nemzeti adatvagyon kibertámadások

A kibertámadások elleni védelem egyik lehetséges eleme a honeypot, ami nem más, mint egy olyan szimulált, vagy valódi hálózati környezetben elhelyezett csapda, ami elhiteti az informatikai rendszer támadójával, hogy a kritikus infrastruktúrát támadja, illetve azt, hogy a támadás eredményeként kritikus információkat szerezhet meg, vagy befolyásolhatja a kritikus infrastruktúra működését.

A támadó(k) módszerei és kiléte egy ilyen rendszer segítségével megfigyelhető, ez pedig áttételesen segíti a kibervédelem magasabb szintjének általános garantálását. A honeypot rendszerek működéséről itt írtam bővebben, és az apropója akkor egy beszerzés volt, amelyet a Nemzetbiztonsági Szakszolgálat indított, és a Magyar Tudományos Akadémia SZTAKI nyert meg.

Azóta elérhetővé vált egy, az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek számára szervezett, éves továbbképzés anyaga, amely tartalmazza a kormányzati honeypot általános ismérveit is.

Ennek megfelelően tudható, hogy “az elosztott kormányzati IT-hálózatbiztonsági csapdarendszer (GovProbe) egy központi adatgyűjtő, kiértékelő elemből, valamint az azzal kapcsolatban álló, a külső támadó számára valósnak látszó hálózati szolgáltatásokat szimuláló célpont rendszerekből (szenzorok) áll, ami az aktív támadási próbálkozások során keletkező adatok és mintázatok rögzítését teszi lehetővé.”

Egy idei, májusi prezentáción pedig már elérhetők a kormányzati honeypot rendszer elsődleges “eredményei” is:

2020. február hónapban:

  • Összesen 3.591.019 db, óránként 5.159 db csapda esemény
  • 13.333 db egyedi forrás IP cím
  • 28 db SMTP bejelentkezési azonosító
  • 9 db SMTP jelszó próbálkozás
  • 6.550 db önálló HTTP munkamenet

2020. március hónapban:

  • Összesen 5.922.948 db, óránként 7.960 db csapda esemény
  • 42.541 db egyedi forrás IP cím
  • 5.929 db SSH bejelentkezési azonosító
  • 14.881 db jelszó próbálkozás
  • 5.961 db önálló HTTP munkamenet

2020. április hónapban:

  • Összesen 10.838.541 db, óránként 15.053 db csapda esemény
  • 66.204 db egyedi forrás IP cím
  • 4.773 db SSH bejelentkezési azonosító
  • 19.869 db jelszó próbálkozás
  • 9.525 db önálló HTTP munkamenet

Korábbi kiemelt események:

2019. május.17 – 2019. május.19.:

  • SSH csapda események
  • gyenge jelszóval védett IoT eszközökből álló botnet
  • SSH TCP forwarding

2019. május 08. és 2019. szeptember 01-03.:

  • SMTP csapda események
  • nagy volumenű bejelentkezési kísérlet
  • folyamatosan:
  • HTTP csapda események
  • PHP távoli kódfuttatást (RCE) lehetővé tevő sérülékenysége
  • nginx webszerver RCE sérülékenysége
  • CCTV eszközök RCE sérülékenysége

A prezentáció további részleteket is tartalmaz a honeypot rendszer működéséről, aki viszont az aktuális eseményekre kíváncsi az real-time jelleggel is megtekintheti az NKI honlapján az Elosztott Kormányzati Csapdarendszerben regisztrált támadási eseményeket.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a kövekezőről:

Ajánlott tartalom

Továbbiak:Informatika