Оглавление
История ханипотов как идеи использования приманок и токенов для защиты информации началась 20–30 лет назад, когда благодаря усилиям энтузиастов и сообществ Open Source были разработаны первые решения такого рода. Тем не менее, долгое время они не находили применения в крупных корпорациях и бизнес-среде.
Автор: Максим Прокопов, основатель HoneyCorn
Несмотря на изящность идеи, довольно быстро стало очевидно, что стандартный подход к ловушкам не лишен недостатков. Так, злоумышленники могли быстро распознать искусственность инфраструктуры. Например, на Linux-сервере неожиданно появлялся RDP-сервис, или все приманки вели к единой консоли виртуализации, что ее демаскировало.
Аутентичность ловушек
Создавая Deception-решение HoneyCorn [1], мы учли этот аспект и научились создать ловушки, неотличимые от реальных систем. В том числе и для этих целей появились конструкторы: они позволяют создавать системы так, что их невозможно отличить от оригиналов, независимо от специфики ИТ-инфраструктуры заказчика. Если, например, у компании есть уникальная база данных, собственная версия 1С или индивидуальная клиент-банковская система, HoneyСorn может воспроизвести ловушку, которая будет симулировать для этих активов уязвимость веб-сервиса, базы данных, операционной системы или других программных компонентов.
А благодаря удобному конструктору заказчики могут настраивать такие ловушки самостоятельно без помощи специалистов, без необходимости программирования или интеграции в систему – все это доступно «из коробки». Результаты работы каждого из пяти конструкторов ничем не отличаются от реальных систем.
Конструктор для Linux поддерживает различные дистрибутивы, включая Astra Linux и Ubuntu, и позволяет моделировать любые уязвимости, свойственные этим средам.
Конструктор для Windows аналогичен по функционалу, но ориентирован на операционную систему Windows.
Веб-конструктор особенно интересен тем, что позволяет безопасно инжектировать любые уязвимости в существующие веб-ресурсы или создавать свои собственные уязвимые порталы, включающие SQL-инъекции, межсайтовый скриптинг XSS, ошибки в механизмах аутентификации и любые другие уязвимости свойственные для веба. Этот конструктор позволяет создавать симуляции любых веб-сервисов, а также инжектировать уязвимости в файлы электронной почты для создания фишинговых приманок.
Конструктор для Syslog-систем имитирует любые устройства и сервисы, отправляющие Syslog-сообщения, будь то системы видеонаблюдения, системы контроля доступа или межсетевые экраны.
Конструктор уязвимостей операционной системы создает интерактивные ловушки, где злоумышленник взаимодействует с системой, например, пытаясь повысить привилегии или получить доступ к данным.
Эти пять конструкторов дают возможность глубоко и гибко воспроизводить сетевые и программные ловушки. Мы также разработали методологию для моделирования инфраструктуры на основе типичных атак, что позволяет внедрять ловушки в реальные сценарии. В результате, когда злоумышленник, полагая, что нашел и успешно эксплуатирует уязвимость, на самом деле полностью контролируется системой HoneyСorn.
HoneyPot вслед за новыми уязвимостями
В системе HoneyСorn собрана обширная база уязвимостей, охватывающая разные категории: для веб-сервисов, для операционных систем и внутренние уязвимости для эмуляции их эксплуатации. Заказчикам доступна не только работа с встроенными уязвимостями, но и возможность добавления собственных. Например, если в ходе пентестов выявлен 0-day, для него можно оперативно создать ловушку с помощью конструктора.
Вторая интересная возможность касается типа «Follow-us». Так называют динамические ловушки, работающие через виртуализацию или оркестрацию в Docker-контейнерах: они автоматически перемещаются и могут находиться в разных сегментах сети. Плюс этой технологии в том, что она позволяет быстро развертывать и масштабировать ловушки, но злоумышленники часто распознают такую систему из-за ее странных перемещений по адресам и портам или необычной виртуализации.
Но мы пошли иным путем: создали возможность упаковывать ловушки в образы и передавать их заказчику, чтобы он мог размещать их в своей системе, управляя ими самостоятельно – через Kubernetes, Docker Swarm или другие платформы оркестрации.
Кроме того, в ближайшее время, появится интеграционное API HoneyCorn, позволяющее отправить команду SOAR быстро развернуть ловушки в сети, если, например, SIEM обнаружил подозрительную активность. Такая имитация – это элемент стратегии реагирования: попавшего в ловушку злоумышленника система надолго изолирует в ней, раскрывая его TTP и давая время команде реагирования выполнить запланированные плейбуки.
Этот подход будет нами развиваться, он включит более сложные элементы защиты: например, создание изолированных VLAN, в которые можно принудительно перемещать подозрительные IP-адреса. Таким образом, злоумышленник будет считать, что ему удалось проникнуть в новую сеть, не подозревая, что он изолирован. Сейчас принудительное перемещение требует интеграции с сетевым оборудованием, но в будущем мы планируем упростить процесс, чтобы можно было управлять им без скриптов и сложных настроек.
Расскажем SOC о приметах и методах злоумышленников
В системе HoneyCorn существуют следующие разновидности ловушек по разным классификациям:
целевые исследовательские – созданные для сбора информации о приметах злоумышленника и собирающие нормализованные данные, необходимые для повышения уровня безопасности (например словари с паролями, которыми нас атакуют);
интерактивные – предоставляющие злоумышленнику интерфейсы для долговременного взаимодействия; они созданы для задержки злоумышленника до принятия заказчиком решения по реагированию и изучению применяемых злоумышленником техник;
поиск аномалий – ловушки с высокой шумностью, выявляющие любую активность в соответствии со своей спецификой; их задача – поиск потенциально опасных аномалий в ИС;
целевые инцидентные – ловушки без ложных сработок, нацеленные на эксплуатацию злоумышленником конкретных уязвимостей.
Исследовательские и интерактивные ловушки предназначены для глубинного анализа действий злоумышленников, предоставляя возможность проводить всестороннее исследование атаки, чтобы затем внести улучшения в правила защиты. Злоумышленник может беспрепятственно взаимодействовать с ними, а вся информация о его действиях становится материалом для совершенствования системы безопасности.
Существует точка зрения, что ловушки неэффективны на периметре, но наша практика свидетельствует об обратном. Мы используем на периметре именно исследовательские ловушки. Например, они фиксируют попытки использования на скомпрометированные учетные записи, обеспечивая раннее оповещение клиента о возможных компрометациях.
Целевые исследовательские и интерактивные ловушки позволяют собирать важные индикаторы компрометации (IoC), такие как IP-адреса источников атак, вредоносные адреса e-mail и данные о действиях, связанных с атаками нулевого дня. Для работы с собранными данными предусмотрен интерфейс, который автоматически выгружает IoC в SOC, где происходит оперативное блокирование угроз и запуск более глубокого анализа.
Приманки
Приманки – второй важный компонент Deception наряду с ловушками. Они выглядят как реальные и ценные ресурсы, привлекая внимание атакующих и направляя их к взаимодействию с ложным слоем инфраструктуры, то есть с ловушками. Приманками могут быть файлы с учетными записями, базы данных, ложные сетевые маршруты и т. п.
HoneyCorn не ограничивает заказчиков стандартными приманками – помимо готовых решений предусмотрена возможность создания индивидуальных приманок. Хотите сымитировать конфиденциальный файл или логин-пароль? – Пожалуйста. Нужны приманки с учетными данными Active Directory? – Нет проблем.
Благодаря безагентной интеграции с SIEM-системой, HoneyCorn отслеживает не только использование приманок, но и факт обращения к ним. Например, если злоумышленник взаимодействует с подложным конфиденциальным файлом, система зафиксирует это действие и отправит уведомление в SIEM.
Особенно интересна функция деанонимизации злоумышленника с помощью активных приманок. Эти файлы содержат псевдовирусное содержимое: если злоумышленник скачивает и запускает их, начинается сбор данных о его местоположении, маршрутах, IP-адресах и других характеристиках. Мы со своей стороны согласовываем с партнерами по рынку добавление сигнатур таких приманок в исключения исследовательских сетей.
Интересен кейс, когда приманки имитируют доступ к системам управления привилегированным доступом (PAM), и получивший доступ злоумышленник будет отправлен в заранее подготовленные ловушки.
Внутри сети система HoneyCorn умеет развертывать псевдосетевые ресурсы: подложные FTP-серверы или сетевые диски, где наряду с обычными файлами лежат приманки. Кроме того, мы – одни из немногих, кто интегрировал ловушки с инфодиодами, что позволяет использовать Deception в полностью изолированных сетях. В этом режиме ловушки устанавливаются вручную, а данные передаются в одностороннем порядке на сервер без обратного управления.
Для крупных SIEM-систем нами подготовлены полные пакеты нормализации и корреляции событий, которые упрощают анализ и позволяют эффективно отслеживать все события, связанные с приманками.
Заглянем в будущее
Deception уже сейчас демонстрирует высокую эффективность, хотя остается узкоспециализированным инструментом. Несмотря на усилия по разработке новых типов ловушек и приманок, повышению точности и ускорению реакции, принципиально расширить возможности технологии не так просто. Поэтому мы обращаем внимание на смежные направления, которые повышают ценность Deception, в особенности на улучшение взаимодействия и интеграции с SOC.
Мы подготавливаем данные из ловушек для SOC, создавая отдельные конверторы, нормализаторы и плагины. События структурируются следующим образом: инциденты, требующие немедленного реагирования, IoC, на которые должны обращать внимание операторы SOC, а также данные для обогащения, используемые для доработки правил и аналитики.
Индикаторы компрометации – еще одна важная область работы. Они быстро устаревают, и их актуальность необходимо поддерживать. Мы используем глобальные инсталляции ловушек HoneyCorn в разных частях Всемирной Сети, чтобы оперативно обогащать инсталляции заказчиков свежими IoC, а также внедряем нейросети для оценки релевантности получаемых таким образом данных для минимизации ложных срабатываний.
Еще одно перспективное направление – автоматическое развертывание ловушек, внедрение встроенного сканера, который изучает сетевые сервисы и предлагает оптимальные адресные пространства для ловушек. Но для того, чтобы добиться полной аутентичности для таких систем, требуются серьезные усилия со стороны разработчиков.
Заключение
Задачи, которые ставились перед классом HoneyPot и технологиями Deception лет десять назад, на сегодняшний день еще нельзя назвать полностью решенными, особенно если говорить о российских продуктах. Например, одной из важных областей, требующих доработки, является полная интеграция с SOAR, что связано с автоматизацией и повышением удобства работы.
Кроме того, требуется улучшение некоторых удобных, но не приоритетных технологий, таких как создание ложных VLAN и симуляция сетевых сред, предлагаемых некоторыми иностранными вендорами.
В будущем искусственный интеллект и глубокая интеграция с системами управления уязвимостями помогут автоматически разворачивать новые ловушки, адаптируясь к текущему киберландшафту. Это позволило бы заказчикам не задумываться о постоянной подстройке Deception – система делала бы это сама, реагируя на актуальные угрозы.
ITSec_articles