991 года, когда он работал в AT&T Bell Laboratories, Чесвик заметил преступного хакера, известного как взломщик , пытавшегося получить копию пароля. файл. Чесвик написал, что он и его коллеги построили «тюрьму для хорутов» (или «мотель с тараканами»)», которая позволяла им наблюдать за нападавшим в течение нескольких месяцев. [38]
В 2017 году голландская полиция использовала методы приманки для отслеживания пользователей даркнет- рынка Hansa .
Метафора медведя, которого привлекает мед и который он крадет, распространена во многих традициях, включая германские, кельтские и славянские. Общеславянское слово, обозначающее медведя, — медведь. Традиция кражи меда медведями передалась через истории и фольклор, особенно через знаменитого Винни-Пуха . [39] [40]
{{cite journal}}
: Требуется цитировать журнал |journal=
( помощь )