Συστήματα ανίχνευσης εισβολών βασισμένα στην εφαρμογή πολλαπλών εργαλείων honeypot

Abstract

Όλο και περισσότερο, μηχανικοί και αναλυτές κυβερνοασφάλειας καλούνται να αντιμετωπίσουν σύνθετες απειλές εντός και εκτός του δικτύου ενός οργανισμού. Ναι μεν η διάθεση βασικών μέσων ανίχνευσης και εμπόδισης περαιτέρω κακόβουλων ενεργειών (πχ firewall, antivirus) είναι εφικτή ακόμα και για μικρομεσαίες επιχειρήσεις, ωστόσο δεν μπορούν να εγγυηθούν ένα ασφαλές περιβάλλον σε πολλαπλά επίπεδα. Απαιτείται ένας έξυπνος και κατανεμημένος μηχανισμός που να μπορεί να παρακολουθήσει την δικτυακή κίνηση σε όλα τα λειτουργικά επίπεδα και να την συνδυάσει σε πραγματικό χρόνο με επιπλέον πληροφορίες (από άλλα συστήματα) για την έγκαιρη διάγνωση και αντιμετώπιση ενός κινδύνου. Ο σκοπός της διατριβής είναι να ερευνήσει σε θεωρητικό και πρακτικό επίπεδο κατά πόσο βασικές τεχνολογίες honeypot μπορούν να συνθέσουν μία τέτοια ολοκληρωμένη λύση αντιμετώπισης απειλών στο δίκτυο ενός οργανισμού. Μελετούμε τους διαφορετικούς τύπους εργαλείων honeypot όπως και διαφορετικές στρατηγικές χρήσης τους σε οργανισμούς και επιχειρήσεις και προτείνουμε το δικό μας μοντέλο πολλαπλών honeypots. Πραγματοποιούμε πειράματα με τέσσερα εργαλεία honeypot που αποδεικνύουν ότι το μοντέλο αυτό είναι ευέλικτο και κλιμακωτό και μπορεί να συμβάλλει στην παραπάνω στρατηγική αντιμετώπισης απειλών. Επιπλέον, συνδυάζεται εύκολα με επιπλέον συστήματα παρέχοντας πληροφορίες για το αποτύπωμα των επιτιθέμενων (threat intelligence).