ProHoster > Blog > administrasie > Honeypot vs Deception op die voorbeeld van Xello

Honeypot vs Deception op die voorbeeld van Xello

Honeypot vs Deception op die voorbeeld van Xello

Daar is reeds verskeie artikels oor Habré oor Honeypot- en Deception-tegnologieë (1 artikel, 2 artikel). Ons word egter steeds gekonfronteer met 'n gebrek aan begrip van die verskil tussen hierdie klasse beskermende toerusting. Hiervoor het ons kollegas van Hallo Misleiding (eerste Russiese ontwikkelaar Platform misleiding) het besluit om die verskille, voordele en argitektoniese kenmerke van hierdie oplossings in detail te beskryf.

Kom ons vind uit wat "heuningpotte" en "bedrog" is:

“Deception-tegnologieë” het relatief onlangs op die mark vir inligtingsekuriteitstelsels verskyn. Sommige kenners beskou Security Deception egter steeds as net meer gevorderde heuningpotte.

In hierdie artikel sal ons probeer om beide die ooreenkomste en fundamentele verskille tussen hierdie twee oplossings uit te lig. In die eerste deel sal ons praat oor heuningpot, hoe hierdie tegnologie ontwikkel het en wat is die voordele en nadele daarvan. En in die tweede deel sal ons in detail stilstaan ​​oor die beginsels van die werking van platforms vir die skep van 'n verspreide infrastruktuur van lokmiddels (Engels, Distributed Deception Platform - DDP).

Die basiese beginsel onderliggend aan heuningpotte is om lokvalle vir kuberkrakers te skep. Die heel eerste Misleiding-oplossings is op dieselfde beginsel ontwikkel. Maar moderne DDP's is aansienlik beter as heuningpotte, beide in funksionaliteit en doeltreffendheid. Misleidingplatforms sluit in: lokvalle, lokvalle, lokke, toepassings, data, databasisse, Active Directory. Moderne DDP's kan kragtige vermoëns bied vir bedreigingopsporing, aanvalanalise en reaksie-outomatisering.

Dus, Misleiding is 'n tegniek om 'n onderneming se IT-infrastruktuur te simuleer en kuberkrakers te mislei. As gevolg hiervan maak sulke platforms dit moontlik om aanvalle te stop voordat dit aansienlike skade aan maatskappybates aanrig. Heuningpotte het natuurlik nie so wye funksionaliteit en so 'n vlak van outomatisering nie, so die gebruik daarvan vereis meer kwalifikasies van werknemers van inligtingsekuriteitsdepartemente.

1. Heuningpotte, Heuningnette en Sandboxing: wat dit is en hoe dit gebruik word

Die term "heuningpotte" is die eerste keer in 1989 gebruik in Clifford Stoll se boek "The Cuckoo's Egg", wat die gebeure beskryf van die opsporing van 'n kuberkraker by die Lawrence Berkeley National Laboratory (VSA). Hierdie idee is in 1999 toegepas deur Lance Spitzner, 'n inligtingsekuriteitspesialis by Sun Microsystems, wat die Honeynet Project-navorsingsprojek gestig het. Die eerste heuningpotte was baie hulpbron-intensief, moeilik om op te rig en in stand te hou.

Kom ons kyk van nader na wat dit is honey pots и heuningtjies. Honeypots is individuele gashere wie se doel is om aanvallers te lok om 'n maatskappy se netwerk binne te dring en waardevolle data te probeer steel, asook die netwerk se dekkingsgebied uit te brei. Honeypot (letterlik vertaal as "vat heuning") is 'n spesiale bediener met 'n stel verskeie netwerkdienste en protokolle, soos HTTP, FTP, ens. (sien Fig. 1).

Honeypot vs Deception op die voorbeeld van Xello

As jy verskeie kombineer honey pots in die netwerk, dan sal ons 'n meer doeltreffende stelsel kry heuningnet, wat 'n emulasie is van 'n maatskappy se korporatiewe netwerk (webbediener, lêerbediener en ander netwerkkomponente). Hierdie oplossing laat jou toe om die strategie van aanvallers te verstaan ​​en hulle te mislei. 'n Tipiese heuningnet werk as 'n reël parallel met die werknetwerk en is heeltemal onafhanklik daarvan. So 'n "netwerk" kan via 'n aparte kanaal op die internet gepubliseer word, 'n aparte reeks IP-adresse kan ook daarvoor toegeken word (sien Fig. 2).

Honeypot vs Deception op die voorbeeld van Xello

Die doel van die gebruik van honeynet is om die hacker te wys dat hy kwansuis die organisasie se korporatiewe netwerk binnegedring het, die aanvaller is in werklikheid in 'n "geïsoleerde omgewing" en onder die noue toesig van inligtingsekuriteitspesialiste (sien Fig. 3).

Honeypot vs Deception op die voorbeeld van Xello

Hier moet ons ook so 'n instrument noem soos "sandbox"(Engels, sandbox), wat aanvallers toelaat om wanware te installeer en uit te voer in 'n geïsoleerde omgewing waar IT hul aktiwiteite kan monitor om potensiële risiko's te identifiseer en toepaslike teenmaatreëls te tref. Tans word sandboxing tipies geïmplementeer op toegewyde virtuele masjiene op 'n virtuele gasheer. Daar moet egter op gelet word dat sandboxing slegs wys hoe gevaarlike en kwaadwillige programme optree, terwyl honeynet 'n spesialis help om die gedrag van "gevaarlike spelers" te ontleed.

Die ooglopende voordeel van honeynets is dat hulle aanvallers mislei en hul energie, hulpbronne en tyd mors. As gevolg hiervan, in plaas van werklike teikens, val hulle valse teikens aan en kan ophou om die netwerk aan te val sonder om iets te bereik. Meestal word honeynet-tegnologieë in regeringsagentskappe en groot korporasies, finansiële organisasies gebruik, aangesien dit die strukture is wat teikens vir groot kuberaanvalle blyk te wees. Klein- en mediumgrootte ondernemings (SMB's) het egter ook effektiewe hulpmiddels nodig om inligtingsekuriteitvoorvalle te voorkom, maar heuningtjies in die SMB-sektor is nie so maklik om te gebruik nie weens die gebrek aan gekwalifiseerde personeel vir sulke komplekse werk.

Beperkings van heuningpotte en heuningnetoplossings

Hoekom is heuningpotte en heuningnet nie die beste oplossings om aanvalle vandag teë te werk nie? Daar moet kennis geneem word dat aanvalle toenemend grootskaals, tegnies kompleks word en in staat is om ernstige skade aan 'n organisasie se IT-infrastruktuur te veroorsaak, en kubermisdaad het 'n heeltemal ander vlak bereik en verteenwoordig hoogs georganiseerde skadu-besigheidstrukture toegerus met al die nodige hulpbronne. Hierby moet die “menslike faktor” (foute in sagteware- en hardeware-instellings, optrede van insiders, ens.) gevoeg word, dus is dit op die oomblik nie meer voldoende om slegs tegnologie te gebruik om aanvalle te voorkom nie.

Hieronder lys ons die belangrikste beperkings en nadele van heuningpotte (heuningnette):

  1. Heuningpotte is oorspronklik ontwikkel om bedreigings te identifiseer wat buite die korporatiewe netwerk is, is eerder bedoel om die gedrag van aanvallers te ontleed en is nie ontwerp om vinnig op dreigemente te reageer nie.

  2. Aanvallers het as 'n reël reeds geleer om nagebootste stelsels te herken en heuningpotte te vermy.

  3. Heuningpotte (heuningpotte) het 'n uiters lae vlak van interaktiwiteit en interaksie met ander sekuriteitstelsels, as gevolg waarvan dit moeilik is om gedetailleerde inligting oor aanvalle en aanvallers met behulp van heuningpotte te bekom, en dus effektief en vinnig op inligtingsekuriteitsvoorvalle te reageer . Boonop ontvang inligtingsekuriteitspesialiste 'n groot aantal vals dreigementwaarskuwings.

  4. In sommige gevalle kan kuberkrakers 'n gekompromitteerde heuningpot as 'n beginpunt gebruik om hul aanval op 'n organisasie se netwerk voort te sit.

  5. Probleme ontstaan ​​dikwels met die skaalbaarheid van heuningpotte, hoë operasionele las en konfigurasie van sulke stelsels (dit benodig hoogs gekwalifiseerde spesialiste, het nie 'n gerieflike bestuurskoppelvlak, ens.). Daar is groot probleme om heuningpotte in gespesialiseerde omgewings soos IoT, POS, wolkstelsels, ens.

2. Misleidingstegnologie: voordele en basiese bedryfsbeginsels

Nadat ons al die voor- en nadele van heuningpotte bestudeer het, kom ons tot die gevolgtrekking dat 'n heeltemal nuwe benadering tot reaksie op inligtingsekuriteitvoorvalle nodig is om 'n vinnige en voldoende reaksie op die optrede van aanvallers te ontwikkel. En so 'n oplossing is tegnologie Kubermisleiding (Sekuriteitsbedrog).

Die terminologie "Cyber ​​​​deception", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) is relatief nuut en het nie so lank gelede verskyn nie. Trouens, al hierdie terme beteken die gebruik van "misleidingstegnologieë" of "tegnieke om IT-infrastruktuur en disinformasie van aanvallers te simuleer." Die eenvoudigste Misleiding-oplossings is 'n ontwikkeling van die idees van heuningpotte, slegs op 'n meer tegnologies gevorderde vlak, wat groter outomatisering van bedreigingsopsporing en reaksie daarop behels. Daar is egter reeds ernstige DDP-klas oplossings op die mark wat maklik is om te ontplooi en te skaal, en het ook 'n ernstige arsenaal van "valletjies" en "aas" vir aanvallers. Byvoorbeeld, Deception laat jou toe om IT-infrastruktuurvoorwerpe soos databasisse, werkstasies, routers, skakelaars, OTM'e, bedieners en SCADA, mediese toerusting en IoT na te boots.

Hoe werk die verspreide misleiding-platform? Nadat DDP ontplooi is, sal die organisasie se IT-infrastruktuur gebou word asof uit twee lae: die eerste laag is die werklike infrastruktuur van die maatskappy, en die tweede is 'n "geëmuleerde" omgewing wat bestaan ​​uit lokmiddels en lokaas, wat geleë is. op werklike fisiese netwerktoestelle (sien Fig. 4).

Honeypot vs Deception op die voorbeeld van Xello

Byvoorbeeld, 'n aanvaller kan vals databasisse met "vertroulike dokumente", vals geloofsbriewe van sogenaamde "bevoorregte gebruikers" ontdek - dit is alles lokmiddels wat oortreders kan interesseer, en sodoende hul aandag van die maatskappy se ware inligtingsbates aflei (sien Figuur 5).

Honeypot vs Deception op die voorbeeld van Xello

DDP is 'n nuwe produk op die inligtingsekuriteitprodukmark; hierdie oplossings is slegs 'n paar jaar oud en tot dusver kan slegs die korporatiewe sektor dit bekostig. Maar klein en mediumgrootte ondernemings sal binnekort ook voordeel kan trek uit Deception deur DDP van gespesialiseerde verskaffers “as ’n diens” te huur. Hierdie opsie is selfs meer gerieflik, aangesien u nie u eie hoogs gekwalifiseerde personeel benodig nie.

Die belangrikste voordele van Deception-tegnologie word hieronder getoon:

  • Egtheid (egtheid). Misleidingstegnologie is in staat om 'n heeltemal outentieke IT-omgewing van 'n maatskappy weer te gee, bedryfstelsels, IoT, POS, gespesialiseerde stelsels (medies, industrieel, ens.), dienste, toepassings, geloofsbriewe, ens. Lokkies word versigtig met die werksomgewing gemeng, en 'n aanvaller sal hulle nie as heuningpotte kan identifiseer nie.

  • bekendstelling van. DDP's gebruik masjienleer (ML) in hul werk. Met die hulp van ML word eenvoud, buigsaamheid in instellings en doeltreffendheid van implementering van Misleiding verseker. “Strik” en “lokvalre” word baie vinnig opgedateer, wat 'n aanvaller in die maatskappy se “vals” IT-infrastruktuur lok, en intussen kan gevorderde ontledingstelsels gebaseer op kunsmatige intelligensie aktiewe optrede van kuberkrakers opspoor en dit verhoed (byvoorbeeld, 'n probeer om toegang tot Active Directory-gebaseerde bedrieglike rekeninge te verkry).

  • Gemak van werking. Moderne verspreide misleidingsplatforms is maklik om te onderhou en te bestuur. Hulle word tipies bestuur via 'n plaaslike of wolkkonsole, met integrasievermoëns met die korporatiewe SOC (Security Operations Centre) via API en met baie bestaande sekuriteitskontroles. Instandhouding en bedryf van DDP vereis nie die dienste van hoogs gekwalifiseerde inligtingsekuriteitskundiges nie.

  • Skaalbaarheid. Sekuriteitsbedrog kan in fisiese, virtuele en wolkomgewings ontplooi word. DDP's werk ook suksesvol met gespesialiseerde omgewings soos IoT, ICS, POS, SWIFT, ens. Gevorderde Deception-platforms kan “misleidingstegnologieë” in afgeleë kantore en geïsoleerde omgewings projekteer, sonder dat dit nodig is vir addisionele volledige platformontplooiing.

  • Interaksie. Deur kragtige en aantreklike lokmiddels te gebruik wat gebaseer is op werklike bedryfstelsels en slim tussen werklike IT-infrastruktuur geplaas is, versamel die Deception-platform uitgebreide inligting oor die aanvaller. DDP verseker dan dat dreigementwaarskuwings versend word, verslae gegenereer word en inligtingsekuriteitsinsidente outomaties gereageer word.

  • Beginpunt van aanval. In moderne Deception word lokvalle en lokaas binne die omvang van die netwerk geplaas, eerder as daarbuite (soos die geval is met heuningpotte). Hierdie lokmiddel-ontplooiingsmodel verhoed dat 'n aanvaller dit as 'n hefboompunt gebruik om die maatskappy se werklike IT-infrastruktuur aan te val. Meer gevorderde oplossings van die Deception-klas het verkeersroetevermoëns, sodat jy alle aanvallerverkeer deur 'n spesiaal toegewyde verbinding kan lei. Dit sal jou toelaat om die aktiwiteite van aanvallers te ontleed sonder om waardevolle maatskappybates te waag.

  • Die oorredingsvermoë van “misleidingstegnologieë”. In die aanvanklike stadium van die aanval versamel en ontleed aanvallers data oor die IT-infrastruktuur, en gebruik dit dan om horisontaal deur die korporatiewe netwerk te beweeg. Met die hulp van “misleidingstegnologieë” sal die aanvaller beslis in “strikke” trap wat hom van die werklike bates van die organisasie sal weglei. DDP sal potensiële paaie ontleed om toegang tot geloofsbriewe op 'n korporatiewe netwerk te verkry en die aanvaller van "lokteikens" voorsien in plaas van regte geloofsbriewe. Hierdie vermoëns het 'n groot gebrek aan heuningpot-tegnologieë gehad. (Sien Figuur 6).

Honeypot vs Deception op die voorbeeld van Xello

Misleiding VS Heuningpot

En uiteindelik kom ons by die interessantste oomblik van ons navorsing. Ons sal probeer om die belangrikste verskille tussen Deception en Honeypot-tegnologie uit te lig. Ten spyte van sekere ooreenkomste, verskil hierdie twee tegnologieë steeds baie, van die fundamentele idee tot die bedryfsdoeltreffendheid.

  1. Verskillende basiese idees. Soos ons hierbo geskryf het, word heuningpotte geïnstalleer as "lokooie" rondom waardevolle maatskappybates (buite die korporatiewe netwerk), om sodoende aanvallers se aandag te probeer aflei. Honeypot-tegnologie is gebaseer op 'n begrip van 'n organisasie se infrastruktuur, maar heuningpotte kan 'n beginpunt word om 'n aanval op 'n maatskappy se netwerk te loods. Misleidingstegnologie word ontwikkel met inagneming van die aanvaller se oogpunt en laat jou toe om 'n aanval op 'n vroeë stadium te identifiseer, dus kry inligtingsekuriteitspesialiste 'n beduidende voordeel bo aanvallers en wen tyd.

  2. "Aantreklikheid" VS "Verwarring". Wanneer heuningpotte gebruik word, hang sukses daarvan af om die aandag van aanvallers te trek en hulle verder te motiveer om na die teiken in die heuningpot te beweeg. Dit beteken dat die aanvaller steeds die heuningpot moet bereik voordat jy hom kan keer. Die teenwoordigheid van aanvallers op die netwerk kan dus 'n paar maande of langer duur, en dit sal lei tot datalekkasie en skade. DDP's boots die werklike IT-infrastruktuur van 'n maatskappy kwalitatief na; die doel van die implementering daarvan is nie net om die aandag van 'n aanvaller te trek nie, maar om hom te verwar sodat hy tyd en hulpbronne mors, maar nie toegang tot die werklike bates van die maatskappy.

  3. "Beperkte skaalbaarheid" VS "outomatiese skaalbaarheid". Soos vroeër genoem, het heuningpotte en heuningnette skaalprobleme. Dit is moeilik en duur, en om die aantal heuningpotte in 'n korporatiewe stelsel te vermeerder, sal jy nuwe rekenaars, OS moet byvoeg, lisensies koop en IP toeken. Boonop is dit ook nodig om gekwalifiseerde personeel te hê om sulke stelsels te bestuur. Misleidingsplatforms ontplooi outomaties soos jou infrastruktuur skaal, sonder noemenswaardige oorkoste.

  4. "'n Groot aantal vals positiewe" versus "geen vals positiewe". Die kern van die probleem is dat selfs 'n eenvoudige gebruiker 'n heuningpot kan teëkom, so die "nadeel" van hierdie tegnologie is 'n groot aantal vals positiewe, wat inligtingsekuriteitspesialiste van hul werk aflei. "Aas" en "lokvalle" in DDP word versigtig weggesteek vir die gemiddelde gebruiker en is slegs ontwerp vir 'n aanvaller, so elke sein van so 'n stelsel is 'n kennisgewing van 'n werklike bedreiging, en nie 'n vals positief nie.

Gevolgtrekking

Na ons mening is Deception-tegnologie 'n groot verbetering bo die ouer Honeypots-tegnologie. In wese het DDP 'n omvattende sekuriteitsplatform geword wat maklik is om te ontplooi en te bestuur.

Moderne platforms van hierdie klas speel 'n belangrike rol in die akkurate opsporing en effektief te reageer op netwerkbedreigings, en hul integrasie met ander komponente van die sekuriteitstapel verhoog die vlak van outomatisering, verhoog die doeltreffendheid en doeltreffendheid van insidentreaksie. Misleidingsplatforms is gebaseer op egtheid, skaalbaarheid, gemak van bestuur en integrasie met ander stelsels. Dit alles gee 'n aansienlike voordeel in die spoed van reaksie op inligtingsekuriteitsinsidente.

Ook, gebaseer op waarnemings van pentests van maatskappye waar die Xello Deception-platform geïmplementeer of geloods is, kan ons gevolgtrekkings maak dat selfs ervare pentesters dikwels nie die aas in die korporatiewe netwerk kan herken nie en misluk wanneer hulle vir die strikke wat gestel word, val. Hierdie feit bevestig weereens die doeltreffendheid van Misleiding en die groot vooruitsigte wat vir hierdie tegnologie in die toekoms oopmaak.

Produk toetsing

As jy belangstel in die Deception-platform, dan is ons gereed gesamentlike toetse te doen.

Bly ingeskakel vir opdaterings in ons kanale (telegramFacebookVKTS Oplossing Blog)!

Bron: will.com

Voeg 'n opmerking