Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

В компьютерной терминологии приманка - это механизм компьютерной безопасности , установленный для обнаружения, отражения или, каким-либо образом, противодействия попыткам несанкционированного использования информационных систем . Обычно приманка состоит из данных (например, на сетевом сайте), которые кажутся законной частью сайта и содержат информацию или ресурсы, представляющие ценность для злоумышленников. На самом деле он изолирован, отслеживается и способен блокировать или анализировать злоумышленников. Это похоже на полицейские спецоперации , которые в просторечии называют «травлей» подозреваемого. [1]

Схема приманки информационной системы

Типы [ править ]

Приманки можно классифицировать в зависимости от их развертывания (использования / действия) и уровня их участия. В зависимости от развертывания приманки можно классифицировать как: [2]

  • производственные приманки
  • исследовательские приманки

Производственные приманки просты в использовании, собирают только ограниченную информацию и используются в основном корпорациями. Производственные приманки размещаются внутри производственной сети вместе с другими производственными серверами организацией, чтобы улучшить их общее состояние безопасности. Обычно производственные приманки представляют собой приманки с низким уровнем взаимодействия, которые проще развернуть. Они предоставляют меньше информации об атаках или злоумышленниках, чем исследовательские приманки. [2]

Исследовательские приманки запускаются для сбора информации о мотивах и тактике сообщества черных шляп, нацеленных на различные сети. Эти приманки не приносят прямой ценности конкретной организации; вместо этого они используются для исследования угроз, с которыми сталкиваются организации, и для того, чтобы узнать, как лучше защитить себя от этих угроз. [3] Исследовательские приманки сложны в развертывании и обслуживании, собирают обширную информацию и используются в основном исследовательскими, военными или правительственными организациями. [4]

По критериям проектирования приманки можно разделить на: [2]

  • чистые приманки
  • приманки с высоким уровнем взаимодействия
  • приманки с низким уровнем взаимодействия

Чистые приманки - это полноценные производственные системы. Действия злоумышленника отслеживаются с помощью обнаружения ошибок, установленного на ссылке приманки в сеть. Никакого другого программного обеспечения устанавливать не требуется. Несмотря на то, что чистая приманка полезна, скрытность защитных механизмов может быть обеспечена с помощью более контролируемого механизма.

Приманки с высокой степенью взаимодействия имитируют деятельность производственных систем, в которых размещены различные службы, поэтому злоумышленнику может быть позволено множество служб тратить свое время зря. Используя виртуальные машины , можно разместить несколько приманок на одной физической машине. Таким образом, даже если приманка взломана, ее можно будет восстановить быстрее. В общем, приманки с высоким уровнем взаимодействия обеспечивают большую безопасность, поскольку их трудно обнаружить, но они дороги в обслуживании. Если виртуальные машины недоступны, для каждой приманки необходимо обслуживать один физический компьютер, что может быть непомерно дорогостоящим. Пример: Honeynet .

Приманки с низким уровнем взаимодействия моделируют только те услуги, которые часто запрашиваются злоумышленниками. Поскольку они потребляют относительно мало ресурсов, несколько виртуальных машин могут быть легко размещены в одной физической системе, виртуальные системы имеют короткое время отклика и требуется меньше кода, что снижает сложность безопасности виртуальной системы. Пример: Honeyd .

Технология обмана [ править ]

Недавно появился новый сегмент рынка, называемый технологией обмана , использующий базовую технологию приманки с добавлением расширенной автоматизации для масштабирования. Технология обмана предназначена для автоматического развертывания ресурсов-приманок на большом коммерческом предприятии или государственном учреждении. [5]

Приманки для вредоносных программ [ править ]

Приманки для вредоносных программ используются для обнаружения вредоносных программ путем использования известных векторов репликации и атак вредоносных программ. Векторы репликации, такие как флэш-накопители USB, можно легко проверить на предмет наличия модификаций либо вручную, либо с помощью специальных приманок, имитирующих накопители. Вредоносное ПО все чаще используется для поиска и кражи криптовалют. [6]

Спам-версии [ править ]

Спамеры злоупотребляют уязвимыми ресурсами, такими как открытые почтовые ретрансляторы и открытые прокси . Это серверы, которые принимают электронную почту от всех в Интернете, включая спамеров, и отправляют ее по назначению. Некоторые системные администраторы создали программы-приманки, маскирующиеся под эти ресурсы, которыми можно злоупотреблять, для обнаружения активности спамеров.

Такие приманки предоставляют этим администраторам несколько возможностей, и существование таких поддельных систем, которыми можно злоупотреблять, делает злоупотребление более трудным или рискованным. Приманки могут быть мощным средством противодействия злоупотреблениям со стороны тех, кто полагается на злоупотребления в очень больших объемах (например, спамеров).

Эти приманки могут раскрывать IP-адрес злоумышленника и обеспечивать массовый захват спама (что позволяет операторам определять URL - адреса спамеров и механизмы ответа). Как описал М. Эдвардс в ИТПРО сегодня:

Обычно спамеры проверяют почтовый сервер на открытую ретрансляцию, просто отправляя себе сообщение электронной почты. Если спамер получает сообщение электронной почты, почтовый сервер, очевидно, разрешает открытую ретрансляцию. Однако операторы приманки могут использовать тест ретрансляции для предотвращения распространения спама. Приманка перехватывает тестовое сообщение электронной почты ретрансляции, возвращает тестовое сообщение электронной почты и впоследствии блокирует все остальные сообщения электронной почты от этого спамера. Спамеры продолжают использовать ловушку антиспама для рассылки спама, но спам никогда не доставляется. Между тем, оператор приманки может уведомить интернет-провайдеров спамеров и аннулировать их учетные записи в Интернете. Если операторы приманки обнаруживают спамеров, использующих открытые прокси-серверы, они также могут уведомить оператора прокси-сервера о блокировке сервера для предотвращения дальнейшего неправомерного использования. [7]

Очевидным источником может быть другая система, которой злоупотребляют. Спамеры и другие злоумышленники могут использовать цепочку таких систем, подвергшихся злоупотреблениям, чтобы затруднить обнаружение исходной отправной точки трафика злоупотреблений.

Это само по себе свидетельствует о мощи приманок как средств защиты от спама . На заре создания приманок для защиты от спама спамеры, не заботясь о сокрытии своего местоположения, чувствовали себя в безопасности, проверяя уязвимости и рассылая спам прямо из своих собственных систем. Приманки сделали злоупотребление более опасным и трудным.

Спам по-прежнему идет через открытые ретрансляторы, но его объем намного меньше, чем в 2001–2002 годах. Хотя большая часть спама происходит из США, [8] спамеры перепрыгивают через открытые ретрансляторы через политические границы, чтобы замаскировать свое происхождение. Операторы приманок могут использовать тесты перехваченной ретрансляции для распознавания и предотвращения попыток пересылки спама через свои приманки. «Помешать» может означать «принять рассылаемый спам, но отказаться от его доставки». Операторы приманки могут обнаружить другие подробности о спаме и спамере, изучив захваченные спам-сообщения.

Приманки с открытой ретрансляцией включают Jackpot, написанный на Java Джеком Кливером; smtpot.py , написанный на Python Карлом А. Крюгером; [9] и spamhole , написанный в C . [10] Жвачка Proxypot является открытым исходным кодом приманка (или «Proxypot»). [11]

Электронная ловушка [ править ]

Основная статья: Spamtrap

Адрес электронной почты, который не используется ни для каких других целей, кроме получения спама, также может считаться ловушкой для спама. По сравнению с термином « спам-ловушка », термин «приманка» может быть более подходящим для систем и методов, которые используются для обнаружения зондов или противодействия им. С помощью спам-ловушки спам приходит к месту назначения «законным образом» - точно так же, как и электронная почта, не являющаяся спамом.

Объединением этих методов является Project Honey Pot , распределенный проект с открытым исходным кодом, в котором используются страницы-приманки, установленные на веб-сайтах по всему миру. Эти страницы-приманки распространяют адреса электронной почты спам- ловушек с уникальными тегами, после чего спамеры могут быть отслежены - соответствующие спам-сообщения впоследствии отправляются на эти адреса электронной почты для спам-ловушек.

Приманка для базы данных [ править ]

Базы данных часто подвергаются атакам злоумышленников с использованием SQL-инъекций . Поскольку такие действия не распознаются базовыми брандмауэрами, компании часто используют брандмауэры баз данных для защиты. Некоторые из доступных брандмауэров баз данных SQL предоставляют / поддерживают архитектуры ловушек, так что злоумышленник работает с базой данных ловушек, в то время как веб-приложение остается работоспособным. [12]

Обнаружение приманки [ править ]

Так же, как приманки - это оружие против спамеров, системы обнаружения приманок - это противодействие спамерам. Поскольку системы обнаружения, скорее всего, будут использовать уникальные характеристики конкретных приманок для их идентификации, такие как пары свойство-значение конфигурации приманок по умолчанию [13], многие используемые приманки используют набор уникальных характеристик, более значительных и более сложных для тех, кто стремится обнаружить и тем самым идентифицировать их. Это необычное обстоятельство в программном обеспечении; ситуация, в которой "версионит" (большое количество версий одного и того же программного обеспечения, незначительно отличающихся друг от друга) может быть выгодным. Также есть преимущество в развертывании нескольких легко обнаруживаемых приманок. Фред Коэн , изобретатель Deception Toolkit, утверждает, что каждая система, в которой работает его приманка, должна иметь порт обмана, который злоумышленники могут использовать для обнаружения приманки. [14] Коэн считает, что это может отпугнуть противников.

Риски [ править ]

Цель приманок - привлечь и задействовать злоумышленников в течение достаточно длительного периода, чтобы получить высокоуровневые индикаторы взлома (IoC), такие как инструменты атаки и тактики, методы и процедуры (TTP). Таким образом, приманка должна имитировать основные сервисы в производственной сети и предоставлять злоумышленнику свободу действий, чтобы повысить свою привлекательность для злоумышленника. Хотя приманка является контролируемой средой и может контролироваться с помощью таких инструментов, как honeywall [15], злоумышленники могут по-прежнему использовать некоторые приманки в качестве узловых точек для проникновения в производственные системы. [16] Этот компромисс между привлекательностью приманки и риском проникновения был исследован качественно.[17] и количественно. [18]

Второй риск приманок заключается в том, что они могут привлекать законных пользователей из-за отсутствия связи в крупномасштабных корпоративных сетях. Например, группа безопасности, которая применяет и контролирует приманку, может не раскрывать местоположение приманки для всех пользователей вовремя из-за отсутствия связи или предотвращения внутренних угроз. [19] [20] Теоретико-игровая модель [21] была предложена для одновременного стимулирования злонамеренных пользователей и сдерживания легальных пользователей для доступа к приманке за счет использования разницы в полезности между двумя типами пользователей.

Медовые сети [ править ]

«Медовая сеть» - это сеть приманок с высоким уровнем взаимодействия, которая имитирует производственную сеть и настроена таким образом, что вся активность отслеживается, записывается и в определенной степени незаметно регулируется ».

-Лэнс Шпицнер,
Honeynet Project

Две или более приманки в сети образуют сеть для меда . Обычно медовая сеть используется для мониторинга более крупной и / или более разнообразной сети, в которой одной приманки может быть недостаточно. Медовые сети и приманки обычно реализуются как части более крупных систем обнаружения вторжений в сеть . Мед ферма представляет собой централизованный сбор приманок и инструментов анализа. [22]

Идея сети для меда впервые появилась в 1999 году, когда Лэнс Шпицнер, основатель проекта Honeynet , опубликовал статью «Чтобы построить приманку». [23]

История [ править ]

Самые ранние методы приманки описаны в книге Клиффорда Столла 1989 г. «Яйцо кукушки» .

Один из самых ранних задокументированных случаев использования приманки для кибербезопасности начался в январе 1991 года. 7 января 1991 года, когда он работал в AT&T Bell Laboratories, Чесвик заметил, что хакер-преступник, известный как взломщик, пытался получить копию файла паролей. . Чесвик писал, что он и его коллеги построили «chroot» Jail (или «таракан-мотель») », который позволял им наблюдать за нападавшим в течение нескольких месяцев. [24]

В 2017 году голландская полиция использовала методы приманки для отслеживания пользователей даркнет-рынка Hansa .

Метафора медведя, которого привлекает мед и ворует его, распространена во многих традициях, включая германские, кельтские и славянские. Общеславянского слово медведя МЕДВЕДЬ «медовый людоед». Традиция кражи меда медведями передается в сказках и фольклоре, особенно в известном Винни-Пухе . [25] [26]

См. Также [ править ]

  • Канарейка
  • Клиентская приманка
  • Каури
  • Медовая обезьяна
  • Honeytoken
  • Сетевой телескоп
  • Операция Доверие
  • Битумная яма
  • Стратегия защиты (вычисления)

Ссылки и примечания [ править ]

  1. ^ Коул, Эрик; Норткатт, Стивен. «Приманки: руководство по приманкам для менеджера по безопасности» .
  2. ^ a b c Мокубе, Иятити; Адамс, Мишель (март 2007 г.). «Приманки: концепции, подходы, проблемы» . Материалы 45-й ежегодной юго-восточной региональной конференции : 321–326.
  3. ^ Lance Spitzner (2002). Приманки, отслеживающие хакеров . Эддисон-Уэсли . С. 68–70. ISBN 0-321-10895-7.
  4. ^ Катакоглу, Онур (2017-04-03). «Атакующий ландшафт на темной стороне сети» (PDF) . acm.org . Проверено 9 августа 2017 .
  5. ^ «Технология, связанная с обманом - это не просто« приятно иметь », это новая стратегия защиты - Лоуренс Пингри» . 28 сентября 2016 г.
  6. Litke, Pat. «Пейзаж вредоносного ПО для кражи криптовалюты» . Secureworks.com . SecureWorks. Архивировано из оригинала 22 декабря 2017 года . Проверено 9 марта +2016 .
  7. ^ Эдвардс, М. «Приманки для защиты от спама вызывают головную боль у спамеров» . Windows для ИТ-специалистов. Архивировано из оригинала на 1 июля 2017 года . Проверено 11 марта 2015 года .
  8. ^ "Sophos раскрывает последние страны, рассылающие спам" . Справка Net Security . Справка Net Security. 24 июля 2006 . Проверено 14 июня 2013 года .
  9. ^ «Программное обеспечение Honeypot, Продукты Honeypot, Программное обеспечение для обмана» . Обнаружение вторжений, приманки и ресурсы для обработки инцидентов . Honeypots.net. 2013. Архивировано из оригинала 8 октября 2003 года . Проверено 14 июня 2013 года .
  10. ^ Dustintrammell (27 февраля 2013 г.). "spamhole - бета-версия Fake Open SMTP Relay" . SourceForge . Dice Holdings, Inc . Проверено 14 июня 2013 года .
  11. Ec-Council (5 июля 2009 г.). Сертифицированный этический хакер: защита сетевой инфраструктуры при сертифицированном этическом взломе . Cengage Learning. С. 3–. ISBN 978-1-4354-8365-1. Проверено 14 июня 2013 года .
  12. ^ «Защитите свою базу данных с помощью архитектуры Honeypot» . dbcoretech.com. 13 августа 2010 года в архив с оригинала на 8 марта 2012 года.
  13. ^ Кабрал, Уоррен; Валли, Крейг; Сикос, Лесли; Вакелинг, Сэмюэл (2019). «Обзор и анализ артефактов Каури и их возможности обмана». Труды 2019 Международная конференция по вычислительным наукам и вычислительного интеллекта . IEEE. С. 166–171. DOI : 10,1109 / CSCI49370.2019.00035 .
  14. ^ «Набор средств обмана» . All.net . All.net. 2013 . Проверено 14 июня 2013 года .
  15. ^ "Honeywall CDROM - Проект Honeynet" . Проверено 7 августа 2020 .
  16. ^ Spitzner, Lance (2002). Приманки, отслеживающие хакеров . Эддисон-Уэсли Профессионал. OCLC 1153022947 . 
  17. ^ Пуже, Фабьен; Дасье, Марк; Дебар, Эрве (14 сентября 2003 г.). Белая книга: honeypot, honeynet, honeytoken: терминологические вопросы . EURECOM. OCLC 902971559 . 
  18. ^ Хуанг, Линан; Чжу, Куанян (2019), «Адаптивное вовлечение приманки посредством обучения с подкреплением полумарковских процессов принятия решений», конспект лекций по информатике , Cham: Springer International Publishing, стр. 196–216, arXiv : 1906.12182 , doi : 10.1007 / 978- 3-030-32430-8_13 , ISBN 978-3-030-32429-2, S2CID  195750533
  19. ^ Qassrawi, Mahmoud T .; Хунли Чжан (май 2010 г.). «Клиентские приманки: подходы и проблемы» . 4-я Международная конференция по новым тенденциям в информатике и сервисе : 19–25.
  20. ^ «иллюзорные сети: почему приманки застряли в прошлом | NEA | New Enterprise Associates» . www.nea.com . Проверено 7 августа 2020 .
  21. ^ Хуанг, Линан; Чжу, Цюаньянь (14.06.2020). «Игра двойственности: проактивный автоматизированный механизм защиты, созданный с помощью обмана». arXiv : 2006.07942 [ cs.GT ].
  22. ^ "Поддержка клиентов маршрутизатора Cisco" . Clarkconnect.com. Архивировано из оригинала на 2017-01-16 . Проверено 31 июля 2015 .
  23. ^ «Знай своего врага: медовые сети поколения II. Легче развернуть, труднее обнаружить, безопаснее поддерживать» . Honeynet Project . Honeynet Project. 12 мая 2005 года Архивировано из оригинала 25 января 2009 года . Проверено 14 июня 2013 года .
  24. ^ «Вечер с Берфердом, в котором взломщика заманивают, терпят и изучают» (PDF) . cheswick.com . Дата обращения 3 февраля 2021 .
  25. ^ "Слово для" медведя " " . Pitt.edu . Дата обращения 12 сентября 2014 .
  26. Перейти ↑ Shepard, EH, Milne, AA (1994). Полные сказки Винни-Пуха. Соединенное Королевство: Детские книги Даттона.

Дальнейшее чтение [ править ]

  • Лэнс Шпицнер (2002). Приманки, отслеживающие хакеров . Эддисон-Уэсли . ISBN 0-321-10895-7.
  • Шон Бодмер; Макс Килгер; Грегори Карпентер; Джейд Джонс (2012). Обратный обман: противодействие организованной киберугрозе . McGraw-Hill Education . ISBN 978-0-07-177249-5.

Внешние ссылки [ править ]

  • The Ultimate Fake Access Point - взлом парольной фразы WPA2 без доступа к точке доступа
  • Проект распределенных открытых прокси-приманок: WASC
  • Институт SANS: Что такое горшок с медом?
  • Институт SANS: фундаментальный ханипоттинг
  • Проект Приманка
  • Кураторский список приманок, инструментов и компонентов, ориентированный на проекты с открытым исходным кодом.