ОРГАНИЗАЦИЯ ПРОТИВОСТОЯНИЯ АТАКАМ НА ИНФОРМАЦИОННЫЕ СИСТЕМЫ

 

Николай Николов, магистр. Хозяйственная Академия (г.Свиштов, Болгария)
kolu@uni-svishtov.bg

Abstract

In the paper special features in systems implementation, so-called "baits', intended to withstand against attacks on information systems are analyzed.

Для противостояния атакам на информационные системы и идентификации нападающей стороны администраторы и служба безопасности организуют, так называемые или "honeypot" (баночка с медом). Данные представляют собой компьютерную систему, связанную с глобальной сетью, основной целью которой является привлечение и людей, которые предпринимают попытки проникновения в чужие информационные системы (хакеры, крекеры и т.д.).

Данная представляет собой программу, которая симулирует наличие одного или нескольких сетевых устройств, которые пользователь конфигурирует по своему усмотрению. Атакующая сторона предполагает, что пользователь использует данные устройства для определенных приложений (не подозревая, что они являются нереальными), которые являются уязвимыми и могут быть основой для системы. Все попытки проникновения в сеть программа фиксирует с помощью , собирает информацию о действиях хакера, а кроме того - записывает клавишные комбинации. Собранная и проанализированная информация может выступать, как своего рода , для возможной дальнейшей атаки.

Другими словами, не содержит ни данных, ни приложений, являющихся критическими для информационной системы, но необходимо размещать , которые могут привлечь хакера.

Данная программа выглядит и ведет себя как настоящий компьютер, но в действительности, используется только для взаимодействия с хакером и необходимые детали атак.

Для организации подобной необходимо предпринять несколько шагов. Во-первых, инсталлируется операционная система без с типовыми настройками (defaults) и опциями. Во-вторых, обязательным условием является отсутствие в системе ценных данных, которые могут быть разрушены или потеряны. При выполнении данных условий, необходимо добавить приложение, созданное для записи действий хакера.

Следует отметить, что поддержка требует значительного внимания со стороны администратора и не обеспечивает хакеров, а только фиксирует следы их действий.

Использование наиболее успешно по отношению к хорошо известным типам серверов, в частности таких, как Web, mail или DNS, поскольку именно они чаще всего бывают объектами атаки. Подобные решения использоваться также в тех случаях, когда истинная информационная система атакована, и она заменяется для исключения модификации или повреждения критических данных и приложений.

Необходимо учитывать еще одну особенность - чем реалистичнее информация находится в , тем больше времени атакующий использует ее. При увеличении времени взаимодействия с появляется возможность сбора более детализированной информации о поведении атакующего, используемом инструментарии и т.д. Данная информация должна быть использована администраторами в целях совершенствования организации защиты информационной системы.

Подобные могут быть использованы также в качестве дополнения к IDS-системам (Intrusion-detection system), которые очень часто подвергаются критике из-за своих слабых сторон, в частности, отсутствие регистрации атак на низком уровне, а также при использовании нового инструментария и техники.

На практике, организованные могут пропускать атаки нового типа, но главное - возможность сбора данных о вторжениях в сеть, действиях атакующего, характеристики новых приемов и используемого инструментария. Современные IDS-системы, к сожалению, не могут предоставить подобную информацию.

Но необходимо иметь в виду, что использование подобных может оказаться опасным, а в некоторых случаях организация противостояния попадает под действие уголовного преследования. Действительно, подобная система, встроенная в сеть, используется только с одной целью - быть атакованной, отвлекая внимание хакера от главной цели - действительной информационной системы, увлекая его в среду, где его действия и используемый инструментарий фиксируется и анализируется. В некоторых странах данная деятельность определяется как прослушивание коммуникаций и наказывается.

Некоторые специалисты предлагают конфигурировать систему- таким образом, чтобы при доступе к ней появлялся специальный баннер, сообщающий, что информационная система является системой повышенного наблюдения. Но с другой стороны, атакующий никогда не пытается войти в систему через главные порты, поэтому вероятность увидеть подобное сообщение практически равна нулю. Кроме того, достаточно спорным является факт, что хакер будет обращаться к правоохранительным органам с претензией об использовании в информационной системе.

Подобные системы существуют как для информационных систем, работающих под управлением программного обеспечения с открытым кодом, так и для Windows и имеют главную цель - фиксацию попыток вторжения, но существенно отличаются друг от друга.

Литература

    1. E.Balas, C.Viecco. Towards a Third Generation Data Capture Architecture for Honeynets.//www.honeynet.org/papers/individual/inflow.pdf.
    2. Know Your Enemy: Honeynet in Universities.//www.honeynet.org/papers/edu