bezpieczny.blog

Czym jest honeypot?


Na przeczytanie potrzebujesz
5 minut(y).

HoneypotPrzestępcy próbują się włamać do każdej organizacji, w której mogą znaleźć coś cennego. Wszystko zależy od opłacalności skoku. Niektóre firmy chwalą się, że ich infrastruktura, niczym twierdza, odeprze nawet najcięższe ataki. Uwaga obrońców często skierowana jest na obronie styku sieci firmowej z Internetem. Jeśli jednak skupiasz się na murach, możesz nie zauważyć, że wróg już jest w środku. Zastanówmy się, jak zastawić pułapkę na takiego napastnika.

Artykuł powstał w ramach współpracy z magazynem Programista Junior (https://programistajr.pl) i został opublikowany w numerze 01/2023.

Dowiesz się

Potrzebna wiedza

Honeypot (z ang. garnek lub beczułka miodu) to przynęta, coś kuszącego, pułapka na atakującego zastawiona przez obrońców. Nie chodzi jednak o to, aby złapać lub unieruchomić atakującego, ale przede wszystkim o to, żeby go wykryć, a czasem także obserwować i zrozumieć jego działania. Atakujący nie może zorientować się, że to fortel.

Podział honeypotów

Istnieje kilka podziałów honeypotów. Jednym z nich jest stopień interakcji, czyli jak dużo akcji może wykonać atakujący:

Innym podziałem może być rola, jaką honeypot ma spełnić:

Podział ze względu na rodzaj utrzymania. Honeypoty mogą być utrzymywane:

Przykłady honeypotów

Tworząc honeypota, zakładamy, że nikt inny, poza potencjalnym atakującym, nie będzie wchodził w interakcje z przynętą. Powodów takiego założenia może być kilka, na przykład:

Honeypoty mogą przyjmować wiele różnych postaci. Od bardzo skomplikowanych do bardzo prostych. Poniżej przedstawiam kilka przykładów.

W zależności od implementacji honeypot może być zrealizowany jako maszyna fizyczna lub wirtualna. Jeśli wybierzemy ten drugi sposób, to po skompromitowaniu honeypota można łatwo przywrócić nasz wabik do stanu „zerowego”, czyli do momentu sprzed uruchomienia, gdy jest wolny od ewentualnego szkodliwego oprogramowania zainstalowanego przez atakującego podczas kompromitacji systemu. Pozwala to również na łatwą replikację honeypota.

W grupie raźniej

Honeypot może być samodzielną instalacją lub częścią większej, rozproszonej sieci takich urządzeń na poziomie jednej firmy lub wielu, zwaną „honeynet”. Przykładem drugiego rodzaju sieci jest DShield Honeypot. Jest to inicjatywa organizacji SANS Institute (organizacji zajmującej się wieloma aspektami związanymi z cyberbezpieczeństwem), która ma na celu zbieranie danych o atakach na całym świecie. Wystarczy tylko urządzenie Raspberry Pi i połączenie sieciowe, aby stać się częścią tej inicjatywy. Tworząc honeynet, trzeba pamiętać, że atakujący też bywają sprytni. Jeśli wystawimy wiele identycznych kopii, szybko zorientują się, że coś jest nie tak.

Ciekawostka

W 2016 roku w serwisie Zaufana Trzecia Strona ukazał się artykuł opisujący 168 instancji systemu SCADA oczyszczalni ścieków „Czajka”. Wszystkie znajdowały się w sieciach polskich ministerstw, urzędów, placówek edukacyjnych i dużych firmy z branży energetycznej. Krótko mówiąc, szybko zdradziły swoje prawdziwe zastosowanie.

Trudna sztuka wybierania lokalizacji

Nie chodzi o to, żeby taką przynętę dobrze ukryć. Umieszczenie honeypota musi być przemyślane. Nie powinien on być znaleziony przez przypadkowego pracownika firmy wykonującego swoje obowiązki służbowe. Jednocześnie osoba działająca na szkodę organizacji powinna móc na niego natrafić, najlepiej zanim dostanie się do wartościowych danych. Balans między przypadkowym użyciem a złapaniem w sidła wroga jest trudny do zachowania. Dobrze umieścić honeypot w podobny sposób, w jaki są rozmieszczone autentyczne systemy, które honeypot imituje w danej organizacji. Ważne, aby się nie wyróżniał z tłumu.

Rzeczywiste implementacje

Istnieje wiele komercyjnych i darmowych implementacji tego typu rozwiązań. Obszerna lista różnych rozwiązań typu honeypot znajduje się na GitHubie. Każdy znajdzie coś dla siebie. Poniżej kilka przykładów:

Ilustracja 1 Fragment listy tokenów, które mogą służyć jako honeypoty, oferowanych przez firmę Thinkst Canary

Warto wiedzieć

Honeypotem może być nawet karta płatnicza, a konkretnie pełne dane takiej karty. Przy próbie użycia w sklepie, zamiast pokryć należność za zakup, alarmuje swojego właściciela, że została przechwycona przez przestępcę.

Wady i zalety

Jak każde rozwiązanie w branży cyberbezpieczeństwa, tak też honeypoty mają swoje zalety i wady. Zacznijmy od tych pierwszych:

  1. Zbierając dane z rzeczywistych ataków, honeypot dostarcza cennych danych o posunięciach przestępców, co pozwala opracować skuteczne metody obrony.
  2. Nawet jeśli atakujący udoskonalą swoje metody działania, to i tak mogą trafić na kolejny honeypot, który ponownie zbierze o nich informacje.
  3. Honeypoty mogą służyć nie tylko do identyfikowania zagrożeń w infrastrukturze wewnętrznej. Można ich także używać na styku z Internetem.

Wady:

  1. Trudno jest umieścić honeypot tak, aby tylko atakujący go znalazł. Zdarza się, że alarm jest wyzwalany przez nieświadomego pracownika firmy.
  2. Źle skonfigurowany honeypot może niepotrzebnie marnować czas zespołu bezpieczeństwa.
  3. Honeypot może dawać fałszywe poczucie bezpieczeństwa, gdy nikt się nie złapie na przynętę. Tymczasem wprawieni przestępcy mogą rozpoznać pułapkę i sprawnie ją ominąć, nie wyzwalając alarmu.

Używaj z rozwagą

Niestety honeypot może działać jako broń obosieczna. Wyobraźmy sobie, że pracownik działu bezpieczeństwa odpowiedzialny za zarządzanie honeypotami odchodzi z firmy i nie pozostawia po sobie odpowiedniej dokumentacji. Po kilku tygodniach jego koledzy zaczynają znajdować podejrzane rzeczy w sieci firmowej: dane do logowania do konta na produkcyjnym serwerze czy serwer WWW, którego nie ma w spisie systemów. Takie zdarzenia mogą wywołać panikę i niepotrzebne działania, odciągając zespoły od prawdziwej pracy.

Podsumowanie

Używanie honeypotów nie jest prostym zadaniem. Trzeba dobrać rozwiązanie dostosowane nie tylko do atakującego, ale także do obrońców. Ważne, aby zastosowanie tego mechanizmu przyniosło cenną wiedzą o działaniach ofensywnych, nie narażając równocześnie na szkodę już wdrożonych działań defensywnych.

Zapamiętaj

Ćwicz w domu

Zapraszamy do zapoznania się z innymi artykułami przygotowanymi przez bezpieczny.blog dla magazynu Programista Junior:

Exit mobile version