На просторах GitHub можно найти различные проекты ловушек (ханипотов) с открытым исходным кодом. Мы уже делали обзор на самые эффективные из них.
Их основной недостаток — отсутствие централизованного управления и распространения, т.е. каждая отдельная ловушка потребует ручной настройки и внедрения. Эта проблема частично решается с помощью фреймворков по управлению ловушками (например, Modern Honey Network или T-Pot).
Но ни один из этих фреймворков не является полноценным решением класса Distributed Deception Platform (DDP). Их эффективность напрямую зависит от затраченных ресурсов на разработку эффективного подхода по управлению сетью ловушек и их мониторингу, установке обновлений и обработке данных. Если вам удастся их решить — поздравляем, вы разработали систему киберобмана.
Плюсы | Минусы |
Сокращение капитальных затрат. Большинство Open Source-решений бесплатны. | Проекты с открытым исходным кодом, как правило, хорошо изучены злоумышленниками (они знают их слабые места). Таким образом, выявление злоумышленником Open Source-ловушки в корпоративной сети может привести к тому, что он успешно обойдет её. Это ставит эффективность их использования для решения ИБ-задач под сомнение. |
Относительно низкая стоимость внедрения на старте, согласно исследованию некоммерческой организации The Linux Foundation. В дальнейшем подобные проекты требуют от компаний создания отдельного офиса для координации использования Open Source-решений и соблюдения параметров лицензирования, а также отдельных расходов на поддержку. | Открытый исходных код — это возможный вектор для кибератаки. Никто не гарантирует отсутствие уязвимостей и бэкдоров в проектах. Уязвимая или атакованная система может подвергнуть риску и вас, и других, если у компании нет ресурсов для анализа защищённости кода. |
Возможности масштабирования продуктов и гибкость их доработки. Респонденты исследования The Linux Foundation также отмечают, что ключевыми преимуществами Open Source-решений являются быстрая скорость разработки и возможность совместимости с другими продуктами благодаря открытым стандартам. | Отсутствие централизованной системы управления и мониторинга. Чтобы ловушки в сети выполняли прикладную задачу — детектировали кибератаки, количество эмулируемых ими ложных сервисов и систем должно покрывать не менее 80% вашей инфраструктуры. В случае обширной сети ловушек основные проблемы связаны с их управлением, техническим обслуживанием, сбором и обработкой логов, а также исправлением ошибок. |
Возможность выбора различных проектов под решение конкретных задач компании. Важно отметить, что не все из них являются актуальными. Смотрите в первую очередь те проекты, которые развиваются сообществом (количество запросов на изменения, количество активных участников в проекте) или поддерживаются владельцем («software maintainer»), способным решить потенциальные проблемы. | Отсутствие технической поддержки. Каждая отдельна система информационной безопасности уникальна. Многие детали реализации могут быть неочевидны при её внедрении. Для более оперативного и эффективного развёртывания может потребоваться поддержка разработчика. |
Независимость от поставщика. Использование Open Source-ловушек позволяет быть независимыми от конкретных вендоров. Они разрабатываются и поддерживаются сообществом разработчиков. Это означает, что их функциональность и поддержка не зависят от конкретной компании-производителя. | Отсутствие возможности направлять запросы на доработку функционала. Любая система кибербезопасности требует «тюнинга», конфигурации, интеграции со всеми процессами и смежными решениями компании. Возможность направлять запросы на доработку системы исключит вопросы совместимости решения с внутренней инфраструктурой компании. |
Прозрачность кода. Определённым преимуществом Open Source-ловушек является открытый исходный код программы. Это позволяет специалистам по безопасности анализировать код и находить потенциальные уязвимости, что облегчает их обнаружение и устранение. | Использование Open Source-ловушек может требовать от администраторов большего количества времени, опыта в настройке и использовании данного инструмента. Кроме того, решения с открытым исходным кодом обычно слабо документированы, что тоже влечет за собой увеличение количества ресурсов необходимых для работы с данным классом решения. |
При грамотной эксплуатации Open Source-проектов компании могут закрыть проблемы на начальном этапе. В дальнейшем при масштабировании подобных решений могут потребоваться расходы и компетенции на развитие и поддержку.
Использование Open Source-ловушек эффективно для сбора информации о техниках и тактиках, которые используют злоумышленники при атаках на вашу организацию. Для детектирования реальных атак потребуются значительные ресурсы на разработку эффективного подхода к управлению сетью ловушек внутри вашей корпоративной сети. Если вы планируете развивать концепцию киберобмана для выявления киберинцидентов, всегда можно интегрировать существующие ловушки с Xello Deception. Платформа обрабатывает инциденты из внешних систем в рамках одного процесса в единой веб-консоли.
Мы освещаем все самое важное и интересное в индустрии информационной безопасности