«Горшок с медом» — звучит заманчиво и безобидно. Но на самом деле так называют приманки для хакеров. С помощью специальных систем компании могут получать ценную информацию, которая позволит защитить корпоративные сети от взломов и несанкционированного доступа. Хотя технически эти приманки родственны межсетевым экранам и системам обнаружения вторжений, они не предназначены для активной защиты от взломов. Их цель служить приманкой для хакеров, имитируя уязвимые элементы сети, и таким образом «принимать огонь на себя». Чем больший интерес вызывает такая приманка у хакера, тем она ценнее. Любой трафик, направленный на приманку, подозрителен, поскольку она создана именно для привлечения хакера, но информация о направленных на нее атаках может быть использована для упреждающего устранения уязвимых мест в настоящей сети компании.
Поскольку вся информация, собираемая приманкой, является по определению «вредной», специалистам по безопасности практически ничего не нужно предпринимать, чтобы полученные данные были пригодны для дальнейшего анализа.
Поэтому, как утверждают инженеры, изучать собранный материал, чтобы понять технику атак, совсем не сложно.
Существуют два основных типа приманок: первые дают хакерам «реальный» предмет атаки, а вторые лишь эмулируют среду продукта и, следовательно, предоставляют специалистам более ограниченную информацию. Несколько приманок можно объединить, создав иллюзию разветвленной сетевой среды.
Приманки и другие обманные технологии создают видимость уязвимости для внешних атак, помогая собирать ценную информацию о слабых местах сети.
«Приманки и «обманные» сети, как и другие подобные технологии, используются в особых случаях, — говорит Чар Сэмпл, старший программист по защите сетей из Verizon Federal Network Systems. — Некоторые сотрудники военных и государственных учреждений, представляющих особый интерес для хакеров, с успехом применяют технологию приманок и обманных сетей. Эти пользователи находятся на переднем крае технологий защиты».
Однако во многих коммерческих фирмах инженеры все еще пытаются решать более общие задачи, например, как использовать для защиты всю ту информацию, которую они собирают с помощью активных систем обнаружения взлома? И это означает, что в этих компаниях пока не готовы к использованию приманок.
Verizon предлагает поставщикам решений «обманную» сеть под названием NetFacade, работающую под управлением ОС Solaris. Программная версия этого продукта стоит от 19 850 долл. Приманка может быть реализована с минимальным использованием ИТ-ресурсов — например, на одной Pentium-системе, отмечает Сэмпл.
Но пока, как говорят поставщики решений по безопасности, большинство компаний по-прежнему сражаются не с возможными угрозами, а тратят силы на ликвидацию последствий атак, когда те уже были реализованы, изучают способы и методы взломов.
Гари Морс, президент и учредитель компании Razorpoint Security Technologies, занимающейся тестированием сетей на уязвимость, отмечает, что сегодня приманки используются еще очень мало, но интерес к ним растет. «Их можно применять для защиты, направляя хакеров по ложному пути и создавая впечатление, что данный сегмент сети уязвимее других», — говорит он.
Пат Грилло, президент и главный управляющий реселлерской компании Atrion Communications Resources, которая работает на рынке уже 20 лет, сказал: «Пока мы продали не так много приманок, но есть люди, которые готовы к их использованию. Все, что мы можем сделать, это облегчить им задачу».
Помимо Verizon разработкой приманок занялись и такие хорошо известные поставщики коммерческих продуктов, как Symantec. Этот вендор принимает участие в серьезных проектах по изучению эффективности приманок. Еще один поставщик, фирма NFR Security, предлагает бесплатный продукт под названием Back Officer Friendly. Он был разработан еще в 1998 г. для борьбы с «троянцем» Back Orifice. С тех пор программа была усовершенствована и теперь обнаруживает попытки соединения через Telnet, FTP, SMTP, POP3 и IMAP2. Ее можно бесплатно загрузить с Web-сайта компании.
«Это прекрасная отправная точка для тех, кто мало знаком с приманками, — говорит Андре Йи, директор по технологии и вице-президент компании NFR Security. — То, что мы продолжаем предлагать программный продукт, — наш вклад в общую копилку средств защиты».