CC BY
12
- Технические науки -
ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ В СЕТЬ ОРГАНИЗАЦИИ С ИСПОЛЬЗОВАНИЕМ
HONEYNET
М.В. Пономарев, магистрант Волгоградский государственный университет (Россия, г. Волгоград)
DOI:10.24412/2500-1000-2023-4-3-106-108
Аннотация. В данной статье рассматривается актуальность противодействия ки-бератакам и актуальность применения систем обнаружения вторжений (IDS). Описывается технология заманивания злоумышленников в ловушку (honeypot) и ее подвиды. Проводится анализ преимуществ и недостатков использования данной технологии. Описывается использование технологии honeynet в сети организации.
Ключевые слова: Системы обнаружения вторжений (IDS), сеть организации, сетевой трафик, Honeypot, Honeynet.
Кибератаки становятся все более угрожающими вследствие распространения цифровых технологий, таких как облачные вычисления и Интернет вещей (IoT). Специалисты по информационной безопасности разрабатывают стратегии противодействия атакам, соответственно, злоумышленники разрабатывают новые методы. Системы обнаружения вторжений (IDS) -это программное обеспечение или аппаратное оборудование, которое отслеживает сетевой трафик в режиме реального времени, чтобы определять попытки несанкционированного доступа к компьютерной системе. Системы обнаружения вторжений необходимы для обеспечения безопасности информации и защиты от кибератак. Они позволяют мониторить трафик в сети, обнаруживать подозрительную активность и предупреждать об угрозах. IDS помогают предотвращать вторжения злоумышленников, снижать риски нарушения конфиденциальности данных и сохранять репутацию компании. Быстрое обнаружение и реагирование на угрозы в организациях позволяет предотвратить или минимизировать ущерб, причиненный кибератакой, чем быстрее угроза будет обнаружена и пресечена, тем меньше времени злоумышленникам будет предоставлено для получения доступа к системе, кражи конфиденциальной информации или проведения других вредоносных действий. Быстрое реагирование также позволяет своевре-
менно уведомить клиентов и защитить их данные от утечки.
Из-за высоких затрат на установку и обслуживание систем обнаружения вторжений, многие малые предприятия не рассматривают возможность их использования. Эффективной альтернативой для таких организаций являются honeypots. Honeypot - это система внутри организации, которая выглядит как реальная, но не используются для обработки реального трафика и содержит уязвимости, она используется для привлечения злоумышленников. Когда злоумышленник пытается атаковать honeypot, все его действия записываются, а компания может использовать эту информацию для анализа уязвимостей и усиления мер безопасности. Методы honeypot могут быть использованы для защиты не только от атак низкого уровня, но и от атак высокого уровня, связанных с промышленными системами управления DoS и APT [1].
Существует несколько подвидов технологий, используемых honeypot системами, которые применяются для разных целей. Можно выделить 4 наиболее популярных вида:
1. Поддельные почтовые точки - компания размещает фиктивный адрес электронной почты в труднодоступном месте, доступном только для автоматических сборщиков электронных адресов. Поскольку такие адреса назначаются только для привлечения спама, можно быть уве-
- Технические науки -
ренным, что все входящие по этим адресам письма являются спамом. Любые письма, похожие на те, что попали в ловушку, могут быть сразу заблокированы, а Ш-адрес отправителя добавлен в черный список.
2. Сетевая ловушка создает вебстраницы и ссылки, которые доступны только для поисковых роботов. На такие страницы пользователь не сможет самостоятельно попасть, переходя по ссылкам внутри сайта, но для утилит злоумышленника они будут открыты, и система заметит, переход на данную страницу это будет показателем, что система атакуется злоумышленником или рекламным ботом.
3. Поддельная база данных, которая создается с целью отслеживания уязвимо-стей программного обеспечения и выявления атак, основанных на использовании ненадежных архитектур систем, методах БОЬ-инъекции, эксплуатации SQL-служб или злоупотреблении привилегиями.
4. Ловушка для вредоносного ПО создается для привлечения атак вредоносных программ, которые могут использоваться
для анализа и разработки защиты или устранения уязвимостей в приложениях и интерфейсах программирования (API).
В общем случае назначение систем honeypot следующее:
1. Играет ключевую роль в предотвращении атак и вредоносных действий.
2. Увеличивает время обнаружения атаки, и дает больше времени на реагирование.
3. Анализирует инструменты используемые злоумышленником и векторы атак.
4. Составляет модель поведения злоумышленника, временные рамки его атак и закономероности.
5. Фиксирует все действия нарушителя.
6. Систем Honeypot могут быть развернуты физически или установлены виртуально.
7. Минимизация ложных срабатываний.
Еще более высокий уровень безопасности дает система, включающая несколько систем honeypot, она называется honeynet и является более сложной и масштабируемой системой, чем honeypot (рис. 1).
Honeypot Honeypot Honeypot
192.168.1.111 192.168.1.112 192.168.1.113
Рис. 1. Расположение honeynet в сети
В отличие от honeypot, которая пред- honeynet представляет собой сеть вирту-ставляет собой отдельную машину, альных или физических машин, которые
Технические науки
могут использоваться для мониторинга и анализа действий злоумышленников в различных сегментах сети. Honeynet состоит из двух или более honeypot в сети. Наличие взаимосвязанной Honeynet позволяет организациям отслеживать, как злоумышленник взаимодействует с одним ресурсом или точкой сети, а также отслеживать, как злоумышленник перемещается между точками сети и взаимодействует с несколькими точками одновременно. Цель состоит в том, чтобы заставить хакеров поверить в то, что они успешно проникли в сеть, поэтому наличие большего количества поддельных сетевых точек делает ловушку honeynet более убедительной.
Помимо очевидных плюсов у систем honeypot есть и некоторые недостатки, которые надо учитывать при проектировании системы защиты с ее использованием:
1. Honeypot может поймать только те атаки, которые направлены на данный тип ловушки.
2. В систему honeypot вносятся существенные изменения, по сравнению с обычными системами организации, злоумышленник может обнаружить эти изменения и начать сразу атаковать другие системы, тщательнее скрывая следы.
3. Из-за наличия дополнительных уяз-вимостей honeypot более подвержен атакам нулевого дня.
4. Honeypot может потребовать значительных ресурсов, таких как время и деньги, для его установки и поддержки.
В целом, honeypot не должен рассматриваться как единственное средство защиты, а скорее, как дополнительное средство, которое может помочь улучшить общую защиту системы.
Библиографический список
1. Diamantoulakis P., Dalamagkas C., Radoglou-Grammatikis P., Sarigiannidis P., Karagi-annidis G. Game theoretic honeypot deployment in smart grid // Sensors. - 2020. - Vol. 20, № 15. - P. 4199
2. Salimova H.R. A virtual honeypot framework // CARJIS. - 2022. - №5.
3. Красов А.В., Петрив Р.Б., Сахаров Д.В., Сторожук Н.Л., Ушаков И.А. Масштабируемое HONEYPOT-решение для обеспечения безопасности в корпоративных сетях // Труды учебных заведений связи. - 2019. - №3.
INTRUSION DETECTION IN THE ORGANIZATION'S NETWORK
USING HONEYNET
M.V. Ponomarev, Graduate Student Volgograd State University (Russia, Volgograd)
Abstract. This article discusses the relevance of countering cyberattacks and the relevance of using intrusion detection systems (IDS). It describes the technology of luring intruders (honey-pot) and its subspecies. The advantages and disadvantages of using this technology are analyzed. It describes the use of honeynet technology in an organization's network.
Keywords: Intrusion Detection Systems (IDS), organizational network, network traffic, Honeypot, Honeynet.
