Кибератаки бывают разные. Фишинг, вредоносное ПО, целевые взломы – способов попытаться проникнуть в защищенные системы той или иной компании множество. Каждая корпоративная сеть и ее устройства могут быть подвержены атакам в любой момент. Целевые атаки не такие массовые, как, например, фишинг, но они отличаются тем, что их проводят подготовленные и осведомленные хакеры.
Они, так или иначе, попадут в сеть компании и получат начальные доступы к инфраструктуре, где попытаются украсть интересующие их данные. Не важно, каким именно образом хакер попадет внутрь сети компании, при целевой атаке он точно окажется «внутри» рано или поздно.
Возьмем самый простой пример целевой атаки: вредоносный инсайдер. Он уже находится внутри компании и имеет легальные полномочия и мотивы для подключения к ценным активам, связанным с его должностными обязанностями. При этом обязательным этапом любой целевой атаки является сбор сведений о компрометируемой инфраструктуре. Цель сотрудников, отвечающих в компаниях за информационную безопасность (ИБ), – обнаружить и нейтрализовать злоумышленника на любом этапе атаки, включая «разведку». Для этого существует много решений различных классов, однако у каждого их них есть свои ограничения.
Большинство систем работает с крупными объемами информации, большая часть которой легитимна, и лишь небольшая ее доля свидетельствует о вредоносной активности. Их основная задача – отделить последнюю от остальных данных. Существует, однако, отдельный класс решений – ханипоты, они же пассивные ловушки (англ. honeypots), которые всегда имеют дело с действиями злоумышленников. Например, EDR не сможет определить, используется ли легитимная учетная запись внутренним инсайдером со злым умыслом или у него есть законное право обращения к активам. SIEM настроены на определение вредоносной активности по заданным корреляционным правилам, которые могут быть недостаточно точны, а их разработка происходит вручную, что делает ее особенно трудоемкой. Это не умаляет важности EDR, SIEM и других систем, однако ханипоты способны обнаружить попытку атаки с минимумом ложноположительных срабатываний. Это – главное отличие и преимущество этого класса решений.
Как это работает?
Почти все информационные сервисы современной компании соединены в сеть, включая электронную почту, бизнес-системы, содержащие важные данные, файловые хранилища и т.п. Проникнувший в сеть злоумышленник практически всегда хочет завладеть знаниями о ее составе, узлах, содержимом, и конкретной цели, доступ к которой нужно получить, чтобы выгрузить необходимые данные, которые можно в дальнейшем монетизировать. Если, конечно, целью атаки не является нарушение работоспособности инфраструктуры, шифрование или удаление данных. Чтобы успешно реализовать атаку, злоумышленнику придется сначала провести тщательную разведку.
Во время этого этапа он, с помощью сетевых запросов, будет собирать информацию о различных сегментах инфраструктуры и хостах в них. Далее он проведет их инструментальный анализ, проверит на уязвимости, узнает используемые операционные системы (ОС), состав сетевого оборудования и элементов межсетевого экранирования. Также он узнает, какие еще есть сегменты сетей, как между ними можно передвигаться, как можно повысить привилегии, а самое главное, какие учетные записи, пользовательские и привилегированные, используются для администрирования.
Использование искусственно созданных «клонов» элементов из списка выше позволяет направить злоумышленника по ложному следу. В случае попытки доступа к этим ловушкам, администраторы безопасности зафиксируют ее, и тем самым смогут поймать злоумышленника с поличным.
Какой ханипот выбрать?
Посмотрим на типы ханипотов. Логически их все можно разделить на 2 группы. Первая — эмуляция ИТ-сервисов, когда ИБ-сотрудники создают сущность, которая ведет себя как тот или иной сервис, например, СУБД или веб-сервер. Такая ловушка принимает на себя подключение и реагирует так же, как и настоящая сущность, но при этом ей не является, к тому же она предназначена исключительно для того, чтобы администратор безопасности мог отслеживать любую активность на ней, в отличие от реальных сущностей. Злоумышленник, не обладающий данными о сети, в процессе разведки находит приманку и начинает с ней взаимодействовать. Например, его интересует определенная база данных, и злоумышленник попытается подключиться к операционной системе и произвести какие-то взаимодействия с ней как с активом, не зная, что это всего лишь эмуляция.
Легитимные пользователи, во-первых, не знают о существовании таких ловушек, а во-вторых, им нет смысла к ним подключаться. Поэтому, заметив попытку подключения, администратор уже знает, что она связана с действиями злоумышленника. В этом один из плюсов таких ловушек – они являются практически единственным классом средств защиты с нулевым процентом ложноположительных срабатываний, в отличие от систем класса DLP, EDR, AntiAPT и т.п. Это очень удобно в плане администрирования, так как любые срабатывания в системе автоматически указывают на попытки вредоносной активности.
Второй тип ловушек — эмуляция информационных токенов, а не сервисов в целом. Например, это могут быть пароли, учетные записи, история подключений, ссылки, документы и т.д. Это гораздо более простые ловушки, которые по сути являются «куском» информации, расположенной в наиболее вероятных местах поиска злоумышленника. Это могут быть пользовательские данные, например, сохраненные логины и пароли, история браузера и т.п.
Злоумышленник, увидев такие данные, с большой долей вероятности решит, что они могут оказаться ему полезными, ведь он не знает, что в реальности их не существует. Поэтому он попытается проверить данные, например, использовать их, чтобы получить доступ к той или иной системе. Ему будет казаться, что он сделал все правильно: нашел зашифрованные данные, расшифровал, получил в открытом виде пароль, логин, адрес к серверу, и попытался подключиться к, скажем, веб-серверу. Здесь он и попадает в ловушку. В это время администратор безопасности, например, с помощью SIEM, зафиксирует попытку доступа с данной учетной записью и, соответственно, срабатывание ловушки. Далее он локализует злоумышленника с помощью данных об источнике и времени подключения, которые ловушка сообщает автоматически. Этой информации зачастую достаточно для начала проведения расследования и применения специализированных средств поиска злоумышленника.
Разумеется, это только пример, существует множество видов токенов, вплоть до учетных записей, которые, по мнению злоумышленника, могут обладать повышенными привилегиями, и выступать в роли администраторов каких-либо сервисов, и заставят думать, что с такими учетными данными он сможет подключиться к Windows- и Linux-хостам. Такие попытки тоже будут зафиксированы в логах, а также в виде срабатывания в honeypot-системе или SIEM, если там настроено распознавание таких подключений.
В чем еще плюс?
Вот еще пара важных моментов, которые надо знать о ханипотах.
Во-первых, они позволяют настроить мониторинг хакерской активности в тех «средах», в которых невозможно установить другие классы решений, например, EDR. Так, злоумышленники обращают все больше внимания на нетрадиционные поверхности IT-атак в таких сферах, как здравоохранение или промышленность. Здесь размещение агента EDR зачастую технически невозможно, так как используемое оборудование или системы (например, АСУ ТП) не поддерживают подобное ПО. Чтобы размыть поверхность атаки, создается эмуляция ПЛК (программируемых логических контроллеров), медицинского оборудования, банковских систем и т.д., в зависимости от конкретной организации, где применяются ловушки. Столкнувшись с одной из них, злоумышленник не поймет, где настоящие активы, а где приманки. С большой долей вероятности он ошибется и его активность будет зафиксирована.
Во-вторых, настройка ханипотов достаточно проста. При эмуляции информационных токенов система управления берет на себя работу по размещению приманок в разных местах инфраструктуры, например, на рабочих местах пользователей и серверах, а для администратора все происходит автоматически. Что касается тех ханипотов, которые эмулируют сервисы, то они уже «из коробки» имеют на борту шаблоны для самых разных информационных систем, например, ОС Windows и Linux, баз данных, ПЛК, SWIFT-систем, медицинского оборудования, IP-камер, СКУД и т.д. Администратору остается только выбрать типы активов, которые используются в сети, и запустить создание приманок.
Как изменились ханипоты с момента создания?
Современные системы ханипотов далеко ушли от своих первоначальных версий, приобретя много интересных возможностей. Если 10 лет назад самые первые ловушки могли только эмулировать сервисы, то сейчас ханипотыавтоматически маскируются под активы, применяемые в каждой конкретной организации. Хороший пример — учетные записи пользователей. В каждой организации есть служба каталогов, в которой зачастую применяется шаблон для формирования имени пользователя для сотрудника. Например, все пользователи домена созданы по шаблону с использованием имени и фамилии. В этом случае у них будет использоваться единый шаблон адреса электронной почты, например, с использованием первой буквы имени, точки, фамилии, @ и домена. Система ханипотов анализирует эти паттерны, и при составлении приманок также их придерживается, то есть фейковые пользователи, созданные системой приманок, будут очень похожи на то, что используется в домене компании.
Другая полезная возможность – интеграция с внешними сервисами, например, с SIEM. При внедрении ловушек важнейшим для администратора этапом является сбор сведений о том, кто именно и в какую ловушку попался. Возвращаясь к фейковым учетным данным, администратору необходимо зафиксировать попытку аутентификации с ними. Ханипоты умеют «читать» логи из интегрированных систем о неудачных попытках подключения с подставными учетными данными. В случае с SIEM, путем создания правил корреляции событий можно фиксировать факты использования информационных токенов злоумышленником. Это позволит максимально точно и практически мгновенно определить развивающуюся атаку.
Как это помогает на практике?
Напоследок поделимся личным опытом. За 15 лет работы мы протестировали множество решений этого класса, как зарубежных, так и российских. Из интересных примеров – тестирование ханипотов, которые эмулируют сервисы (то есть 1-го типа), в рамках которого мы расположили ловушки не только внутри инфраструктуры, но и снаружи, в DMZ-зоне. В этом кейсе заказчику было важно знать, атакуют ли его извне. Буквально за неделю тестирования мы собрали крупный объем статистики по автоматическим атакам, большая часть которых шла из Китая, а также зарегистрировали несколько ручных попыток взаимодействия с нашими ловушками – злоумышленники перепроверяли уязвимый актив, найденный вовне автоматическим сканером уязвимостей.
Еще один интересный способ использования ловушек – пентесты. Несколько наших заказчиков расставляли ханипоты в ходе тестирования и активности Red Team команд. Это делалось, чтобы и усложнить тестирование, а также проверить эффективность работы ханипотов и других средств защиты. Кстати, через консоль управления ловушками было удобно отслеживать распространение пентестеров.
Наконец, во время соревнования Standoff на одном из Positive Hack Days мы проводили тестирование ловушек первого типа, находясь в команде защитников. Одним из типов ловушек, которые мы разместили, была эмуляция коммуникационного оборудования CISCO, с доступом к нему по стандартным паролям. Участники из команды хакеров, подобрав стандартные пароли к сетевому оборудованию, и удостоверившись с помощью базовых команд, что «устройства» ведут себя ожидаемыми образом, обращались к организаторам в надежде получить баллы за выполненный взлом, на что получали предложение развить «атаку». Вся такая активность фиксировалась в консоли нашей команды «безопасников».
Вместо вывода
Ханипоты – один из самых надежных классов решений. Они практически безотказны и помогают предотвратить или остановить атаку в зачатке, минимизируя риски утечки данных и связанных с ними убытков. Они просты в настройке и работают почти полностью автономно, что делает их подходящими практически любой компании. Если хотите узнать больше о работе с ханипотами или другими классами решений, буду рад поделиться опытом.
Автор: Кай Михайлов, руководитель направления информационной безопасности iTPROTECT
