Журнал "Information Security/ Информационная безопасность" #5, 2024

Несмотрянаизящностьидеи,довольно быстросталоочевидно,чтостандартный подходкловушкамнелишеннедостат- ков.Так,злоумышленникимоглибыстро распознатьискусственностьинфраструк- туры.Например,наLinux-серверенеожи- даннопоявлялсяRDP-сервис,иливсе приманкивеликединойконсоливир- туализации,чтоеедемаскировало. Аутентичность ловушек СоздаваяDeception-решениеHoneyCorn 1 , мыучлиэтотаспектинаучилисьсоздать ловушки,неотличимыеотреальных систем.Втомчислеидляэтихцелей появилиськонструкторы:онипозволяют создаватьсистемытак,чтоихневоз- можноотличитьоторигиналов,незави- симоотспецификиИТ-инфраструктуры заказчика.Если,например,укомпании естьуникальнаябазаданных,собствен- наяверсия1Силииндивидуальнаякли- ент-банковскаясистема,HoneyСorn можетвоспроизвестиловушку,которая будетсимулироватьдляэтихактивов уязвимостьвеб-сервиса,базыданных, операционнойсистемыилидругихпро- граммныхкомпонентов. Аблагодаряудобномуконструктору заказчикимогутнастраиватьтакие ловушкисамостоятельнобезпомощи специалистов,безнеобходимостипрограм- мированияилиинтеграциивсистему– всеэтодоступно"изкоробки".Результа- тыработыкаждогоизпятиконструкторов ничемнеотличаютсяотреальныхсистем. 1.КонструктордляLinuxподдерживает различныедистрибутивы,включая AstraLinuxиUbuntu,ипозволяетмоде- лироватьлюбыеуязвимости,свойствен- ныеэтимсредам. 2.КонструктордляWindowsаналоги- ченпофункционалу,ноориентирован наоперационнуюсистемуWindows. 3.Веб-конструкторособенноинтересен тем,чтопозволяетбезопасноинжектиро- ватьлюбыеуязвимостивсуществующие веб-ресурсыилисоздаватьсвоисобст- венныеуязвимыепорталы,включающие SQL-инъекции,межсайтовыйскриптинг XSS,ошибкивмеханизмахаутентифика- цииилюбыедругиеуязвимостисвой- ственныедлявеба.Этотконструкторпоз- воляетсоздаватьсимуляциилюбыхвеб- сервисов,атакжеинжектироватьуязви- мостивфайлыэлектроннойпочтыдля созданияфишинговыхприманок. 4.КонструктордляSyslog-систем имитируетлюбыеустройстваисерви- сы,отправляющиеSyslog-сообщения, будьтосистемывидеонаблюдения, системыконтролядоступаилимежсе- тевыеэкраны. 5.Конструкторуязвимостейопера- ционнойсистемысоздаетинтерактивные ловушки,гдезлоумышленниквзаимо- действуетссистемой,например,пытаясь повыситьпривилегииилиполучить доступкданным. Этипятьконструкторовдаютвозмож- ностьглубокоигибковоспроизводить сетевыеипрограммныеловушки.Мы такжеразработалиметодологиюдля моделированияинфраструктурынаосно- ветипичныхатак,чтопозволяетвнедрять ловушкивреальныесценарии.Врезуль- тате,когдазлоумышленник,полагая,что нашелиуспешноэксплуатируетуязви- мость,насамомделеполностьюконтро- лируетсясистемойHoneyСorn. HoneyPot вслед за новыми уязвимостями ВсистемеHoneyСornсобранаобшир- наябазауязвимостей,охватывающая разныекатегории:длявеб-сервисов, дляоперационныхсистемивнутренние уязвимостидляэмуляцииихэксплуата- ции.Заказчикамдоступнанетолько работас встроеннымиуязвимостями, ноивозможностьдобавлениясобст- венных.Например,есливходепентестов выявлен0-day,длянегоможноопера- тивносоздатьловушкуспомощьюкон- структора. Втораяинтереснаявозможностькаса- етсятипа"Follow-us".Такназываютдина- мическиеловушки,работающиечерез виртуализациюилиоркестрациюв Docker-контейнерах:ониавтоматически перемещаютсяимогутнаходитьсявраз- ныхсегментахсети.Плюсэтойтехноло- гиивтом,чтоонапозволяетбыстрораз- вертыватьимасштабироватьловушки, нозлоумышленникичастораспознают такуюсистемуиз-заеестранныхпере- мещенийпоадресамипортамили необычнойвиртуализации. Номыпошлиинымпутем:создали возможностьупаковыватьловушки в образыипередаватьихзаказчику, чтобыонмогразмещатьихвсвоей системе,управляяимисамостоятель- но –черезKubernetes,DockerSwarm илидругиеплатформыоркестрации. Крометого,вближайшеевремя, появитсяинтеграционноеAPIHoneyCorn, позволяющееотправитькомандуSOAR быстроразвернутьловушкивсети,если, например,SIEMобнаружилподозри- тельнуюактивность.Такаяимитация– этоэлементстратегииреагирования: попавшеговловушкузлоумышленника системанадолгоизолируетвней,рас- крываяегоTTPидаваявремякоманде реагированиявыполнитьзапланирован- ныеплейбуки. Этотподходбудетнамиразвивать- ся,онвключитболеесложныеэле- ментызащиты:например,создание изолированныхVLAN,вкоторые можнопринудительноперемещать подозрительныеIP-адреса.Таким 36 • СПЕЦПРОЕКТ Безопасность на опережение: сегодняшний день и перспективы технологий HoneyPot и Deception стория ханипотов как идеи использования приманок и токенов для защиты информации началась 20–30 лет назад, когда благодаря усилиям энтузиастов и сообществ Open Source были разработаны первые решения такого рода. Тем не менее, долгое время они не находили применения в крупных корпорациях и бизнес-среде. И Максим Прокопов, основатель HoneyCorn Фото:HoneyCorn 1 https://honeycorn.ru/