Разновидности кибератак

Prof-Post Информационная безопасность

Возможностей получить защищенные данный любой из систем – множество. Сюда можно отнести и вредоносные ПО, и целенаправленные взломы-атаки, и фишинг, и прочие. Атаке может быть подвержена любая сеть и подключенные к ней приборы. Если говорить о фишинге и сравнить его с целевыми атаками, здесь есть отличия. Дело в том, что целевыми атаками занимаются исключительно профессиональные хакеры. Их задача заключается в том, чтобы попасть в сеть интересующей организации, проникнуть в инфраструктуру, а после – получить все нужные им данные с сервера и других носителей. И здесь абсолютно никакого значения не имеет способ атаки хакером сети – он в конечном итоге наверняка получит желаемое.

Рассмотрим самую простую целевую атаку – вредоносный инсайдер, который обладает вполне легальными полномочиями, и находится уже внутри компании. У него есть мотивы подключаться к важным носителям ценной информации, что в целом укладывается в его должностные обязанности. Помимо этой работы, ей предшествует сбор данные внутри инфраструктуры – это обязательный этап целевой атаки. Перед сотрудниками сервиса защиты стоит задача – выявить и обезвредить атаку на любой стадии ее подготовки, в том числе в момент изучения сети. Не стоит забывать, что на каждое решение предпринять такие попытки есть противовес.

Дело в том, что большая часть сервисов обрабатывает большой объем информации, в основном вполне легальной. Лишь небольшая ее часть может указать на вредоносную активность в сети. И сервису предстоит дифференцировать эту незначительную долю от основного крупного объема.

Ханипоты – отдельно выделенная часть вариантов решений, иными словами – «пассивные ловушки», действие которых всегда направлено на борьбу с действиями хакеров. К примеру, можно распознать, какую учётную запись использует инсайдер для обращения к активам, - легитимную или нет. По заданным корреляционным правилам можно определить вредоносную активность, но это делается вручную, и особенно трудоемко в связи с этой особенностью. В целом можно сказать, что ханипоты обнаруживают возможную предстоящую атаку с минимальной погрешностью и вероятностью ложного срабатывания. Вот в чем их главное отличие от других решений.

В чем заключается работа?

В любой компании все сервисы сообщаются между собой: сюда можно отнести и почту, и системы передачи данных, и хранилища файлов и прочее. Злоумышленник в 99% случаев преследует одну цель – узнать все о работе системы, ее структуре, узлах, проникнуть к главному файловому хранилищу, чтобы получить интересующую его информацию и данные, которые в последующем могут быть монетизированы. Так происходит в случае, когда целью является получение информации, а не сбой в работе систем организации, что может выражаться в удалении ценных данных, нарушении работы всей инфраструктуры. Прежде чем такое случится, злоумышленник наверняка проведёт тщательное изучение – разведает систему. Делать это он будет посредством сетевых запросов, сбора данных о каждом из сегментов сети компании, проведения специального инструментального анализа. Далее он изучит систему на уязвимость, выявит ее «слабые» места, рассмотрит, какие используются ОС, из чего складывается сетевое оборудование и его элементы.

Кроме того, для хакера важно знать, из каких еще сегментов состоит сеть, можно ли как-то перемещаться между ними, стоит ли для каждого учётная запись, какая используется для администрирования, пользовательская или привилегированная.

Если система защиты будет выстроена таким образом, что злоумышленник столкнется с дублями элементов инфраструктуры, это позволит направить его по ложному следу и зафиксировать попытки получить доступ системой безопасности администратора. Так, при правильной организации сил и средств, можно оперативно и на начальном этапе выявить и ликвидировать потенциальную угрозу для всей системы компании.

Ханипот – какой тип выбирать

Ханипоты подразделяются на две основные группы:

Первая, где происходит эмуляция IT-сервисов.

То есть любой из сервисов принимает на себя поведение другого. Суть такой ловушки заключается в том, чтобы вызвать на себя коннект и среагировать, как будто она – настоящий сервис, не являясь при этом таковым. Такой ход нужен для администратора безопасности, чтобы отследить любую подозрительную активность и отличить ее от других реальных процессов. В свою очередь, хакер, не зная, что перед ним муляж, начинает взаимодействие. Его цель – атака на базу данных, и злоумышленник начинает подключение к основному серверу и ОС, чтобы работать с ними, как с активом, не подозревая ничего. Никто из легитимных пользователей не знает о такого типа ловушках, да и нет у них необходимости в подключении к ним. Любая попытка подключения будет отслежена оператором, и он будет готов к действиям, связанными с защитой системы.

Преимуществом такого ханипота является его единственность в линейке средств защиты, так как у него практически нулевой процент ложных срабатываний, чего не сказать о других системах. Для администрирования это – практически идеальное решение, ведь любое срабатывание – гарантированное указание, что предпринимаются попытки атаковать систему.

Ко второй группе ханипотов относят муляж инфотокенов, а не всего сервиса.

Имеется ввиду использование учётных записей, паролей, ссылок или документов. Такие ловушки можно считать более простым вариантом защиты, так как они – всего лишь часть информации, за которой кроется то, что ищет злоумышленник. Хакер, столкнувшись с такими данными, скорее всего, найдет их полезными для себя и попытается взломать. Ему ведь не известно, что перед ним – несуществующая информация, отсюда следует, что он гарантированно предпримет попытки проверить обнаруженные данные, применить их в своих целях и прочее. На первый взгляд все выглядит идеально: данные найдены, их можно использовать для входа в систему, подключиться к ней, получить информацию, к примеру, с сервера. Ловушка обнаружит его прямо здесь. В это же время администратор безопасности уже получил сигнал о подозрительной активности в сети, и с помощью SIEM зафиксировал попытку проникновения и получения доступа. После происходит локализация атаки посредством информации с источника о времени и месте подключения, и происходит это автоматически.

Чтобы начать поиск злоумышленника и его поимку, этих данных достаточно для применения специальных средств. Безусловно, разновидностей множество, это – лишь один из вариантов развития событий. Хакеры часто уверены, что токен-обманка отличается особенными преимуществами, которые позволят ему выступить в роли администратора любого желаемого сервиса, чтобы после подключиться к ОС. Логи фиксируют и такие попытки, и те, что срабатывают в системе хонепотов, как распознавание подозрительных подключений.

Преимущество

Нельзя упустить некоторые детали, крайне важные. Речь идет о ханипотах, которые способны наладить анализ подозрительной активности там, где другие варианты защиты не подойдут. Хакеры в своем большинстве уделяют внимание нетрадиционным поверхностям атак, это касается в своем большинстве сфер промышленности или здравоохранения. Почему именно это направление? Все дело в том, что ПО данных сфер технически не позволяют разместить агента безопасности. Для размывания поверхности атаки создается муляж программируемых логических контроллеров, системы банковских расчётов и прочее, исходя из области деятельности компании. Перед злоумышленником предстанет картина, когда он не будет понимать, что из этого правда, а что – ложь. Остается надеяться на его ошибку и быстрое обнаружение.

Говоря о ханипотах, стоит отметить простоту их настройки. Система управления при запуске муляжей начинает работу по внедрение эмуляций в разных местах внутри сети. Это могут быть и рабочие места, и серверы с данными, и система администрирования – все происходит в автоматическом режиме. Ханипоты, которые имитируют сервис, оснащены заранее шаблонами всевозможных инфосистем. Задача администратора только в том, чтобы сделать выбор, какие активы нужно защитить, и запустить ловушки.

Что изменилось в ханипотах с момента их появления?

Существенная разница существует между современными ханипотами и теми, которые были первоначальной версией. Сегодня у них появилось множество опций и преимуществ. Первые ханипоты могли имитировать сервис, а сегодня – они могут стать активами любой выбранной организации.

Как пример, учётные записи. Для любой системы в компании применимы шаблоны имен сотрудников – они хранятся в отдельной службе каталогов, где у каждого пользователя есть имя и фамилия, и единый логин адреса почтового ящика. Ханипот работает путем производства анализа таких данных, а после – разрабатывает систему ловушек, исходя из реальных и действующих данных. Система приманок создает фейковых пользователей, которые максимально схожи с теми, которые используются в домене организации.

Еще одно преимущество ханипотов – возможность интеграции с внешним сервисом, например с SIEM. Для администратора чрезвычайную важность представляют сведения о том, кто и где был обнаружен системой ханипотов. Это необходимо для создания новых ловушек с учетом особенностей ранее выявленных атак. Кроме того, администратор еще и фиксирует все попытки аутентификации с фейковыми учётными данными. Ханипоты отличаются преимуществом умения считывания логов даже в случае неудачных атак с использованием подставных учётных данных.

Факты применения злоумышленником инфотокенов можно фиксировать посредством создания правил корреляции. Таким образом, определение надвигающейся атаки будет максимально точным и быстрым.

А как на деле?

Заказчикам часто интересно, что происходит не только внутри сети, но и за ее пределами. Для этого применяются сервисы, когда ловушки располагаются в DMZ-зоне. Статистика указывает на то, что атаки идут как автоматическим способом, так и проскакивают варианты с ручным взаимодействием с ловушками – хакеры применяют уязвимые места, которые они обнаруживают путем сканирования.