
Co znajdziesz w tym artykule?
Lepka pułapka, która pomoże w przyjrzeniu się zagrożeniu
Rozwiązanie honeypot nie wspomoże nas bezpośrednio w podnoszeniu poziomu bezpieczeństwa w naszych systemach i sieciach. Warto natomiast je wdrożyć w swojej organizacji w celu wykrycia intruza wewnątrz naszej sieci lub w celu zebrania informacji o atakujących. Oczywiście wszystko powinno zostać zrealizowane zgodnie z polityką bezpieczeństwa.
Tak więc możemy wyszczególnić dwa zasadnicze powody stosowania rozwiązań honeypot:
- Aby zainteresować potencjalnego atakującego naszym systemem tak, żeby chciał do niego wejść – dla samego jego wykrycia.
- Żebyśmy zezwolili botom lub atakującym na akcje (jeśli posiadamy więcej wiedzy i analiza ryzyka w naszej organizacji sprawia, że możemy pozwolić sobie na takie ryzyko). Możemy nawet wpuść go do naszego spreparowanego systemu. Będziemy mogli wtedy zobaczyć jakich technik używał, czego szukał, do jakich folderów zaglądał, jakie były motywacje tego człowieka, czy bota, który skompromitował naszego honeypota.
Moje wystąpienie na podstawie którego powstał ten artykuł

Czym jest honeypot?

Honeypot w cyberbezpieczeństwie odnosi się do strategii wykorzystania systemów i aplikacji odpowiednio spreparowanych do łapania cyberprzestępców na próbie wykorzystania luki w zabezpieczeniach i/lub włamania się do firmy. Tak jak wspominałem, może to być pakiet oprogramowania, może to być system. Czasami nie jest to nic skomplikowanego. To jest bardziej kwestia pomysłu na realizację tego rozwiązania. Może bardziej adekwatne byłoby tu porównanie do łowienia ryb. Musimy posiadać wiedzę i wyobraźnię gdzie zarzucić nasz cyfrowy spławik w naszej sieci.
Dlaczego to takie ważne? Nawet jeżeli monitorujemy nasze systemy i sieci, to możliwe, że coś nam umknie. Nie jesteśmy w stanie zagwarantować stuprocentowego bezpieczeństwa. Wdrożenie honeypota da nam wymierną korzyść. Jeżeli zauważymy podejrzaną aktywność na nim, będziemy mogli zadać sobie kolejne pytania. Pomoże nam to znaleźć tego, który w naszych systemach być nie powinien.
Tutaj chciałbym też od razu zalecić, abyście włożyli maksymalnie dużo serca w przygotowanie takiego systemu. Znowu porównanie do wędkarstwa – przynęta ma wyglądać atrakcyjnie z perspektywy ryby. Warto postarać się, aby taki system był atrakcyjny z punktu widzenia atakującego.
Zadbaj o takie szczegóły jak zmiana nazwy hosta, baner przy logowaniu się do serwera SSH, dobrze spreparowane dane w bazach danych, logi itp. Bo więcej ciekawości może wzbudzić u potencjalnego złoczyńcy system, który przy próbie logowania będzie się przedstawiał w ten sposób:

Prawda, że już na pierwszy rzut oka przy tym komunikacie zaczynamy zadawać pytania, co tam może być w środku?
Pamiętajmy też, żebyśmy mieli dobrze monitorowane nasze honeypoty. Zróbmy wszystko co w naszej mocy, aby jego ew. kompromitacja nie mogła wpłynąć na późniejszą eskalację ataku. Albo może inaczej – żebyśmy potrafili zminimalizować to ryzyko.
3 Miejsca na umieszczenie honeypota

Wyobraźmy sobie sieć naszej organizacji. Zazwyczaj będzie ona podłączona do Internetu. Będziemy mieli w niej jakiś firewall na styku z Internetem, będą wewnętrzne urządzenia sieciowe, stacje robocze, serwery, a także serwery usług, które nasza firma wystawia na świat i na których zarabia. I teraz w zależności od tego, jaki mamy cel dla naszego honeypota, możemy go ulokować z grubsza mówiąc trzech miejscach.

Pierwsze (1) (jest to najbezpieczniejsze z punktu widzenia naszej organizacji) przed firewallem. I tutaj zasadnicze plusy. Nie będziemy obciążać firewalla dodatkowym ruchem, nie musimy budować kolejnych reguł na firewallu. Generalnie minusem tego umiejscowienia jest to, że nie złapiemy żadnego atakującego, który już jest w naszej sieci. Możemy tym umiejscowieniem zachęcić potencjalnego atakującego do próby zalogowania się do naszego „serwera” w celu poznania technik jakich używa. Bardzo często to położenie wykorzystywane jest w celu listowania botów skanujących sieć. Możemy tego typu adresy IP źródłowe od razu sortować, agregować i blokować.
Drugim (2) miejscem wartym rozpatrzenia jest ustawienie go razem z serwerami naszych usług zewnętrznych. I tutaj plusem jest generalnie to, że nie narażamy stacji roboczych użytkowników, czy serwerów produkcyjnych. Narażamy jednak pewien segment podsieci, w tym przypadku wszystkie serwery, które mają wystawione usługi. Natomiast na pewno będzie to wyglądać dla potencjalnego atakującego bardziej autentycznie. Jest to miejsce pozwalające nam wykryć atak, który przeszedł już przez firewalla.
Kolejnym dobrym miejscem jest ustawienie w sieci wewnętrznej (3) . I tutaj zasadniczym plusem jest to, że będziemy mieli od razu jasność, z którego systemu lub stacji roboczej była próba nawiązania połączenia. Jest tu też pewien duży minus. Jeżeli nasz honeypot będzie chociaż trochę źle skonfigurowany, to w zasadzie eskalacja w ramach danej podsieci może postępować. Czyli jeżeli przejmie naszego honeypota, to może dalej atakować kolejne systemy. Dlatego bardzo ważne jest mocne i skrupulatne monitorowanie tych systemów, ponieważ może się okazać, że to jest dziura w naszej sieci.
Możemy też, jeżeli chcemy (chociaż w tym omawianym przypadku tego nie rekomenduję), przepuszczać jakieś połączenia przez firewall, żeby ktoś z Internetu mógł podjąć się logowania do tego naszego honeypota, tym bardziej jednak podnosimy ryzyko. Musimy też dać kolejne reguły, które będą przepuszczać ruch w naszych urządzeniach sieciowych.
Podsumowanie

Ten artykuł miał na celu zaznajomienie Ciebie z tym, czym jest rozwiązanie typu honeypot. Pomysłów na wdrożenie honeypota jest właściwie tak wiele, jak ludzi. Mam nadzieję, że udało mi się pokazać ten kawałek świata security, związany z podejściem zapobiegawczo–proaktywnym. Również możemy pomyśleć nad rozwiązaniami w celu detekcji tego, czego nasze oko, czy systemy nie były w stanie sprawdzić.
Przy okazji pamiętajcie też, że przy honeypotach najważniejsze są dane, najważniejsza jest informacja, którą dzięki tym systemom jesteśmy w stanie zagregować, żebyśmy potrafili wyciągnąć wnioski.
Przykładowe rozwiązania typu honeypot znajdziesz w wpisie Cowrie Honeypot – Instalacja I Konfiguracja.
