Sandboxing или honeypots?

20 сентября 2018 г., 13:15

Когда речь заходит об информационной безопасности, недостаточно просто действовать реактивно: крайне важно осуществлять превентивные действия, потому что лучший способ защиты от атаки – это идти на опережение, чтобы упредить и предотвратить ее.

По этой причине все большее число компаний выделяют часть своих корпоративных ресурсов по ИБ на изучение новых тенденций и анализ последних стратегий кибер-преступлений для того, чтобы быть способными защитить свою ИТ-инфраструктуру более эффективным способом.

В этом ключе выделяются две стратегии предотвращения ИТ-рисков, которые, на первый взгляд, могут показаться идентичными, но на деле имеют ряд различий – honeypots и sandboxing.

Honeypot (приманка) – это стратегия ИБ, которая среди прочего предназначена для обмана потенциальных кибер-преступников. Будь то с помощью специального ПО или в результате человеческих действий, но компания, используя данную стратегию, создает специальные «приманки» для кибер-преступников, т.е. «делает вид», как будто существуют способы проникновения в ее системы, якобы не защищенные должным образом.

Тактика следующая: на первом шаге компания якобы создает серверы и системы с какой-то конфиденциальной и чувствительной информацией (или службами). Причем все это делается так, словно случайно на них остаются точки несанкционированного проникновения – такие серверы или системы кажутся уязвимыми. Как только приманка сделана, начинается игра в «ловлю на живца»: необходимо привлечь злоумышленников, чтобы они среагировали на данный вызов и попытались проникнуть в систему. Однако кибер-преступник не знает об этом, и он не знает о том, что как только он воспользовался данной уязвимостью, компания начинает наблюдать за ним и контролировать все его действия.

Все это дает компании тройное преимущество: во-первых, она может остановить действительно опасные атаки; во-вторых, она может «загрузить работой» хакера, измотать его и вынудить его зря потратить свое время; наконец, она может проанализировать все его перемещения и использовать эту информацию для обнаружения новых стратегий атак, используемых в секторе.

Honeypots подобно так называемой кибер-контрразведке, которая также использует стратегию создания «слабых мест» ИБ, которые, в силу своей кажущейся уязвимости, заманивают хакеров и обманывают их, усложняя их попытки, а также шпионя за ними, анализируя их передвижения и осуществляя за ними контроль.

На самом деле существуют способы сделать данную тактику еще более сложной. Если приманки расставлять не в неиспользуемых сетях, а в реальных приложениях и системах (это когда мы начинаем говорить о honeynet), то это позволит еще больше ввести в заблуждение кибер-преступников и заставить их поверить в то, что они атакуют самое сердце ИТ-безопасности компании.

Sandbox в переводе с английского – это песочница. Песочницы имеют несколько элементов, которые их отличают от honeypots. Это гораздо менее рискованная тактика, и она осуществляется в том случае, если компания подозревает, что некоторые приложения могут содержать вредоносный код.

В этом случае компания полностью изолирует процесс выполнения такой программы и наблюдает за ней. Ее запускают на одном отдельном компьютере, при этом контролируют, чтобы эта машина не устанавливала никаких соединений с другими устройствами в корпоративной сети.

Фактически sandboxing – оптимальная стратегия для компаний, работающих с материалом, скачиваемым из Интернета, который потенциально может скомпрометировать их ИТ-безопасность. Такой подход может быть также полезен в том случае, когда сотрудник в силу недостатка обучения и осведомленности об ИТ-безопасности, загружает вложение, способное представлять угрозу для ИТ-систем компании.

Таким образом, цель honeypot – заманить хакеров и избежать их атак, в результате чего они тратят свое время и силы на лишние действия, которые компания тщательно анализирует. А sandboxing сосредоточен на том, чтобы оценить возможные инфекции, которые уже могли поразить систему, и запуск подозрительных программ в изолированной среде так, чтобы они не могли повлиять на другие компьютеры в компании.

Sandboxing или honeypots?