Традиционно при обеспечении информационной безопасности придерживались оборонительной стратегии. Брандмауэры, системы обнаружения вторжения, шифрование - все эти механизмы используются как оборонительные средства для защиты чьих-то ресурсов. Стратегия заключается в том, чтобы как можно лучше защитить организацию, обнаружить прорывы в обороне, а затем прореагировать на них. Недостаток такого подхода в том, что он абсолютно оборонительный - нападает враг. Honeynet предназначена для изменения ситуации, чтобы инициатива принадлежала организациям. Основная цель создания Honeynet заключается в сборе информации о враге. То есть специалисты организации смогут остановить нападение или прорыв обороны до того, как это произойдет. Обеспечение информационной безопасности часто сравнивалось с военными действиями, такими как оборона крепости или партизанская война, а это значит, что организации могут стать хозяевами положения, изучив врага до того, как он нанесет удар.
Например, для общения между собой взломщики в основном используют IRC (Internet Relay Chat), общаясь свободно, рассказывая о своих мотивах, целях и действиях. Мы записали эти разговоры при помощи Honeynet и изучили каждое слово. Мы даже сделали видеоснимки взломщиков, участвующих в нападении на нашу Honeynet. Однажды мы выследили взломщиков, нападавших на сотни систем ради единственной цели -атаковать инфраструктуру одной страны. Затем мы передали эту информацию организациям, которые подверглись нападению, а также предупредили правительство о надвигающейся атаке, тем самым сведя к нулю эффективность работы хакеров. Нам также удалось определить их точные приемы и методологию, поделившись с организациями информацией о том, как лучше реагировать и отразить угрозу. Более подробно этот инцидент описывается в главе 11.
Honeynet также предоставляет организации информацию о рисках и слабых местах в плане обеспечения безопасности, так как может состоять из тех же самых операционных систем и приложений, которые используются в производственной среде. Например, если организация использует в приложении Web-сервер Microsoft IIS (Internet Information Server) с серверной частью базы данных, то можно построить Honeynet из этих же компонентов, что позволит определить все риски, существующие в данной среде. Также можно использовать системы, которые нужно протестировать, или рассмотреть вопрос об их применении. Наверняка вы рассматриваете новое устройство для выравнивания нагрузки или переключатель, и у вас есть сомнения относительно возможных рисков. Honeynet создает среду, в которой можно проверить наличие этих рисков. Зачастую они могут быть пропущены в реальном окружении из-за перегрузки данными. Использование сети на предприятии связано с таким большим объемом деятельности, что трудно определить, какая деятельность злонамеренна, а какая является частью нормального повседневного сетевого трафика. Однако в контролируемом окружении Honeynet гораздо легче обнаружить подобные риски.
Более того, Honeynet позволяет разработать собственные инструменты организации для ответной реакции на инциденты. За прошедшие два года Honeynet Project значительно расширил возможности определения, реагирования, восстановления и анализа систем, подвергшихся нападению. После многочисленных взломов систем мы отточили множество технических приемов. Более подробно они описываются в главах 6 и 8. Обычно при анализе взломанной системы нельзя предположить, насколько верны его результаты; остается только строить догадки. Преимущество работы с анализируемой системой Honeynet заключается в том, что у вас уже есть многие ответы, так как каждый пакет и комбинации клавиш, посланные в систему, были зафиксированы. Затем можно отнестись к взломанной системе, как к «задачке», проверяя на ней, насколько хорошо вы можете определить случившееся при помощи разнообразных техник расследования. Затем можно сравнить результаты с данными, записанными в Honeynet. Эту информацию также можно использовать для того, чтобы выяснить, не были ли взломаны другие системы производственной сети. После того как вы определите подписи (сигнатуры) взломщика и нападения, можно просмотреть окружение в поисках таких же подписей и обнаружить взломанные системы, о которых вы не знали.
Через несколько лет мы установили еще одно преимущество Honeynet: эта сеть не только знакомит нас с сообществом хакеров, но и позволяет определить наши собственные возможности в области обеспечения безопасности. Honeynet - это не что иное, как полностью контролируемая лаборатория, которая размещается во внутренней сети или в Internet. Вы учитесь, когда взломщики нападают на системы Honeynet и когда вы сами устанавливаете и поддерживаете их. Работая с Honeynet, мы очень много узнали о регистрации информации, IDS, анализе сетевого трафика, усилении системы, привилегированном режиме и других приемах.
