Ловушка для хакеров: использование honeypot-технологий в обеспечении информационной безопасности

В условиях современной цифровой среды, характеризующейся активным использованием сетевых ресурсов, значительно возрастает количество проблем, связанных с обеспечением информационной безопасности. Киберпреступники ежедневно разрабатывают и внедряют новые способы обхода защитных механизмов компьютерных сетей с целью получения доступа к конфиденциальной информации либо для осуществления актов саботажа на предприятиях. Поскольку традиционные средства защиты, такие как системы обнаружения и предотвращения вторжений (IDS/IPS) и межсетевые экраны, не всегда способны обеспечить надежную защиту от внешних атак, организации применяют дополнительные уровни защиты, одним из которых являются honeypot-системы.

Honeypot-системы представляют собой эффективные инструменты для повышения уровня безопасности корпоративных сетей. Они функционируют путем создания ложных объектов (файлов, процессов, серверов), привлекающих внимание злоумышленников, что позволяет собирать ценную информацию об их действиях и методах проникновения. На основании анализа попыток взлома и выявленных уязвимостей возможно разработать соответствующие контрмеры для защиты реальной инфраструктуры.

Особенностью honeypot-систем является отсутствие критической информации, что делает их компрометацию менее опасной по сравнению с реальными ресурсами. Таким образом, использование этих систем способствует снижению рисков и повышению общей устойчивости сети к внешним угрозам.

Учитывая разнообразие типов кибератак, направленных на корпоративные сети, в дальнейшем будут рассмотрены несколько основных видов атак и проанализирована эффективность применения honeypot-систем для их обнаружения.

Основные виды атак на корпоративные сети:

• DDoS-атаки (Distributed Denial of Service) – это атаки, направленные на перегрузку системы с целью ограничения доступа пользователей к веб-сайтам, серверам или сетевым ресурсам. Основной механизм заключается в использовании множества компьютеров для отправки большого количества запросов, что приводит к исчерпанию ресурсов целевой системы. Наиболее часто применяются DDoS-атаки по протоколам TCP и UDP.
• SSH-атаки – это вид атак, при котором злоумышленник использует автоматизированное программное обеспечение для подбора комбинаций логинов и паролей с целью несанкционированного доступа к системе через протокол Secure Shell (SSH).
• SQL-инъекции – это уязвимость, возникающая вследствие недостаточной фильтрации пользовательского ввода в приложениях, работающих с базами данных. Она позволяет злоумышленникам внедрять произвольные SQL-запросы, что дает возможность модификации или получения конфиденциальной информации из базы данных.
• Распространение вредоносного ПО – данный вид атак основан на эксплуатации уязвимостей в сетевом оборудовании или протоколах передачи данных с целью внедрения вредоносного программного обеспечения (например, троянов, бэкдоров, руткитов). Эти программы могут использоваться для кражи данных, управления зараженными системами или выполнения других вредоносных действий.

Эти типы атак требуют различных подходов к обнаружению и предотвращению, однако применение honeypot-систем демонстрирует высокую эффективность в их выявлении и анализе. Рассмотрим данные подходы подробнее.

В исследовании [1] предложен подход к использованию honeypot-системы на базе технологии Software-Defined Networking (SDN) для обнаружения DDoS-атак. Данная система имитирует устройства, подключенные к Интернету в пределах корпоративной сети. Во время атаки приманки способны выявлять угрозы, связанные с протоколами SSH и Telnet. При многократном поступлении запросов на подключение с одного и того же IP-адреса, контроллер SDN автоматически передает этот адрес в черный список.

Эксперименты показали, что SDN-ханипоты успешно обнаруживают DDoS-атаки, в частности, TCP-флудинг, являющийся одной из разновидностей подобных атак. Важным преимуществом SDN-ханипотов перед традиционными решениями является возможность автоматического и динамического блокирования подозрительных IP-адресов посредством SDN-контроллера, что обеспечивает раннее предотвращение потенциальных угроз для корпоративной сети.

Для обнаружения SSH-атак в статье [2] предложено использовать honeypot-систему GHOST (Ganesha Honeypot System). GHOST представляет собой интеграцию honeypot'а Cowrie с Kippo-Graph и Telegram API, что предоставляет возможность осуществлять веб-мониторинг и отправлять сообщения о попытках несанкционированного доступа к сети. Выявление SSH-атак осуществляется за счет создания поддельного SSH-сервера и последующего отслеживания числа неуспешных попыток аутентификации.

Экспериментальная проверка данного подхода продемонстрировала его высокую эффективность: было зарегистрировано 97% атак, и уведомления своевременно доставлялись администраторам.

На основании полученных результатов можно заключить, что GHOST обладает значительными преимуществами в обнаружении SSH-атак по сравнению с другими видами honeypot-систем. Это обусловлено интеграцией Telegram API и Kippo-Graph, обеспечивающей визуализацию информации о числе атак, успешности и неудачах попыток аутентификации, а также команд, введенных злоумышленниками.

Каждая корпоративная информационная сеть тесно связана с базами данных, в которых могут храниться чувствительные данные, например, учетные записи сотрудников или информация, критичная для функционирования сети. С целью защиты этих данных в статье [3] представлена концепция использования специализированной системы HoneySQLGuard.

Выявление SQL-инъекций осуществляется путем внедрения ложных таблиц в базу данных; любые запросы, обращающиеся к этим таблицам, рассматриваются как аномальные, поскольку у легитимных пользователей нет доступа к таким данным. Подобные запросы фиксируются в журнале для последующего анализа.

Хотя данная методика остается на уровне концепции, ее работоспособность была подтверждена в ходе эксперимента, включавшего как известные, так и новые техники SQL-инъекций для оценки надежности системы. Результаты тестирования показали высокую эффективность системы в непрерывном обнаружении атак, а также низкий уровень ложных срабатываний.

Благодаря тому, что HoneySQLGuard не только регистрирует нелегитимные действия в журнале, но и способен блокировать IP-адрес или учетную запись злоумышленника после идентификации, эта система оказывается более универсальной по сравнению с традиционными honeypot-решениями.

Поскольку попытки внедрения вредоносного программного обеспечения, такого как черви, трояны, вирусы и майнеры, являются одними из наиболее распространенных видов кибератак на корпоративные сети, авторы статьи [4] предлагают использовать honeypot-систему Dionaea. Эта система имитирует сетевые протоколы, включая SMB, HTTP и FTP, с целью привлечения, обнаружения и регистрации атак на сеть.

Механизм обнаружения атак аналогичен другим honeypot-системам: вредоносное ПО атакует ложные сетевые протоколы, а информация об атаке фиксируется в лог-файле для последующего анализа. Поскольку Dionaea функционирует в изолированной среде, риск повреждения реальной системы безопасности сведен к минимуму.

В ходе эксперимента Dionaea был развернут на виртуальной машине, после настройки и запуска honeypot начал имитировать уязвимые сетевые протоколы SMB, FTP и HTTP. Используя несколько устройств для инициирования преднамеренных атак на Dionaea, система успешно выявила и собрала информацию о поведении различных вредоносных программ, таких как WannaCry, GandCrab и Slammer.

Dionaea относится к категории низкоуровневых honeypot-систем, что обеспечивает ей ряд преимуществ по сравнению со среднеуровневыми и высокоуровневыми системами, такими как Cowrie. Среди них простота установки и низкие требования к ресурсам. Однако такая архитектура накладывает ограничение на возможности анализа поведения атакующих.

Исходя из проведенного анализа, можно заключить, что honeypot-системы демонстрируют высокую эффективность в выявлении угроз в корпоративных сетях, однако на сегодняшний день отсутствует единая версия такой системы, способной обнаруживать все возможные виды атак. Это вынуждает применять специализированные honeypot-системы в комплексе, что создает сложности при их интеграции в общую инфраструктуру информационной безопасности предприятия. Дополнительными трудностями являются отсутствие унифицированного стандарта, затрудняющее классификацию и анализ собираемых данных.

Помимо этого, эксплуатация множества разнородных honeypot-систем требует значительных затрат как технических, так и людских ресурсов на их развертывание, настройку и обслуживание.

Следовательно, актуальной задачей становится разработка универсальной системы, объединяющей различные honeypot-решения, что позволит повысить эффективность обнаружения и анализа угроз в корпоративных сетях.

1. Luo X., Yan Q., Wang M., Huang W., Using MTD and SDN-based Honeypots to Defend DDoS Attacks in IoT // Computing, Communications and IoT Applications (ComComAp), 2019, P. 392-395, DOI: 10.1109/ComComAp46287.2019.9018775
2. Jude Saskara G. A., Arthana I. K. R., Megawanta P. B., Simulation and Performance Testing of the Ganesha Honeypot System (GHOST) for SSH Security // 1st International Conference on Advanced Engineering and Technologies (ICONNIC), 2023, P. 55-59, DOI: 10.1109/ICONNIC59854.2023.10467574
3. U K., Swetha T., Reddy S., Ala H., Nagarajan S. M., Umah B. Fortifying Database Security: Integrating Advanced Honeypot Technology for Resilient SQL Injection Defense // International Conference on Communication, Computer Sciences and Engineering (IC3SE), 2024, DOI: 10.1109/IC3SE62002.2024.10593048
4. Sethia V., Jeyasekar A., Malware Capturing and Analysis using Dionaea Honeypot // International Carnahan Conference on Security Technology (ICCST), 2019, P. 1-4, DOI: 10.1109/CCST.2019.8888409