Есть ли смысл ставить Honeypot в корпоративной сети?
Добрый день!
Интересует мнение опытных админов, особенно безопасников. Есть ли смысл настраивать honeypot в локальной корпоративной сети ? Сам я думаю что смысл есть, но сомневаюсь, охота услышать еще мнения.
Что я понимаю под Honeypot это железная Wondows 7 / xp , без необходимых патчей, при необходимости можно поднять какие либо сервесы (FTP, SMB, HTTP и тп.). На данной машине мы запускаем мониторинг всего и вся (смотрим сеть - кто откуда подключается, смотрим процессы, подключенных пользователей, логи системы, доступ к файлам и тп.) Параллельно мы настраиваем зеркало порта на котором сидит данная машина и весь трафик направляем либо в IDS либо просто его собираем каким нибудь ПО. Далее если срабатывает один из триггеров мы вырубаем нашу подставную машину и анализируем логи - находим злоумышленника или хотя бы узнаем что такие есть и думаем что делать дальше.
Вот какие плюсы вижу я:
1) Если злоумышленник каким нибудь образом проник в сеть благодаря Honeypot у нас появляется шанс обнаружить его (за счет того что мы увидим любое обращение к нашей приманку)
2) Установив такую приманку мы не уменьшаем безопасность нашей сети. Я исхожу из того что злоумышленник уже в нашей сети (как то проник в нее) мы просто о нем не знаем. Данная приманка не доступна из интернета, только в локальной сети, поэтому к ней попасть можно только изнутри с какого либо устройства в локальной сети.
3) Данное решение как бы дополняет существующие способы защиты (Firewall, ids, антивирус и тп.)
Если кто знает что нибудь подобное из коммерческих либо бесплантых систем или кто то делал подобное.
А человек есть под это дело? Здесь, как с СМП да и классическим видеонаблюдением - если хочется получить максимальную отдачу - сажается отдельный человек, который только и делает, что глядит в (телик/монитор/логи). Человеку нужна зарплата etc. Если отдача для бизнеса покрывает расходы - почему бы и нет?
SergioMaroni: Ага, а человек-то на месте будет? В классическом видеонаблюдении/CМП есть эффект только тогда, когда там постоянно СБ-шник в телик/монитор пялится. Вот слил юзер документ на свою почту - СМП оповестила кого положено, но это оповещение никто не прочитал. И все :) Так и здесь - если внутренняя сеть недоверенная, то там должен возле анализитора постоянно сидеть человек, имеющий совсем немного мозгов и четкую инструкцию, как поступать в случае оповещения и куда тащить пойманного кулхацкера :D Иначе смысла в этой фигне нет.
Да и кто сказал, что ловушка окажется привлекательней по-настоящему интересных мест - DC, серверов бэкапов, серверов БД? На ней должны крутиться фейковые сервисы, похожие на настоящие, чтобы она была привлекательной :)
CityCat4: Есть персонал который работает круглосуточно. Так что после сигнала системы мониторинга именно они должны предпринять какие либо действия. Насчет привлекательности - на данной ловушке можно развернуть какие либо сервисы :http, ftp, smb, sql и тп. Без условно Dc и прочее более привлекательны, и нет ни какой гарантии что именно ее начнут ломать, но благодаря ей появляется шанс что это произойдет и тогда мы будем знать о зловреде в нашей сети. На работающем DC или каких либо других сервисах достаточно трудно отделить правомерного пользователя (особенно в сети с численностью персонала за 2000) от злоумышленника, а в данной системе должны быть только злоумышленники других там быть не должно, в этом вся суть.
а смысл?) вот смотри ... враг прошел во внутреннюю сеть через шлюз. ты спал! он закрепился на одном из компов. ты опять спал! он начал сканить твою сеть. ты опять спишь!!! и тут он из сотен компов вдруг выбирает твой мешочек с какашками и ты проснулся?)
Смысл в том что данный комп ничем не отличается от клиентских, только наличием уязвимости и при сканировании злоумышленник скорее всего выберет менее защищенную.
SergioMaroni: смысл в том что если ктото закреплся внутри сети .... ему насрать на другие пользовательские тачки. он будет ломать контроллер домена и сетевые устройства!
SergioMaroni: как я писал ранее, мы можем на данную ловушку ставить не только клиентские ОС, но серверные с каким либо сервисом: SQL, FTP, HTTP и прочее, повышая таким образом привлекательность. При этом данная ОС должна быть заведомо уязвимой и соответственно более привлекательной чем полностью обновленный DC. Злоумышленникам ведь надо поднимать свои полномочия в локальной сети, а тут как раз наш уязвимый сервер или клиент с каким либо сервисом и тп.
Сергей: по логам трудно отличить злоумышленника от обычного пользователя, если только он не хочет получить админовский доступ. А в случае срабатывании данной ловушки мы нам будет понятно что в сети есть кто то лишний.
сетевое администрирование включает анализ логов со всего оборудования и сервисов. в режиме реального времени. нет никаких чудодейственных способов ... благодаря которым ты будешь не выполнять свои прямые обязанности, а что-то будет делать это за тебя!
Вполне перспективное направление при правильном подходе.
Помогает обнаружить заблудившиеся трояны, клиентов бот-нет сетей и энтузиастов безопасности в компании.
Реализовывали на основе собственной разработки, помогает дополнить суть происходящего в корпоративной сети.
клиенты ботнетсетей легко обнаруживаются в логах шлюзов. если есть анализатор трафика. энтузиасты безопасности вообще должны сосать сами знаете что. все должно быть разнесено по разным сегментам сети и у него прав должно быть не больше кучк говна от мухи. а трояны не должны вообще гдето запускаться. смотрите свои гпо настройки.
Сергей: это вы о чем : "все должно быть разнесено по разным сегментам сети и у него прав должно быть не больше кучк говна от мухи" у кого не должно быть прав ? , и что значит все должно быть разнесено по разным сегментам сети, что это "ВСЁ" ?
Сергей: клиенты бот нет сетей в логах шлюзов легко не обнаруживаются, хорошие клиенты успешно маскируются под стандартный трафик и без анализа трафика на прикладном уровне шансы что то увидеть нулевые, тоже относится к недетектируемым антивирусами троянам которые прекрасно заходят в пдф или docx. Межсетевой экраны защита только от дурака при чем не дешевая и полагается на то что все разнесено и защищено не стоит
morgan: вы вообще читали что я писал? В вашем направлениии лежит шара, ад, десяток идентичных компов из вашего отдела и у вас на максимум закручены гпо. Вы даже программу не сможете на своём компе левую запустить. Провод из компа выдернуть без сработки систем мониторинга. Какое нафиг исследование сети? Вернитесь на землю. Вас на первый раз оставят без премии по докладной из отдела ит. А второй раз выгонят с работы. И я не знаю с какими вы работали шлюзовыми системами ... но там виден ваш каждый чих. Я даже шаблон пакета могу задать. Никакой троян не может запуститься если это запрещено настройками гпо!
morgan: все типы трафика пропускаютс через анализатор. Тот делан на "типовой" и "не типовой". Внешние ресурсы делаем доступ только по смарт ключу или паролю. Без всяких натов. Иногда даже sslvpn городят в инет из сети! Видел pppoe сети промышленные.
Сергей: закажите хороший аудит в хорошей компании и сильно удивитесь. Хорошему трояну, а точнее организованной направленной атаке с использованием уязвимостей нулевого описанных вами мер не достаточно.
Сергей: делить трафик можно сколько угодно, но пока у вас есть прямой доступ к сети Интернет с рабочих станций анализатор вас не спасёт. Описанные вами меры могут быть более эффективны при организации терминального доступа к Интернету и разделении днс зон на внешние и внутренние с целью не допустить возможности отравления dns трафика
А пока вы развлекаетесь с настройками систем защиты и думаете как все круто организованно и защищено, самое время поставить хонипот и убедится что он вам не нужен;)
Сергей: Honyepot стоит понимать не как средство замены описанных вами решений , а как дополнение, помогающее обнаружить неизвестные на текущий момент типы атак. Без условно это не гарантирует 100% безопасности (впрочем как и применение описанных вами методик).
Средний
Средний
