Honeypot: концепции и типы

Аннотация. За пару десятилетий количество атак на ИТ-организацию возросло. Среди них риск малых и средних организаций выше из-за более низкой архитектуры безопасности в их системе. Злоумышленники используют инъекцию SQL и атаки типа XSS для использования уязвимости системы или организации. Honeypot - это механизм, который создается для того, чтобы узнать о методе и схеме атаки атакующего, а также используется для получения полезной информации о навязчивой деятельности. Honeypots могут быть классифицированы в зависимости от уровня взаимодействия как слабо взаимодействующее, среднее взаимодействие, сильное взаимодействие и назначение, для которого оно используется в качестве исследовательского и производственного. В данной статье приводятся различные результаты honeypot, чтобы показать, как ресурс работает в режиме реального времени и как он реагирует на нежелательные действия в сети.

Введение

Атаки на сайты и базы данных быстро растут день ото дня. Среди них резко возрастают изощренные атаки, что также затрагивает малые и средние компании. В таких изощренных атаках есть несколько особенностей, в которых участвуют высококвалифицированные злоумышленники, а также владение информации об атакуемых целях и т.д.

Поэтому должна существовать некоторая система для обнаружения данных атак на базы данных.

Чтобы использовать honeypot для этих систем, необходимо соблюдать особую осторожность, например, после применения honeypot система должна выглядеть реалистично и способна генерировать журналы событий для всех подозрительных инцидентах. Аппаратные honeypots очень дороги и сложны в установке для средних и малых организации, для этого больше подходят программные honeypot с низким уровнем взаимодействия.

Honeypot способна обнаружить поведение злоумышленника или сообщить об атаке на защищаемую систему, в дальнейшим осуществляя наблюдение и запись подробных его действий, а также изучение уровня, цели, инструментов и методов, используемые злоумышленником, чтобы можно было получить доказательства об инциденте и в кротчайшие сроки принят соответствующие меры для защиты. [2]

Технология Honeypot и традиционная система безопасности, в сочетании могут создать активную систему защиты безопасности сети. [3]

Классификация Honeypots

1. На основании уровня взаимодействия

Honeypots могут быть классифицированы на основе уровня взаимодействия между нарушителем и системой. Это honeypot с низким, высоким и средним взаимодействием.

Honeypot с низким уровнем взаимодействия. Данные типы honeypot имеют ограниченную степень взаимодействия с внешней системой, FTP является примером такого типа. Как правило, данные Honeypot имитируют только часть сервисов. Злоумышленник ограничен во взаимодействии с этими сервисами. Основное преимущество этого типа honeypot заключается в том, что он очень прост в развертывании и обслуживании, и не требует сложной архитектуры. С этим преимуществом также есть некоторый недостаток этой системы. Он не будет точно реагировать на эксплойты. Это создает ограничение в способности помочь в обнаружении новых уязвимостей или новых моделей атак. Honeypots с низким уровнем взаимодействия - более безопасный и простой способ сбора информации о часто совершаемых атаках и их источниках. [1] [4] [5] [6]

Honeypot с высоким уровнем взаимодействия: это самый продвинутый honeypot. [6] Данный тип honeypot имеет очень высокий уровень взаимодействия с навязчивой системой. Это дает более реалистичный опыт атакующим и собирает больше информации о предполагаемых атаках, также включает в себя очень высокий риск захвата всего ресурса. Honeypot с высокой степенью взаимодействия является наиболее сложным и трудоемким для разработки и управления. Honeypot с высоким уровнем взаимодействия более эффективен в тех случаях, когда необходимо фиксировать детали уязвимостей или эксплойтов, которые еще не известны внешнему миру. Эти приманки являются лучшими в случае «атак нулевого дня». Пример: Honeynets: которые обычно используются в исследовательских целях. [1] [4] [5]

Honeypot со средним взаимодействием: они также известны как honeypot со смешанным взаимодействием. [2] Honeypots со средним взаимодействием немного сложнее, чем honeypots со слабым взаимодействием, но менее сложные, чем honeypots с высоким взаимодействием.

Он дает злоумышленнику иллюзию операционной системы, позволяющую регистрировать и анализировать более сложные атаки. Пример: Honeytrap: динамически создает прослушиватели портов на основе попыток TCP-соединения, извлеченных из потока сетевого интерфейса, что позволяет обрабатывать некоторые неизвестные атаки. [6]

2. На основании цели

Honeypots могут быть классифицированы на основе цели как Honeypot Исследования и Honeypot производства.

Исследовательская приманка: Исследовательские приманки в основном используются для изучения новых методов и инструментов атак. [7] Исследовательские приманки используются для сбора информации об общих угрозах, с которыми могут столкнуться организации, что дает лучшую защиту от этих угроз.

Его основная цель - получить информацию о том, как злоумышленники продвигаются и выполняют линии атак. Исследовательские приманки сложны в создании, развертывании и управлении. Они в основном используются такими организациями, как университеты, правительства, военные и разведывательные системы, чтобы больше узнать об угрозах. Исследование honeypots обеспечивает надежную платформу для изучения киберугроз и навыков судебной экспертизы. [6]

Производственные honeypot: производственные honeypot направлены на защиту сети. [7]

Производственные honeypots легко конфигурировать и развертывать, поскольку они требуют гораздо меньших функциональных возможностей.

Они защищают систему, обнаруживая атаки и предупреждая администраторов. Обычно он используется в инфраструктуре организации для защиты.

Вывод

Безопасность является неотъемлемым элементом любой организации, но хотя безопасность, обеспечиваемая honeypots на основе аппаратных настроек, очень дорогостоящая для организаций малого и среднего масштаба; программный honeypot может оказаться очень эффективным решением для безопасности этих организаций.

Среди всех предоставленных выше типов, Honeypot с низким уровнем взаимодействия является наиболее часто используемым, потому что он прост в реализации и управлении. Но самым безопасным и эффективным является honeypot с высоким уровнем взаимодействия. Данные honeypots обеспечивают безопасность, а также генерируют журнал событий обо всех записях в системе, что очень полезно для обнаружения несанкционированных действий в системе.