Detekování útoků v síti levně a efektivně

Kdo provozuje síť, měl by zároveň dělat i nějaká bezpečnostní opatření. Útočníků, kteří se snaží najít chybu v systému neustále přibývá. A na to, aby nám znepříjemnili život stačí chyba jediná. Proto bychom měli v síti používat technologie, jež umí detekovat, že k útoku dochází a na tuto skutečnost nás včas upozornily.

Obecně jde o to, detekovat v síti takovou aktivitu, kterou běžní uživatelé nedělají. Když útočník pronikne do sítě, je zprvu v naprosto neznámém prostředí, ve kterém se musí nejprve zorientovat. Začne vyhledávat zařízení a služby a snaží se odhalit zranitelnost, prostřednictvím které by se mohl dostat blíže ke svému cíli. Motivem může být krádež dat, ovlivnění nebo ochromení fungování organizace.

 

Účinným nástrojem pro odhalení takového útočníka během jeho průzkumu je Honeypot (anglicky „hrnec medu“). V podstatě se jedná o past, fiktivní informační systém, jehož jediným účelem je přitáhnout potenciální útočníky a zaznamenat jejich aktivity, když se s ním budou chtít spojit. Běžný uživatel, který o existenci takového zařízení neví, se o spojení snažit nebude, proto má systém minimum špatných detekcí.

Honeypoty jsou používány zejména pro včasné detekování malwaru (škodlivého software, jež je určený k poškození nebo vniknutí do systému) a následnou analýzu jeho chování. Vzhledem k tomu, že se malwary neustále zdokonalují, skrývají a mění svou strategii, je potřeba je nalákat a poté analyzovat jejich chování. Získané informace jsou cenné pro aktualizování antivirových aplikací. V případě napadení reálného systému malwarem, je obtížné takovou analýzu provést. Honeypoty automaticky sbírají data o činnosti útočníka, analyzují je a následně vyloučí nebo potvrdí, že se jedná o škodlivý kód.

Honeypoty se někdy sdružují do sítě, tzv. honeynetu. V těchto sítích jsou sdílena data o malwarech a jejich trendech. Takovou síť provozuje třeba CZ.NIC pod názvem Haas (Honeypot as a Service).

Nejčastější členění honeypotů je dle míry interakce a dle směru interakce. Zdroj: https://cs.wikipedia.org/

míra interakce	Honeypoty s nízkou mírou integrace umí simulovat jen pár funkcí, rychle se nasazují a poměrně snadno lze jejich prostřednictvím zmapovat hrozby. Nemusí být instalovány v reálném operačním systému, jehož služby napodobují. Obvykle nezvládnou detekovat nový druh útoku.
	Honeypoty s vysokou mírou integrace zobrazují kompletní reálný systém, se všemi službami a funkcemi. Údržba takového systému je však složitější, neboť se může stát, že dojde k napadení celého systému včetně honeypotu. Systém je schopen detekovat i nové druhy útoků.
směr interakce	Serverové honeypoty vyčkávají, než je útočník sám napadne Výhodou je zpracování velkého množství požadavků, převážně detekce červů a exploitů síťových služeb.
	Klientské honeypoty simulují chování obyčejného uživatele systému nejčastěji formou procházení internetových stránek. Díky tomu je možno získat informace o malwaru, který není možný zachytit jiným způsobem. Jedná se o typické hrozby jako je phishing, zranitelnosti prohlížečů nebo různé „drive by“ infekce.

 

V našem informačním systému provozujeme několik systémů lákajících případné útočníky. Cílem jejich provozování je identifikace možných útočníků a zaznamenání jejich chování. Honeypoty provozujeme jak veřejně (přístupné ze sítě Internet, tak interně v našich interních sítích.)
Honeypoty užíváme především pro detekci neoprávněných pokusů o přístup k našim systémům, ale také k automatickému blokování dalších pokusů o přístup k našim standardním službám. (Některé podezřelé pokusy o interakci s našimi honeypoty jsou automaticky blokovány naší síťovou infrastrukturou.)

V současnosti provozujeme dva různě odpovídající systémy poskytující různé síťové služby. Zde jsme zveřejnili jejich týdenní statistiku.

Filozofie našeho řešení je založena na:

	identifikaci pokusů o skenování systémů a sítí;
	varování pokusů o přístup ke službám, které nejsou užívány běžnými uživateli (falešné webové, souborové a FTP servery);
	varování pokusů o přístup k administrativnímu rozhraní (servisní přístupy správců, FTP servery, webová rozhraní, SSH servery, telnet servery, apod.).

 

Implementace a zprovoznění Honeypotů je poměrně jednoduchou záležitostí. Výstupy z honeypotů jsou dalším zdrojem informací pro správce systémů a jednoznačně fungují jako levné preventivní řešení?