Honeypot

Honeypot – trochę zapomniany sposób na intruza

Muszę się Wam przyznać, że jeszcze do niedawna moje pojęcie na temat narzędzi typu honeypot było dosyć słabe. Ograniczało się ono do ogólnej znajomości definicji honeypota jako pewnego rodzaju pułapki na internetowego intruza. Atakujący ma się zainteresować honeypotem niczym Kubuś Puchatek garnkiem miodu. I na tych ogólnikach kończyła się moja świadomość na temat użyteczności tego typu rozwiązań.

Wynikało to głównie z faktu, iż pomimo dwudziestoletniego doświadczenia w branży IT i wielu lat przepracowanych w firmie zajmującej się wdrożeniami rozwiązań sieciowych, w tym zabezpieczeń, jakoś nigdy nie zetknąłem się z produktami zaliczanymi do rodziny deception. Nie pamiętam żadnego klienta, który poszukiwałby tego typu rozwiązań, ale co istotne, również najwięksi producenci rozwiązań sieciowych jakoś niespecjalnie chwalili się swoją ofertą w tym zakresie. Pracując w firmie, która była dystrybutorem i integratorem urządzeń wielu marek nie znałem ani jednego rozwiązania typu honeypot.

Wszystko to spowodowało, że przez lata wyrobiłem sobie opinię, iż jest to technologia trochę zapomniana. Honeypoty kojarzyły mi się z historiami z książek o Kevinie Mitnicku i na tej podstawie doszedłem do wniosku, że są to rozwiązania, które przy aktualnej skali i formie zagrożeń nie mają za bardzo racji bytu. No bo co mi da, że na chwilę odciągnę uwagę intruza honeypotem? Przecież pełen zakres publicznych adresów IP jest co dnia skanowany przez różne boty i botnety poszukujące luk i uzbrojone do zautomatyzowanego przejmowania hostów.

Jeśli wasza świadomość na temat użyteczności honeypotów jest na podobnym poziomie jak (do niedawna) moja, to koniecznie zapoznajcie się z resztą tekstu.

Honeypot – czy ktoś tego używa?

Tak. I mało tego, że ktoś używa są firmy, które specjalizują się we wdrożeniach tego typu rozwiązań. Dowiedziałem się o tym trochę przypadkiem poznając Piotra Madeja z firmy TrapTech.pl. Piotr chętnie odpowiedział na kilka moich pytań (a w zasadzie to wątpliwości) dotyczących zasadności stosowania honeypotów.

Jedna z moich głównych obiekcji dotyczyła sensowności stosowania honeypota na brzegu sieci. Przecież to, że ktoś zainteresuje się pułapką nie spowoduje, że za chwilę i tak nie zacznie atakować infrastruktury produkcyjnej. Co nam to da, że zrobi to trochę później, gdy już się zorientuje co jest grane? Dostaniemy pewnie jakiś alert, ale z drugiej strony honeypot wystawiony do Internetu będzie generował tych alertów tyle, że trudno będzie nad nimi zapanować.

I w tym momencie Piotr uświadomił mi dwa błędne założenia, które przyjąłem oceniając przydatność honeypotów:

  1. Honeypot nie ma być narzędziem służącym do aktywnej prewencji. Jego celem nie jest całkowite uchronienie nas przed każdym atakiem w sposób automatyczny, ale ułatwienie nam szybkiego wykrycia i umożliwienie podjęcia działań, które ten atak zneutralizują zanim rozprzestrzeni się on na infrastrukturę produkcyjną.
  2. Miejsce honeypota jest w sieci wewnętrznej, a nie w Internecie. Pochodzący z niego alert będzie więc dla nas niezaprzeczalnym ostrzeżeniem, że doszło do poważnego incydentu. Dzięki temu zamiast zastanawiać się nad tym, czy nie jest to przypadkiem tzw. false positive, zyskujemy czas na śledztwo i reakcję obronną.

Klasyfikacja narzędzi bezpieczeństwa

Jeśli wiemy już, że honeypot nie jest narzędziem prewencyjnym, to przyjrzyjmy się może jak klasyfikujemy różne rozwiązania i technologie stojące na straży bezpieczeństwa oraz jakie są ich wady i zalety.

Prevention

Do tej kategorii zaliczamy wszystkie rozwiązania służące do obrony, czyli takie, których zadaniem jest uniemożliwienie lub utrudnienie ataku. Klasycznym przykładem są tutaj antywirusy i firewalle. Jednak cyberprzestępcy adaptują coraz szybciej nowe wektory ataku. Przykładowo, gdy my skupiamy się na znanych nam metodach socjotechnicznych próbując się ochronić poprzez szkolenia security awareness, na horyzoncie pojawia się nowa, krytyczna podatnosć: Log4Shell. Z ilości tweetów jakie opublikowano w jej następstwie, dotyczących tzw. bypass’ów na rozwiązania klasy Web Application Firewall (WAF) wnioskować należy, że nie możemy polegać wyłącznie na aktywnych systemach prewencyjnych. Co więcej, na czarnym rynku w cenie kilkudziesięciu dolarów możemy kupić złośliwe oprogramowanie – tzw. 100% FUD (Full Undetectable & Bypass All Anti-Virus). Sama ochrona to zatem zdecydowanie za mało.

Detection & Response

Do tej kategorii zaliczamy rozwiązania, które służą wykrywaniu zagrożeń i ewentualnemu podejmowaniu reakcji obronnych. Klasyczne przykłady to systemy IPS/IDS, które potrafią wykrywać i blokować ruch sieciowy zawierający podejrzane sygnatury lub też rozwiązania typu SIEM. Czy możemy jednak sobie pozwolić na monitoring wszystkich logów i ruchu sieciowego w trybie 24/7, korelowaniu podejrzanej aktywności i podnoszeniu incydentów bezpieczeństwa gdy tylko zauważymy anomalie w naszej infrastrukturze? Tego typu działania wymagają nie tylko zaawansowanych narzędzi, ale przede wszystkim zaplecza kadrowego.

W praktyce więc nie zawsze udaje się nam obsłużyć właściwy incydent bezpieczeństwa wystarczająco szybko. Powodem są ograniczone zasoby i duża ilość tzw. false positive (fałszywych alertów), które skutkują tym, że pracownicy zaczynają ignorować jakiekolwiek zgłoszenia z danego systemu. Specjalistów cyberbezpieczeństwa na rynku pracy brakuje, a współpraca z nimi jest coraz wyżej wyceniania. W efekcie o trwającym ataku dowiadujemy się najczęściej od naszych pracowników w chwili materializacji ryzyka w postaci problemów z dostępem do aplikacji biznesowych.

Deception – wabik na cyberprzestępców

Właśnie z obszaru deception wywodzą się Honeypoty, których popularność w ostatnim czasie rośnie (patrząc przez pryzmat rosnącego udziału w globalnym rynku cyber). O jednym z pierwszych zastosowań honeypotów możemy przeczytać w książce Cliff Stoll pt. The Cuckoo’s Egg: Tracking a Spy, która opisuje ciekawą historię (i metodę) złapania w pułapkę cyberprzestępcy już w latach 80’tych.

Z zalet honeypota korzystamy w chwili gdy nasza organizacja została skompromitowana i atakujący jest już w środku naszej infrastruktury. Decydując się na rozwiązanie klasy honeypot za cel stawiamy sobie szybkie wykrycie obecności intruza w sieci lokalnej i uzyskanie cennego czasu na naszą reakcję. Istotną cechą tego typu systemów jest ich wiarygodność. W przeciwieństwie do rozwiązań takich jak SIEM czy IPS/IDS, honeypot nie wygeneruje nam fałszywego alertu (no chyba, że znajdzie się w zakresie systemów objętych testami penetracyjnymi, ale będzie to błąd w sztuce, a nie błąd systemu).

Jak poprawnie wdrożyć honeypot?

Na poprawnie wdrożony honeypot składają się:

  • Pułapka – która musi sprawiać wrażenie cennego dla organizacji zasobu przetwarzającego newralgiczne dane. Pułapka z szeregiem błędów bezpieczeństwa wpływa na to by atakujący jak najpóźniej zorientował się, że dotarł do nieistotnych, fałszywych zasobów. W momencie ataku na pułapkę otrzymujemy jednoznaczny incydent bezpieczeństwa i znacznie wydłużony czas na jego obsługę.
  • Przynęta – często pomijany element honeypota, na który z łatwością powinien trafić atakujący w trakcie rekonesansu. Przykłady przynęt to: plik z hasłami do pułapki umieszczony na stacjach użytkowników lub usługa sieciowa, dla której występują popularne błędy bezpieczeństwa. Z punktu widzenia włamywacza przynęta powinna sprawiać wrażenie tzw. low-hanging fruits, czyli łatwej i niewymagającej wysiłku zdobyczy.

Pułapkę razem z przynętą nazywamy scenariuszem, który powinniśmy oferować naszym nieproszonym gościom odciągając tym samym ich działania od środowiska produkcyjnego.

Honeypoty warte uwagi

Jeśli chcielibyście sami pobawić się we wdrożenie i konfigurację rozwiązań typu honeypot, poniżej znajdziecie listę wartych uwagi projektów open source:

  • Cowrie
  • Conpot
  • Dionaea
  • HoneyPress
  • Glastopf
  • Open Canary
  • RDPy

Pamiętajcie jednak, że atakujący przejmując kontrolę nad niepoprawnie wdrożonym honeypotem może kontynuować atak z jego poziomu (tzw. pivoting) powiększając przy tym swoją powierzchnię ataku na naszą niekorzyść. Istotne jest zatem zastosowanie odpowiedniej segmentacji sieci i reguł na firewallu by temu zapobiec (zerknijcie przy okazji na artykuł o strefie DMZ).

Jeśli natomiast wolicie zdać się na doświadczenie ekspertów w tej dziedzinie, to szczerze polecam wspomnianą firmę TrapTech.pl i przy okazji dziękuję Piotrowi za podzielenie się swoim doświadczeniem.

(Ten artykuł, choć może sprawiać takie wrażenie, nie jest tekstem sponsorowanym – podobnie jak żaden inny w serwisie OpenSecurity.pl)


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.