АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ

Honeypot

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Honeypot — это механизм обеспечения компьютерной безопасности, предназначенный для обнаружения, отвлечения или иным образом противодействия попыткам несанкционированного использования информационных систем. Обычно honeypot представляет собой данные (например, на сетевом ресурсе), которые кажутся легитимной частью сайта и содержат сведения или ресурсы, потенциально ценные для злоумышленников. На самом деле эти данные изолированы, контролируются и могут блокировать либо анализировать действия атакующих. Такой подход аналогичен методике полицейских операций-приманок, которые неформально называют «подсадкой» подозреваемых[1].

Основное назначение подобных сетевых ловушек заключается в том, чтобы отвлечь потенциальных злоумышленников от более важных ресурсов и информации внутри реальной сети, изучить возможные сценарии атак и их особенности в процессе эксплуатации honeypot. Данный механизм позволяет выявлять и исследовать уязвимости конкретной сетевой системы. Honeypot — это приманка, используемая для защиты сети от текущих и будущих атак[2][3]. Эффективность honeypot обусловлена тем, что его ценность возникает только при взаимодействии со стороны злоумышленников; если к ним не обращаются — практической пользы нет. Honeypot применяют для замедления или предотвращения автоматизированных атак, сбора новых эксплойтов, изучения новых угроз и формирования системы раннего предупреждения[4].

undefined

Типы

Honeypot могут различаться по принципу реализации — физические и виртуальные:[2][3]

  • Физический honeypot: это реальный компьютер со своим IP-адресом, имитирующий поведение выбранной системы. Такой вариант используется реже из-за высокой стоимости покупки оборудования, его обслуживания и сложности настройки специализированных устройств[2][3].
  • Виртуальный honeypot: позволяет создавать и имитировать любые узлы сети под разными операционными системами, для этого требуется настройка протокола TCP/IP под нужную ОС. Эта разновидность более распространена[2][3]

Honeypot можно классифицировать по месту развёртывания (использованию/назначению) и по уровню взаимодействия. В зависимости от места внедрения различают:[5].

  • промышленные (production) honeypot;
  • исследовательские (research) honeypot.

Промышленные honeypot просты в внедрении, фиксируют лишь ограниченный объём информации и в основном используются компаниями внутри производственной сети для повышения общего уровня защиты. Обычно это honeypot с низким уровнем взаимодействия, которые проще развернуть и поддерживать, однако они предоставляют меньше сведений об атаках по сравнению с исследовательскими[5].

Исследовательские honeypot применяют для сбора информации о мотивации и методах работы представителей black hat на различных сетях. Они почти не дают прямых выгод отдельным организациям, поскольку предназначены для научных и государственных исследований угроз и способов противостояния им[6]. Как правило, их сложно развернуть и поддерживать, но зато они позволяют фиксировать большой массив информации; чаще всего применяются в научных, военных и государственных учреждениях[7].

По критериям проектирования honeypot делят на:[5]

  • полноценные (pure honeypot);
  • с высоким уровнем взаимодействия (high-interaction honeypot);
  • с низким уровнем взаимодействия (low-interaction honeypot).

Полноценный honeypot — это полноценная рабочая система; все действия атакующего отслеживаются с помощью аппаратной «прослушки» соединения honeypot с сетью, не требуются дополнительные инструменты. Однако более надёжная скрытность защитных механизмов достигается в строго контролируемых конфигурациях.

Honeypot с высоким уровнем взаимодействия имитируют поведение настоящих сервисных систем, предоставляя атакующему богатый функционал. С применением виртуальных машин на одном физическом сервере размещают несколько honeypot, что ускоряет восстановление после компрометации. Такой тип honeypot сложнее выявить и он обеспечивает наивысший уровень безопасности, но требует затрат на поддержание. Если виртуализации нет, для каждого honeypot нужен отдельный сервер, что существенно увеличивает расходы. Пример — Honeynet.

Honeypot с низким уровнем взаимодействия эмулируют только те сервисы, которыми чаще всего пользуются злоумышленники[8]. За счёт низких ресурсов множество виртуальных honeypot можно разместить на одном сервере, что упрощает поддержку. Пример — Honeyd. Такими honeypot пользовались одними из первых (конец 1990-х), в основном для регистрации атак, а не их изучения[9].

Sugarcane — разновидность honeypot, маскирующаяся под открытый прокси-сервер[10]. Обычно это сервер, выглядящий как неправильно настроенный HTTP-прокси[11]. Одним из самых известных примеров был стандартный режим работы sendmail (до версии 8.9.0, 1998), который пересылал электронную почту с любого на любой адрес[12].

Технологии обмана

В последние годы появился особый сегмент рынка — технологии обмана, где к базовым honeypot добавляется автоматизация и масштабируемость, позволяющая централизованно внедрять приманки в инфраструктуру крупных организаций и ведомств[13].

Honeypot для вредоносного ПО

Вредоносный honeypot — это приманка, привлекающая вредоносное ПО за счёт имитации уязвимой системы или сети (например, веб-сервера), намеренно «уязвимой», чтобы вызвать атаку. Это позволяет ИТ-специалистам затем проанализировать вредоносное ПО: выяснить его происхождение и тактику[14].

Антиспам-honeypot

Рассыльщики спама эксплуатируют уязвимые ресурсы, такие как открытая почтовая пересылка и открытые прокси-серверы — те, что принимают почту со всего Интернета и пересылают её дальше. Некоторые администраторы внедряют honeypot-программы, имитирующие эти сервисы, чтобы выявлять активность спамеров.

Honeypot дают администраторам возможность делать злоупотребления такими системами более сложными и рискованными для атакующих. Благодаря honeypot можно фиксировать IP-адреса нарушителей и собирать массовые образцы спама (для определения URL и механизмов ответов). Как отмечает М. Эдвардс (ITPro Today):

Обычно спамеры тестируют сервер: отправляют на него почту самому себе. Если они получают письмо, значит, пересылка разрешена. Однако honeypot отлавливает такие тестовые письма, возвращает их и сразу же блокирует последующие сообщения от этого отправителя. Спамер продолжает использовать honeypot для спама, но тот не доставляется. Администратор honeypot может уведомить интернет-провайдера спамера, и его учётные записи аннулируются. Если обнаруживается отправка спама через открытые прокси, можно уведомить владельца прокси-сервера о необходимости закрытия доступа[15].

Источник спама может быть и другим заражённым компьютером, а злоумышленники часто выстраивают целую цепочку пересылки, затрудняя выявление первоначального адреса.

Именно поэтому honeypot считаются эффективным антиспам-инструментом. В первые годы борьбы со спамом рассыщики почти не пытались скрываться и считали безопасным тестировать открытость серверов со своих систем, но появление honeypot существенно увеличило риски.

Сегодня спам до сих пор проходит через открытые реле, но такой трафик гораздо меньше, чем в 2001—2002 годах. Хотя большинство спама отправляется из США[16], спамеры пересылают рассылку через реле в других странах. Honeypot позволяют выявлять попытки такой пересылки, в том числе захватывая тестовые сообщения и отказавшись от доставки (то есть принимая сообщения, но не отправляя их получателю). Исследуя захваченные сообщения, можно узнать больше о механизмах спама и отправителях.

Известные open-relay honeypot: Jackpot (на Java, автор — Jack Cleaver), smtpot.py (на Python, автор — Karl A. Krueger)[17] и spamhole (на C)[18]. Существует также Bubblegum Proxypot — open source honeypot-прокси[19].

Почтовая ловушка

Специальный e-mail-адрес, заведомо созданный только для приёма спама, тоже рассматривается как honeypot. В отличие от «spamtrap», honeypot позволяет не только детектировать, но и контратаковать попытки рассылки — а у spamtrap спам поступает по стандартным каналам передачи электронной почты.

Комбинацией различных методик является Project Honey Pot — децентрализованный open-source проект, где honeypot-страницы на сайтах по всему миру распространяют уникальные email-ловушки; спамеры находят их адреса и затем по этим же адресам отслеживаются рассылки[20].

Honeypot для баз данных

Серверы баз данных часто становятся целью атак через SQL-инъекции. Такие действия не фиксируются обычными межсетевыми экранами, поэтому компании внедряют специализированные файрволл для БД с архитектурой honeypot — атакующие осуществляют вредоносные операции с ловушкой, в то время как штатное приложение работает корректно[21].

Honeypot для промышленных систем управления (ICS)

Промышленные системы управления часто становятся объектом кибератак[22]. Главными целями в таком контексте зачастую выступают программируемые логические контроллеры (PLC)[23]. Для изучения техник атак были предложены honeypot разного профиля, например Conpot[24][25] (ловушка низкого уровня взаимодействия для эмуляции Siemens PLC) и HoneyPLC (ловушка среднего уровня, эмулирующая Siemens, Rockwell и другие бренды контроллеров)[26][27].

Детектирование Honeypot

Так же, как honeypot применяют для борьбы со спамерами, существуют и противоположные — системы обнаружения honeypot, разрабатываемые злоумышленниками. В качестве признаков для такой идентификации могут выступать уникальные характеристики конкретных honeypot, например определённые параметры стандартных конфигураций[28], однако наличие множества версий honeypot позволяет усложнить задачу выявления. Иногда даже преднамеренно размещаются легко-обнаружимые honeypot в целях отпугивания. Фред Коэн, автор Deception Toolkit, считает, что каждый honeypot должен предусматривать специальный порт для выявления атакующими[29]. Такой ход может выступать фактором сдерживания нападений злоумышленников. Honeypot обеспечивают раннее оповещение о реальных угрозах: как только зафиксирована попытка атаки, администратор получает уведомление[30].

Риски

Основная задача honeypot — максимально долго удерживать злоумышленника внутри ловушки для получения максимально полной информации: используемых средств атаки (IoC), тактик, техник и процедур (TTP). Для этого honeypot должен эмулировать основные сервисы внутри производственной сети и предоставлять достаточную «свободу действий», чтобы стать интересным для атакующего. Несмотря на то, что honeypot работает в контролируемой среде (например, с помощью инструмента honeywall[31]), злоумышленники могут использовать его как промежуточный узел для проникновения во внутренние системы компании[32].

Второй риск связан с тем, что honeypot могут привлекать и легитимных пользователей по причине неинформированности (актуально для крупных корпоративных сетей), — если служба ИБ не сообщает остальным пользователям или администраторам о наличии honeypot[33][34].

Honeynet

Два и более honeypot, объединённых в одну сеть, образуют honey net (honeynet). Обычно honeynet используют для мониторинга крупных и/или гетерогенных сетей там, где одной ловушки недостаточно. Honeynet и honeypot, как правило, входят в состав систем обнаружения сетевых вторжений. Под honey farm понимают централизованный комплекс honeypot и инструментов анализа[35].

Идею honeynet впервые в 1999 году описал Лэнс Спитцнер, основатель Honeynet Project, опубликовав статью «To Build a Honeypot»[36].

История

Раннее определение концепции, названной «entrapment» («западня»), приводится в FIPS 39 (1976): «преднамеренное внесение кажущихся уязвимостей в систему с целью обнаружения попыток проникновения или создания ложного представления у атакующего о перечне уязвимостей»[37].

Наиболее ранние техники honeypot описаны в книге Клифорда Столла Яйцо кукушки (1989).

Одно из первых зафиксированных применений honeypot в практике ИБ относится к январю 1991 года. 7 января 1991 года, работая в AT&T Bell Laboratories, Билл Чесвик наблюдал попытку взлома со стороны «кракера», пытавшегося получить файл паролей системы. Чесвик вместе с коллегами создал «chroot Jail» (он же «roach motel»), позволивший в течение нескольких месяцев отслеживать активность нарушителя[38].

В 2017 году полиция Нидерландов активно применяла honeypot для идентификации пользователей даркнета Hansa.

Примечания

  1. Cole, Eric; Northcutt, Stephen Honeypots: A Security Manager's Guide to Honeypots (англ.). SANS Technology Institute. Дата обращения: 17 июня 2024. Архивировано 16 марта 2017 года.
  2. 1 2 3 4 Provos, N A Virtual Honeypot Framework (англ.). USENIX. Дата обращения: 29 апреля 2023. Архивировано 16 января 2025 года.
  3. 1 2 3 4 Mairh, A. Honeypot in network security: A survey // Proceedings of the 2011 International Conference on Communication, Computing & Security - ICCCS '11 : [англ.] / A Mairh, D Barik, K Verma … [et al.]. — 2011. — Vol. 1. — P. 600–605. — ISBN 978-1-4503-0464-1. — doi:10.1145/1947940.1948065.
  4. Spitzner, L. Honeypots: Catching the insider threat // 19th Annual Computer Security Applications Conference, 2003. Proceedings. : [англ.]. — IEEE, 2003. — P. 170–179. — ISBN 0-7695-2041-3. — doi:10.1109/csac.2003.1254322.
  5. 1 2 3 Mokube, Iyatiti. Honeypots: Concepts, approaches, and challenges // Proceedings of the 45th annual southeast regional conference : [англ.] / Iyatiti Mokube, Michele Adams. — март 2007. — P. 321–326. — ISBN 9781595936295. — doi:10.1145/1233341.1233399.
  6. Lance Spitzner. Honeypots tracking hackers. — Addison-Wesley, 2002. — P. 68–70. — ISBN 0-321-10895-7.
  7. Katakoglu, Onur Attacks Landscape in the Dark Side of the Web (англ.). acm.org (3 апреля 2017). Дата обращения: 9 августа 2017. Архивировано 10 августа 2017 года.
  8. Litchfield, Samuel; Formby, David; Rogers, Jonathan; Meliopoulos, Sakis; Beyah, Raheem (2016). “Rethinking the Honeypot for Cyber-Physical Systems”. IEEE Internet Computing [англ.]. 20 (5): 9—17. Bibcode:2016IIC....20e...9L. DOI:10.1109/MIC.2016.103. ISSN 1089-7801. S2CID 1271662.
  9. Göbel, Jan Gerrit. Client-Honeypots : [англ.] / Jan Gerrit Göbel, Andreas Dewald, Felix Freiling. — 2011. — ISBN 978-3-486-71151-6. — doi:10.1524/9783486711516.
  10. Talukder, Asoke K. Architecting Secure Software Systems : [англ.] / Asoke K. Talukder, Manish Chaitanya. — CRC Press, 17 декабря 2008. — ISBN 9781420087857.
  11. Exposing the Underground: Adventures of an Open Proxy Server (англ.). Secureworks (21 марта 2011). Дата обращения: 17 июня 2024. Архивировано 5 августа 2025 года.
  12. Edge, Jake Capturing web attacks with open proxy honeypots. LWN.net (3 июля 2007). Дата обращения: 17 июня 2024. Архивировано 23 марта 2025 года.
  13. Deception related technology – it's not just a "nice to have", it's a new strategy of defense – Lawrence Pingree (англ.). Gartner (28 сентября 2016). Дата обращения: 17 июня 2024. Архивировано 1 октября 2016 года.
  14. Praveen What Is a Honeypot in Cybersecurity? Types, Implementation, and Real-World Applications (англ.). Cybersecurity Exchange (31 июля 2023). Дата обращения: 5 декабря 2023. Архивировано 26 апреля 2025 года.
  15. Edwards, M. Antispam Honeypots Give Spammers Headaches. Windows IT Pro. Дата обращения: 11 марта 2015. Архивировано 1 июля 2017 года.
  16. Sophos reveals latest spam relaying countries (англ.). Help Net Security (24 июля 2006). Дата обращения: 14 июня 2013. Архивировано 27 сентября 2007 года.
  17. Honeypot Software, Honeypot Products, Deception Software. Intrusion Detection, Honeypots and Incident Handling Resources. Honeypots.net (2013). Дата обращения: 14 июня 2013. Архивировано 8 октября 2003 года.
  18. dustintrammell. spamhole – The Fake Open SMTP Relay Beta. SourceForge. Dice Holdings, Inc. (27 февраля 2013). Дата обращения: 14 июня 2013. Архивировано 18 июля 2023 года.
  19. Ec-Council. Certified Ethical Hacker: Securing Network Infrastructure in Certified Ethical Hacking : [англ.]. — Cengage Learning, 5 июля 2009. — P. 3–. — ISBN 978-1-4354-8365-1.
  20. What is a honeypot? (англ.), IONOS Digital Guide (8 августа 2017). Архивировано 14 декабря 2024 года. Дата обращения: 14 октября 2022.
  21. Secure Your Database Using Honeypot Architecture. dbcoretech.com (13 августа 2010). Дата обращения: 17 июня 2024. Архивировано 8 марта 2012 года.
  22. Langner, Ralph (май 2011). “Stuxnet: Dissecting a Cyberwarfare Weapon”. IEEE Security & Privacy [англ.]. 9 (3): 49—51. Bibcode:2011ISPri...9c..49L. DOI:10.1109/MSP.2011.67. ISSN 1558-4046. S2CID 206485737. Проверьте дату в |date= (справка на английском)
  23. Stouffer, Keith; Falco, Joe; Scarfone, Karen (июнь 2011). “Guide to Industrial Control Systems (ICS) Security - Supervisory Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS), and other control system configurations such as Programmable Logic Controllers (PLC)” [англ.] (NIST Special Publication (SP) 800-82). Гейтерсберг, Мэриленд: 155. DOI:10.6028/nist.sp.800-82. Проверьте дату в |date= (справка на английском)
  24. Jicha, Arthur. SCADA honeypots: An in-depth analysis of Conpot // 2016 IEEE Conference on Intelligence and Security Informatics (ISI) : [англ.] / Arthur Jicha, Mark Patton, Hsinchun Chen. — сентябрь 2016. — P. 196–198. — ISBN 978-1-5090-3865-7. — doi:10.1109/ISI.2016.7745468.
  25. Conpot. MushMush (23 июня 2023). Дата обращения: 24 июня 2023. Архивировано 1 августа 2025 года.
  26. López-Morales, Efrén. HoneyPLC: A Next-Generation Honeypot for Industrial Control Systems // Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security : [англ.] / Efrén López-Morales, Carlos Rubio-Medrano, Adam Doupé … [et al.]. — Нью-Йорк, США : Association for Computing Machinery, 2 ноября 2020. — P. 279–291. — ISBN 978-1-4503-7089-9. — doi:10.1145/3372297.3423356.
  27. HoneyPLC. SEFCOM (24 мая 2023). Дата обращения: 24 июня 2023. Архивировано 6 июня 2025 года.
  28. Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019). “Review and Analysis of Cowrie Artefacts and Their Potential to be Used Deceptively”. Proceedings of the 2019 International Conference on Computational Science and Computational Intelligence [англ.]. IEEE. pp. 166—171. DOI:10.1109/CSCI49370.2019.00035. ISBN 978-1-7281-5584-5.
  29. Deception Toolkit. All.net (2013). Дата обращения: 14 июня 2013. Архивировано 18 августа 2000 года.
  30. Honeypots for Windows : [англ.]. — 2005. — ISBN 978-1-59059-335-6. — doi:10.1007/978-1-4302-0007-9.
  31. Honeywall CDROM – The Honeynet Project (амер. англ.). Дата обращения: 7 августа 2020. Архивировано 11 октября 2022 года.
  32. Spitzner, Lance. Honeypots Tracking Hackers : [англ.]. — Addison-Wesley Professional, 2002.
  33. Qassrawi, Mahmoud T.; Hongli Zhang (май 2010). “Client honeypots: Approaches and challenges”. 4th International Conference on New Trends in Information Science and Service Science [англ.]: 19—25. Проверьте дату в |date= (справка на английском)
  34. illusive networks: Why Honeypots are Stuck in the Past (англ.). NEA. Дата обращения: 7 августа 2020. Архивировано 23 апреля 2025 года.
  35. cisco router Customer support. Clarkconnect.com. Дата обращения: 31 июля 2015. Архивировано 16 января 2017 года.
  36. Know Your Enemy: GenII Honey Nets Easier to deploy, harder to detect, safer to maintain. Honeynet Project (12 мая 2005). Дата обращения: 14 июня 2013. Архивировано 25 января 2009 года.
  37. National Bureau of Standards (February 15, 1976). Glossary for Computer Systems Security. (англ.). www.govinfo.gov. Дата обращения: 19 марта 2023. Архивировано 30 сентября 2025 года.
  38. An Evening with BerferdIn Which a Cracker is Lured, Endured, and Studied (англ.). cheswick.com. Дата обращения: 3 февраля 2021. Архивировано 8 октября 2025 года.

Литература

  • Lance Spitzner. Honeypots tracking hackers. — Addison-Wesley, 2002. — ISBN 0-321-10895-7.
  • Sean Bodmer. Reverse Deception: Organized Cyber Threat Counter-Exploitation / Sean Bodmer, Max Kilger, Gregory Carpenter … [и др.]. — McGraw-Hill Education, 2012. — ISBN 978-0-07-177249-5.

Ссылки

Категории