Основная задача системы – обнаружение и регистрация действий злоумышленника, сигнализация о них с целью нейтрализации угрозы получения доступа (чтение, копирование) к реальным данным на реальных системах хранения данных.
Honeypot Manager позволяет сымитировать систему хранения данных с помощью специальных ловушек (сенсоров), отслеживает активность на имитируемой СУБД Oracle и уведомляет о фактах НСД к имитируемым данным, хранящимся в базе данных.
Таким образом, администратор безопасности владеет информацией о том, кто пытается получить доступ к системе и пытается ли вообще, а также может определить перепутал ли сотрудник имя реального сервера и случайно попал на ловушку или действовал преднамеренно и в сети действительно есть нарушители, пытающиеся найти сервера или службы, работающие с данными, представляющими ценность для компании.
Основными функциями продукта являются:
- Обнаружение и регистрация фактов НСД к имитируемым данным;
- Оповещение заинтересованных лиц о попытках НСД к имитируемым данным;
- Имитация реальной системы хранения данных;
- Возможность восстановления модифицированной нарушителем системы к исходному состоянию;
- Генерация отчетов о работе системы за определенные периоды времени;
- Централизованное управление несколькими имитационными системами;
- Авторизация и контроль доступа к управлению системой;
- Механизм контроля работоспособности (диагностика);
- Возможность гибкой настройки правил реагирования на попытки НСД;
- Возможность генерации данных, близких к реальным;
- Возможность периодической смены IP-адресов имитационных систем.
Технические принципы работы продукта
Сенсор представляет из себя заранее подготовленную виртуальную машину под управлением VMware Player 2.5.1 с настроенной ОС Linux Debian 4.0 и базой данных Oracle 10g R2 Express Edition с максимально доступным уровнем аудита. За активностью сенсора ведется постоянное наблюдение. На сенсоре открыты порты, позволяющие подключаться удаленно только к СУБД Oracle.
Таким образом, любой пользователь, зашедший на имитируемую СУБД, может считаться потенциальным нарушителем, так как все легитимные пользователи работают только с настоящей БД.
Службы продукта производят регулярный сбор данных аудита с сенсора и анализируют их на соответствие заданным правилам уведомлений. Результаты анализа активности регистрируются в журнале ОС в виде сообщений о фактах НСД с указанием информации о компьютере и учетной записи потенциального нарушителя, времени и характере доступа, а также могут отправляться по электронной почте для уведомления заинтересованных лиц.
Все записи аудита хранятся в базе данных и доступны для последующего анализа даже в случае порчи сенсора нарушителем или краха системы. Настроенная система отчетов на основе Microsoft SQL Server Reporting Services позволяет производить анализ активности и видеть статистику работы системы.
Продукт позволяет имитировать работу как двух-, так и трехзвенных приложений. В случае имитации трехзвенного приложения полезной может быть утилита перемешивания данных, позволяющая модифицировать исходные реальные данные таким образом, чтобы они сохранили свою структуру и могли распознаваться приложением, но при этом перестали представлять какую-либо ценность.
В продукте реализована ролевая модель доступа к данным и управлению продуктом. Управлять сенсорами и просматривать отчеты могут только члены специальных локальных групп, создаваемых при установке Honeypot Manager.
Если действия нарушителя носят необратимый характер, продукт предоставляет возможность восстановления первоначального состояния сенсора из резервной копии.
Схема применения продукта
Число инсталляций Honeypot Manager зависит от сложности (сегментации) сети. Рекомендуется в каждом сегменте устанавливать свой сервер с сенсорами. Число сенсоров должно соответствовать числу прикладных серверов. Например, на каждый реальный сервер поднимать один сенсор.
