ASCO Cyber Security

Natychmiastowa pomoc przy ataku hakerskim

Zarządzanie incydentami cyberbezpieczeństwa z natychmiastową reakcją.

Dowiedz się więcej

Wiedza, gdzie i w jaki sposób może dojść do ataku hakerskiego na nasz system, może dać nam sporą przewagę nad cyberprzestępcami. Właśnie w tym celu powstały rozwiązania typu honeypot, które służą pośredniej ochronie oraz badaniu zachowań hakerów. Co to jest honeypot? Jak działa i jakie możemy wyróżnić  jego rodzaje? Odpowiadamy poniżej!

Czym jest honeypot i po co się go stosuje?

Honeypot to swego rodzaju pułapka lub wabik na hakerów, która ma na celu odwrócenie ich uwagi i zbadanie metod ich działania. W większości przypadków opisująca honeypot definicja mówi o specjalnie stworzonym środowisku lub systemie komputerowym, który ma za zadnie symulowanie słabo zabezpieczonego celu w prawdziwej infrastrukturze. Zwykle taka sztuczna sieć lub system działa jednak w separacji od realnych zasobów sieciowych firmy, zatem nie ma żadnego ryzyka, że tak „sprowokowany” atak będzie szkodliwy.

Nazwa „honeypot” (z ang. garnek z miodem) ma przywoływać skojarzenia z motywem groźnego niedźwiedzia skuszonego naczyniem z ulubionym przysmakiem. Rozwiązania typu honeypot rzeczywiście kuszą hakerów atrakcyjnymi dla nich danymi lub innymi zasobami – oczywiście sfabrykowanymi. Większość takich systemów pełni jedną lub kilka podstawowych ról:

  • Poznanie słabych punktów sieci – systemy honeypot możliwie wiernie naśladują budowę prawdziwych odpowiedników (choć czasami celowo pozostawia się w nich luki zabezpieczeń dla przyciągnięcia hakerów), dzięki czemu można badać, w jakich miejscach najczęściej dochodzi do ataków. Pozwala to na wzmocnienie słabych ogniw w systemach bezpieczeństwa, co znacznie poprawia ogólny poziom ochrony danej sieci. Korzystając z danych uzyskanych w honeypot, można lepiej kreować strategie i kierunki rozwoju zabezpieczeń.
  • Poznanie metod działania hakerów – niektóre elementy systemów honeypot celowo odwracają uwagę i zabierają czas hakerów, dzięki czemu można w łatwy sposób obserwować typowe metody i wzorce zachowań stosowane przez przestępców. W ten sam sposób można szybko określić, z jakiego kierunku najczęściej dochodzi do ataku oraz jakimi zasobami hakerzy są najbardziej zainteresowani.
  • Badania – wraz z nowymi metodami zabezpieczeń, hakerzy opracowują nowe metody ataków, które można bezpiecznie wychwytywać i badać właśnie dzięki systemom honeypot.
  • Szkolenia – dzięki obserwacji i analizie działań hakerów możliwe jest wydajne, skuteczne i przeprowadzane w bezpiecznych warunkach szkolenie specjalistów zajmujących się cyberbezpieczeństwem.
  • Zniechęcanie do ataków – część mniej doświadczonych hakerów, zauważywszy, że nie znajdują się w prawdziwym systemie, odpuści sobie próby ataku na prawdziwą sieć, domyślając się, że będzie znacznie lepiej chroniona niż honeypot. Nie można też zapomnieć, że atak na honeypot to dla hakera stracony czas i wysiłek, który mógłby przeznaczyć w tym samym czasie na bardziej „skuteczne” działania.

Jak działa honeypot?

System typu honeypot może być realną maszyną (np. przestarzałym, nieużywanym komputerem), serwerem, bazą danych lub wirtualnym urządzeniem. Elastyczność w kreowaniu rozwiązań honeypot to jedna z jego największych zalet. Można zatem skonfigurować taki system dokładnie w taki sposób, by był jak najbardziej atrakcyjny dla atakującego. W przedsiębiorstwach stosuje się przykładowo imitacje systemów płatności lub rozliczeń dla klientów, z których można by pozyskiwać dane kart kredytowych. W praktyce elementy systemu honeypot nie różnią się wizualnie w żaden sposób od rzeczywistych zasobów – mogą wyświetlać realnie wyglądające ekrany logowania lub bazy danych.

Najczęściej honeypot stanowi element niezależny od prawdziwego systemu, jednak zdarza się, że zostaje on w niego wkomponowany dla łatwiejszej kontroli i większej wiarygodności (oznacza to oczywiście wyższy poziom ryzyka). Honeypot jest konstruowany w taki sposób, że kierowane są do niego wszelkie podejrzane próby połączenia, jak też bezpośrednie ataki. W ten sposób możliwe jest „odsianie” ruchu generowanego przez hakerów od normalnego ruchu w systemie i łatwiejsza analiza samego ataku. Każdy honeypot ma w sobie zintegrowane sposoby do monitorowania obserwacji zachowań przeprowadzanych w jego obrębie. Właśnie z ich pomocą wykorzystuje się przewagę, jaką ma właściciel „garnka z miodem” nad hakerem.

Rodzaje honeypot

Istnieje wiele rodzajów rozwiązań honeypot, można je także klasyfikować na różne sposoby. Przede wszystkim wyróżnia się systemy wirtualne, generowane przez inne urządzenia, jak też te obecne na odrębnych, fizycznych komputerach (bardziej kosztowny wariant). Ważnym kryterium określającym honeypot jest też to, do jakiego stopnia pozwala on na interakcję hakera z symulowanym środowiskiem:

  1. systemy niskiej interakcji – symulują tylko podstawowe usługi sieciowe, pozwalając na identyfikację źródła zagrożenia i stosowanych metod. Nie dają jednak zbyt wiele pola do analizy, nie zajmują hakera na zbyt długi czas, ani nie są zbyt wiarygodne, przez co dość szybko mogą zostać zdemaskowane. Są za to łatwe w skonfigurowaniu i niedrogie w utrzymaniu;
  2. systemy wysokiej interakcji – stosowane zwykle przez przedsiębiorstwa, symulują usługi w stopniu niemal nieodróżnialnym od rzeczywistych. Zajmują one atakującego na długi czas, co pozwala na dokładną analizę niemal każdego jego ruchu. Można powiedzieć, że jest to „garnek zawierający wyjątkowo dużo miodu”. Stworzenie i utrzymanie takiego systemu jest jednak trudniejsze i bardziej kosztowne w utrzymaniu.

Istnieją także systemy honeypot stworzone do specyficznych zadań:

  1. pułapki e-mail – fałszywe adresy mailowe skonfigurowane tak, by były wychwytywane przez systemy rozsyłające spam, co pozwala na ich wykrycie i blokowanie w prawdziwych skrzynkach e-mail;
  2. honeypot nakierowany na szkodliwe oprogramowanie – to usługi, które celowo pozostawiają luki, które sprawiają, że stają się one celem wirusów lub innych szkodliwych programów działających w automatyczny sposób;
  3. spider honeypot – ten typ systemu tworzy fałszywe strony internetowe dostępne jedynie dla szkodliwych robotów internetowych zwanych pełzaczami lub pająkami.

Warto wyróżnić też szczególny rodzaj tego systemu, jakim jest kliencki honeypot. Jak działa honeypot tego typu? Główną różnicą jest jego aktywność – gdy klasyczne systemy honeypot jedynie pasywnie oczekują na atak, wersje klienckie same w sobie wyszukują serwery, z których wyprowadzane są ataki i „podstawiają się” jako rzekoma ofiara. Po rozpoznaniu ataku działają w sposób podobny do standardowych wariantów.

Na co uważać przy tworzeniu honeypota

Choć honeypot to niezwykle przydatne narzędzie w arsenale cyberbezpieczeństwa, jego skuteczne wdrożenie wymaga dużej ostrożności i przemyślanego podejścia. Nieprawidłowo zaprojektowany system nie tylko nie spełni swojej roli, ale może wręcz narazić organizację na dodatkowe zagrożenia.

Przede wszystkim honeypot powinien być całkowicie odseparowany od systemów produkcyjnych. Każde nieautoryzowane połączenie z rzeczywistą infrastrukturą – taką jak sieć firmowa czy bazy danych – to potencjalna luka, którą haker może wykorzystać do uzyskania dostępu do prawdziwych zasobów. Kolejnym istotnym elementem jest ciągłe monitorowanie działania honeypota. Bez stałego nadzoru system traci swoje podstawowe znaczenie – nie tylko mogą umknąć cenne informacje o przebiegu ataku, ale również może dojść do sytuacji, w której honeypot zostanie przejęty i wykorzystany np. jako narzędzie do ataków na inne cele (np. jako węzeł botnetu). Nie bez znaczenia jest także stopień realizmu symulowanego środowiska. Aby przyciągnąć uwagę atakujących i utrzymać ich zainteresowanie, honeypot musi sprawiać wrażenie autentycznego systemu. Zbyt prosta lub sztuczna konstrukcja szybko zdradzi swoją prawdziwą naturę, co sprawi, że stanie się bezużyteczna. Warto również pamiętać o aspektach prawnych i etycznych. Przed wdrożeniem honeypota należy upewnić się, że jego działanie nie narusza obowiązujących regulacji, takich jak RODO. W niektórych krajach nawet pasywne zbieranie danych o atakującym może być prawnie wątpliwe.

Pułapka na hakera i aktywna ochrona

Honeypot jest wyjątkowo przydatnym narzędziem zwłaszcza w biznesie – to dzięki niemu można zoptymalizować działanie systemu cyberbezpieczeństwa. Takie rozwiązania mogą poprawić ogólny poziom zabezpieczeń, jednak oczywiście nie zdadzą się na wiele, jeśli nie zostaną wdrożone praktyczne, aktywne rozwiązania, które wykorzystają zdobytą wiedzę.

 

Wróć do artykułów