Honeypot (вычисления) - Honeypot (computing)

В компьютерной терминологии горшок меда это компьютерная безопасность механизм, установленный для обнаружения, отклонения или, каким-либо образом, противодействия попыткам несанкционированного использования информационные системы. Обычно приманка состоит из данные (например, на сетевом сайте), который кажется законной частью сайта, который, кажется, содержит информацию или ресурс, представляющий ценность для злоумышленников, но на самом деле изолирован и отслеживается и позволяет блокировать или анализировать злоумышленников. Это похоже на полицию укус операции, в просторечии известное как «травля» подозреваемого.[1]

Схема приманки информационной системы

Типы

Приманки можно классифицировать в зависимости от их развертывания (использования / действия) и уровня их участия. В зависимости от развертывания приманки можно классифицировать как

  • производственные приманки
  • исследовательские приманки

Производственные приманки просты в использовании, собирают только ограниченную информацию и используются в основном корпорациями. Производственные приманки размещаются внутри производственной сети вместе с другими производственными серверами организацией, чтобы улучшить их общее состояние безопасности. Обычно производственные приманки представляют собой приманки с низким уровнем взаимодействия, которые проще развернуть. Они предоставляют меньше информации об атаках или злоумышленниках, чем исследовательские приманки.

Исследовательские приманки используются для сбора информации о мотивах и тактике черная шляпа сообщество, ориентированное на разные сети. Эти приманки не приносят прямой ценности конкретной организации; вместо этого они используются для исследования угроз, с которыми сталкиваются организации, и для того, чтобы узнать, как лучше защитить себя от этих угроз.[2] Исследовательские приманки сложны в развертывании и обслуживании, они собирают обширную информацию и используются в основном исследовательскими, военными или правительственными организациями.[3]

По критериям проектирования приманки можно разделить на:

  • чистые приманки
  • приманки с высоким уровнем взаимодействия
  • приманки с низким уровнем взаимодействия

Чистые приманки являются полноценными производственными системами. Действия злоумышленника отслеживаются с помощью обнаружения ошибки, установленной на ссылке приманки в сеть. Никакого другого программного обеспечения устанавливать не требуется. Несмотря на то, что чистая приманка полезна, скрытность защитных механизмов может быть обеспечена с помощью более контролируемого механизма.

Приманки с высоким уровнем взаимодействия имитировать деятельность производственных систем, в которых размещены различные службы, поэтому злоумышленнику может быть позволено множество служб тратить свое время. Используя виртуальные машины на одной физической машине можно разместить несколько приманок. Следовательно, даже если приманка взломана, ее можно восстановить быстрее. В общем, приманки с высоким уровнем взаимодействия обеспечивают большую безопасность, поскольку их трудно обнаружить, но они дороги в обслуживании. Если виртуальные машины недоступны, необходимо обслуживать один физический компьютер для каждой приманки, что может быть непомерно дорогостоящим. Пример: Honeynet.

Приманки с низким уровнем взаимодействия имитировать только те услуги, которые часто запрашиваются злоумышленниками. Поскольку они потребляют относительно мало ресурсов, несколько виртуальных машин можно легко разместить в одной физической системе, виртуальные системы имеют короткое время отклика и требуется меньше кода, что снижает сложность безопасности виртуальной системы. Пример: Honeyd.

Технология обмана

Недавно появился новый сегмент рынка под названием технология обмана возникла с использованием базовой технологии приманки с добавлением расширенной автоматизации для масштабирования. Технология обмана предназначена для автоматического развертывания ресурсов-приманок на большом коммерческом предприятии или государственном учреждении.[4]

Вредоносные приманки

Приманки для вредоносных программ используются для обнаружения вредоносных программ, используя известные векторы репликации и атак вредоносных программ. Векторы репликации, такие как USB-накопители можно легко проверить на наличие модификаций либо вручную, либо с помощью специальных приманок, имитирующих приводы. Вредоносное ПО все чаще используется для поиска и кражи криптовалют.[5]

Спам-версии

Спамеры злоупотреблять уязвимыми ресурсами, такими как открытые почтовые реле и открытые прокси. Это серверы, которые принимают электронную почту от всех пользователей Интернета, включая спамеров, и отправляют ее по назначению. Некоторые системные администраторы создали программы-приманки, которые маскируются под эти ресурсы, которыми можно злоупотреблять, для обнаружения активности спамеров.

Такие приманки предоставляют этим администраторам несколько возможностей, и существование таких поддельных систем, которыми можно злоупотреблять, делает злоупотребление более трудным или рискованным. Приманки могут быть мощным средством противодействия злоупотреблениям со стороны тех, кто полагается на злоупотребления в очень больших объемах (например, спамеров).

Эти приманки могут выявить злоумышленника. айпи адрес и обеспечивают массовый захват спама (что позволяет операторам определять URL-адреса и механизмы реагирования). Как описал М. Эдвардс в ИТПРО сегодня:

Обычно спамеры проверяют почтовый сервер на открытую ретрансляцию, просто отправляя себе сообщение электронной почты. Если спамер получает сообщение электронной почты, почтовый сервер, очевидно, разрешает открытую ретрансляцию. Однако операторы приманки могут использовать тест реле для предотвращения распространения спама. Приманка перехватывает тестовое сообщение электронной почты ретрансляции, возвращает тестовое сообщение электронной почты и впоследствии блокирует все остальные сообщения электронной почты от этого спамера. Спамеры продолжают использовать ловушку антиспама для рассылки спама, но спам никогда не доставляется. Между тем, оператор приманки может уведомить интернет-провайдеров спамеров и аннулировать их учетные записи в Интернете. Если операторы приманки обнаруживают спамеров, использующих открытые прокси-серверы, они также могут уведомить оператора прокси-сервера о блокировке сервера для предотвращения дальнейшего злоупотребления.[6]

Очевидным источником может быть другая система, которой злоупотребляют. Спамеры и другие злоумышленники могут использовать цепочку таких систем, подвергшихся злоупотреблениям, чтобы затруднить обнаружение первоначальной отправной точки трафика злоупотреблений.

Это само по себе свидетельствует о мощи приманок, поскольку антиспам инструменты. На заре создания приманок для защиты от спама спамеры, не заботясь о сокрытии своего местоположения, чувствовали себя в безопасности, проверяя уязвимости и рассылая спам прямо из своих систем. Приманки сделали злоупотребление более опасным и трудным.

Спам по-прежнему идет через открытые ретрансляторы, но его объем намного меньше, чем в 2001–2002 годах. Хотя большая часть спама происходит из США,[7] спамеры прыгают через открытые ретрансляторы через политические границы, чтобы скрыть свое происхождение. Операторы приманок могут использовать тесты перехвата для распознавания и предотвращения попыток пересылки спама через свои приманки. «Помешать» может означать «принять рассылаемый спам, но отказаться от его доставки». Операторы приманки могут обнаружить другие подробности, касающиеся спама и спамера, изучив захваченные спам-сообщения.

Приманки с открытой ретрансляцией включают джекпот, написанный на Ява Джека Кливера; smtpot.py, написано в Python Карл А. Крюгер;[8] и дыра, написано в C.[9] В Bubblegum Proxypot это приманка с открытым исходным кодом (или «прокси-сервер»).[10]

Электронная ловушка

Адрес электронной почты, который не используется ни для каких других целей, кроме получения спама, также может считаться ловушкой для спама. По сравнению с термином "спамоловка ", термин" приманка "может быть более подходящим для систем и методов, которые используются для обнаружения зондов или противодействия им. В случае спам-ловушки спам приходит к месту назначения" законно "- точно так же, как и электронная почта, не являющаяся спамом.

Объединение этих техник Проект Honey Pot, распределенный проект с открытым исходным кодом, использующий страницы-приманки, установленные на веб-сайтах по всему миру. Эти страницы-приманки распространяют адреса электронной почты с уникальными тегами и спамеры затем можно отследить - соответствующее письмо со спамом впоследствии отправляется на эти адреса электронной почты для ловушки спама.

Приманка для базы данных

Базы данных часто подвергаются атакам злоумышленников, использующих SQL-инъекция. Поскольку такие действия не распознаются базовыми брандмауэрами, компании часто используют брандмауэры баз данных для защиты. Некоторые из доступных База данных SQL брандмауэры предоставляют / поддерживают архитектуру ловушек, чтобы злоумышленник работал с базой данных ловушек, в то время как веб-приложение оставалось работоспособным.[11]

Обнаружение

Так же, как приманки - это оружие против спамеров, системы обнаружения приманок - это противодействие спамерам. Поскольку системы обнаружения, скорее всего, будут использовать уникальные характеристики конкретных приманок для их идентификации, такие как пары свойство-значение конфигурации приманок по умолчанию,[12] многие используемые приманки используют набор уникальных характеристик, более значительных и более сложных для тех, кто пытается их обнаружить и тем самым идентифицировать. Это необычное обстоятельство в программном обеспечении; ситуация, в которой "версионит" (большое количество версий одного и того же программного обеспечения, незначительно отличающихся друг от друга) может быть полезным. Также есть преимущество в развертывании нескольких легко обнаруживаемых приманок. Фред Коэн, изобретатель Инструментарий обмана, утверждает, что каждая система, на которой работает его приманка, должна иметь порт обмана, который злоумышленники могут использовать для обнаружения приманки.[13] Коэн считает, что это может отпугнуть противников.

Риск приманки

Цель приманок - привлечь злоумышленников и задействовать их в течение достаточно длительного периода времени, чтобы получить высокий уровень Индикаторы компрометации (IoC), такие как инструменты атаки и Тактика, методы и процедуры (ТТП). Таким образом, приманка должна имитировать основные сервисы в производственной сети и предоставлять злоумышленнику свободу действий, чтобы повысить свою привлекательность для злоумышленника. Хотя приманка обеспечивает контролируемую и контролируемую среду за счет применения Honeywall,[14] злоумышленники могут по-прежнему использовать некоторые приманки в качестве узловых точек для проникновения в производственные системы.[15] Этот компромисс между привлекательностью приманки и риском проникновения был исследован качественно.[16] и количественно.[17]

Второй риск приманок заключается в том, что они могут привлечь законных пользователей из-за отсутствия связи в крупномасштабных корпоративных сетях. Например, группа безопасности, которая применяет и контролирует приманку, может не раскрывать местоположение приманки для всех пользователей вовремя из-за отсутствия связи или предотвращения внутренних угроз.[18][19] Теоретико-игровая модель[20] было предложено одновременно стимулировать злоумышленников и лишать законных пользователей доступа к приманке, используя разницу в полезности между двумя типами пользователей.

Медовые сети

«Медовая сеть - это сеть приманок с высоким уровнем взаимодействия, которая имитирует производственную сеть и настроена таким образом, что вся активность отслеживается, записывается и, в определенной степени, незаметно регулируется».

-Лэнс Шпицнер,
Honeynet Project

Две или более приманки в сети образуют медовая сетка. Обычно медовая сеть используется для мониторинга более крупной и / или более разнообразной сети, в которой одной приманки может быть недостаточно. Медовые сети и приманки обычно реализуются как части более крупных системы обнаружения сетевых вторжений. А медовая ферма представляет собой централизованный набор приманок и инструментов анализа.[21]

Идея медовой сети впервые появилась в 1999 году, когда Лэнс Шпицнер, основатель Honeynet Project, опубликовал статью «Создать приманку».[22]

История

Метафора медведя, которого привлекают и крадут мед, распространена во многих традициях, включая германские, кельтские и славянские. Распространенное славянское слово для обозначения медведя - Медведь "медоед". Традиция кражи меда медведями передавалась из сказок и фольклора, особенно хорошо известных Винни-Пух.[23] В бразильской народной сказке «Boneca de pixe» рассказывается о крадущей обезьяне, пойманной марионеткой из подача.

Самые ранние методы приманки описаны в Клиффорд Столл книга 1989 года Яйцо кукушки.

В 2017 г. Голландская полиция использовали методы приманки для отслеживания пользователей рынок даркнета Ганза.

Смотрите также

Ссылки и примечания

  1. ^ Коул, Эрик; Норткатт, Стивен. "Приманки: руководство по приманкам для менеджера по безопасности".
  2. ^ Лэнс Шпицнер (2002). Хакеры, отслеживающие приманки. Эддисон-Уэсли. С. 68–70. ISBN  0-321-10895-7.
  3. ^ Катакоглу, Онур (03.04.2017). «Атакующий пейзаж на темной стороне сети» (PDF). acm.org. Получено 2017-08-09.
  4. ^ «Технология, связанная с обманом - это не просто« приятно иметь », это новая стратегия защиты - Лоуренс Пингри». 28 сентября 2016.
  5. ^ Литке, Пат. "Вредоносное ПО для кражи криптовалюты". Secureworks.com. SecureWorks. Архивировано из оригинал 22 декабря 2017 г.. Получено 9 марта 2016.
  6. ^ Эдвардс, М. «Приманки для защиты от спама вызывают головную боль у спамеров». Windows для ИТ-специалистов. Архивировано из оригинал 1 июля 2017 г.. Получено 11 марта 2015.
  7. ^ "Sophos раскрывает последние страны, рассылающие спам". Помощь Net Security. Справка Net Security. 24 июля 2006 г.. Получено 14 июн 2013.
  8. ^ «Программное обеспечение Honeypot, Продукты Honeypot, Программное обеспечение для обмана». Обнаружение вторжений, приманки и ресурсы для обработки инцидентов. Honeypots.net. 2013. Архивировано с оригинал 8 октября 2003 г.. Получено 14 июн 2013.
  9. ^ Dustintrammell (27 февраля 2013 г.). "spamhole - бета-версия Fake Open SMTP Relay". SourceForge. Dice Holdings, Inc. Получено 14 июн 2013.
  10. ^ Ec-Council (5 июля 2009 г.). Сертифицированный этический хакер: защита сетевой инфраструктуры при сертифицированном этическом взломе. Cengage Learning. С. 3–. ISBN  978-1-4354-8365-1. Получено 14 июн 2013.
  11. ^ «Защитите свою базу данных с помощью архитектуры Honeypot». dbcoretech.com. 13 августа 2010 г. Архивировано с оригинал 8 марта 2012 г.
  12. ^ Кабрал, Уоррен; Валли, Крейг; Сикос, Лесли; Вакелинг, Сэмюэл (2019). «Обзор и анализ артефактов Каури и их возможности обманного использования». Материалы Международной конференции по вычислительным наукам и вычислительному интеллекту 2019 г.. IEEE. С. 166–171. Дои:10.1109 / CSCI49370.2019.00035.
  13. ^ «Инструментарий обмана». All.net. All.net. 2013. Получено 14 июн 2013.
  14. ^ "Honeywall CDROM - Проект Honeynet". Получено 2020-08-07.
  15. ^ Шпицнер, Ланс (2002). Хакеры с отслеживанием приманок. Эддисон-Уэсли Профессионал. OCLC  1153022947.
  16. ^ Пуже, Фабьен; Дасье, Марк; Дебар, Эрве (14 сентября 2003 г.). Белая книга: honeypot, honeynet, honeytoken: терминологические вопросы. EURECOM. OCLC  902971559.
  17. ^ Хуанг, Линан; Чжу, Цюаньян (2019 г.), «Адаптивное вовлечение приманки посредством обучения с подкреплением полумарковских процессов принятия решений», Конспект лекций по информатике, Cham: Springer International Publishing, стр. 196–216, arXiv:1906.12182, Дои:10.1007/978-3-030-32430-8_13, ISBN  978-3-030-32429-2, S2CID  195750533
  18. ^ Qassrawi, Mahmoud T .; Хунли Чжан (май 2010 г.). «Клиентские приманки: подходы и проблемы». 4-я Международная конференция по новым тенденциям в информатике и сервисе: 19–25.
  19. ^ «иллюзорные сети: почему приманки застряли в прошлом | NEA | New Enterprise Associates». www.nea.com. Получено 2020-08-07.
  20. ^ Хуанг, Линан; Чжу, Цюаньян (2020-06-14). «Игра в двойственность: проактивный автоматический механизм защиты, созданный с помощью обмана». arXiv:2006.07942 [cs.GT ].
  21. ^ "Поддержка клиентов маршрутизатора Cisco". Clarkconnect.com. Архивировано из оригинал на 2017-01-16. Получено 2015-07-31.
  22. ^ «Знай своего врага: медовые сети поколения II. Легче развернуть, сложнее обнаружить, безопаснее поддерживать». Honeynet Project. Honeynet Project. 12 мая 2005 г. Архивировано с оригинал 25 января 2009 г.. Получено 14 июн 2013.
  23. ^ Слово "медведь""". Pitt.edu. Получено 12 сен 2014.

дальнейшее чтение

внешняя ссылка