Honeypot vs Deception باستخدام Xello كمثال

توجد بالفعل عدة مقالات عن حبري حول تقنيات Honeypot والخداع (1 مقالة, 2 مقالة). ومع ذلك، ما زلنا نواجه عدم فهم الفرق بين هذه الفئات من معدات الحماية. ولهذا زملائنا من مرحبا الخداع (أول مطور روسي خداع المنصة) قررت أن تصف بالتفصيل الاختلافات والمزايا والميزات المعمارية لهذه الحلول.

دعونا نكتشف ما هي "مصائد العسل" و"الخداع":

ظهرت "تقنيات الخداع" في سوق أنظمة أمن المعلومات مؤخرًا نسبيًا. ومع ذلك، لا يزال بعض الخبراء يعتبرون الخداع الأمني ​​مجرد مصائد أكثر تقدمًا.

سنحاول في هذه المقالة تسليط الضوء على أوجه التشابه والاختلاف الجوهري بين هذين الحلين. في الجزء الأول سنتحدث عن مصيدة الجذب وكيف تطورت هذه التقنية وما هي مميزاتها وعيوبها. وفي الجزء الثاني، سنتناول بالتفصيل مبادئ تشغيل المنصات لإنشاء بنية تحتية موزعة من الأفخاخ الخداعية (الإنجليزية، منصة الخداع الموزعة - DDP).

المبدأ الأساسي الكامن وراء مصائد مخترقي الشبكات هو إنشاء مصائد للمتسللين. تم تطوير حلول الخداع الأولى على نفس المبدأ. لكن DDPs الحديثة تتفوق بشكل كبير على مصائد الجذب، سواء من حيث الوظيفة أو الكفاءة. تشمل منصات الخداع: الأفخاخ الخداعية، والفخاخ، والإغراءات، والتطبيقات، والبيانات، وقواعد البيانات، والدليل النشط. يمكن أن توفر DDPs الحديثة إمكانات قوية لاكتشاف التهديدات وتحليل الهجمات وأتمتة الاستجابة.

وبالتالي، فإن الخداع هو أسلوب لمحاكاة البنية التحتية لتكنولوجيا المعلومات الخاصة بالمؤسسة وتضليل المتسللين. ونتيجة لذلك، فإن مثل هذه المنصات تجعل من الممكن إيقاف الهجمات قبل التسبب في أضرار جسيمة لأصول الشركة. مواضع الجذب، بالطبع، لا تتمتع بمثل هذه الوظائف الواسعة ومثل هذا المستوى من الأتمتة، لذلك يتطلب استخدامها المزيد من المؤهلات من موظفي أقسام أمن المعلومات.

1. مصائد الجذب وشبكات العسل ووضع الحماية: ما هي وكيف يتم استخدامها

تم استخدام مصطلح "مصائد العسل" لأول مرة في عام 1989 في كتاب كليفورد ستول "بيضة الوقواق"، الذي يصف أحداث تعقب أحد القراصنة في مختبر لورانس بيركلي الوطني (الولايات المتحدة الأمريكية). تم وضع هذه الفكرة موضع التنفيذ في عام 1999 على يد لانس سبيتزنر، وهو متخصص في أمن المعلومات في شركة صن مايكروسيستمز، وهو الذي أسس المشروع البحثي لمشروع هاني نت. كانت مصائد الجذب الأولى كثيفة الاستخدام للموارد، وكان من الصعب إعدادها وصيانتها.

دعونا نلقي نظرة فاحصة على ما هو عليه مصائد مخترقي الشبكات عبر и شبكات العسل. مصائد الجذب عبارة عن مضيفين فرديين يهدفون إلى جذب المهاجمين لاختراق شبكة الشركة ومحاولة سرقة البيانات القيمة، بالإضافة إلى توسيع منطقة تغطية الشبكة. Honeypot (يُترجم حرفيًا باسم "برميل العسل") هو خادم خاص يحتوي على مجموعة من خدمات وبروتوكولات الشبكة المتنوعة، مثل HTTP وFTP وما إلى ذلك. (انظر الشكل 1).

إذا قمت بالجمع بين عدة مصائد مخترقي الشبكات عبر في الشبكة، ثم سوف نحصل على نظام أكثر كفاءة com.honeynet، وهو عبارة عن محاكاة لشبكة الشركة الخاصة بالشركة (خادم الويب، وخادم الملفات، ومكونات الشبكة الأخرى). يتيح لك هذا الحل فهم استراتيجية المهاجمين وتضليلهم. عادةً ما تعمل شبكة العسل النموذجية بالتوازي مع شبكة العمل وتكون مستقلة تمامًا عنها. يمكن نشر مثل هذه "الشبكة" على الإنترنت من خلال قناة منفصلة، ​​كما يمكن تخصيص نطاق منفصل من عناوين IP لها (انظر الشكل 2).

الهدف من استخدام Honeynet هو إظهار الهاكر أنه من المفترض أنه اخترق شبكة الشركة الخاصة بالمنظمة، في الواقع، المهاجم موجود في "بيئة معزولة" وتحت إشراف دقيق من المتخصصين في أمن المعلومات (انظر الشكل 3).

هنا نحتاج أيضًا إلى ذكر أداة مثل "رمل"(إنجليزي، رمل)، والذي يسمح للمهاجمين بتثبيت البرامج الضارة وتشغيلها في بيئة معزولة حيث يمكن لتكنولوجيا المعلومات مراقبة أنشطتهم لتحديد المخاطر المحتملة واتخاذ الإجراءات المضادة المناسبة. حاليًا، يتم تنفيذ وضع الحماية عادةً على أجهزة افتراضية مخصصة على مضيف افتراضي. ومع ذلك، تجدر الإشارة إلى أن وضع الحماية يُظهر فقط مدى خطورة البرامج الضارة والخبيثة، بينما يساعد برنامج Honeynet المتخصص في تحليل سلوك "اللاعبين الخطرين".

الميزة الواضحة لشبكات العسل هي أنها تضلل المهاجمين، وتضيع طاقتهم ومواردهم ووقتهم. ونتيجة لذلك، بدلاً من الأهداف الحقيقية، يقومون بمهاجمة الأهداف الزائفة ويمكنهم التوقف عن مهاجمة الشبكة دون تحقيق أي شيء. في أغلب الأحيان، يتم استخدام تقنيات Honeynets في الوكالات الحكومية والشركات الكبيرة والمؤسسات المالية، لأن هذه هي الهياكل التي تتحول إلى أهداف للهجمات السيبرانية الكبرى. ومع ذلك، تحتاج الشركات الصغيرة والمتوسطة أيضًا إلى أدوات فعالة لمنع حوادث أمن المعلومات، ولكن ليس من السهل استخدام شبكات العسل في قطاع الشركات الصغيرة والمتوسطة بسبب نقص الموظفين المؤهلين لمثل هذا العمل المعقد.

حدود مصائد الجذب وحلول شبكات العسل

لماذا لا تعد مصائد الجذب وشبكات العسل أفضل الحلول لمواجهة الهجمات اليوم؟ تجدر الإشارة إلى أن الهجمات أصبحت واسعة النطاق ومعقدة تقنيًا وقادرة على التسبب في أضرار جسيمة للبنية التحتية لتكنولوجيا المعلومات في المؤسسة، وقد وصلت الجرائم الإلكترونية إلى مستوى مختلف تمامًا وتمثل هياكل أعمال الظل شديدة التنظيم ومجهزة بجميع الموارد اللازمة. ويجب إضافة إلى ذلك "العامل البشري" (أخطاء في إعدادات البرامج والأجهزة، وتصرفات المطلعين، وما إلى ذلك)، لذا فإن استخدام التكنولوجيا فقط لمنع الهجمات لم يعد كافيًا في الوقت الحالي.

ندرج أدناه القيود والعيوب الرئيسية لمصائد مخترقي الشبكات (honeynets):

1. تم تطوير مصائد الجذب في الأصل لتحديد التهديدات الموجودة خارج شبكة الشركة، وتهدف بدلاً من ذلك إلى تحليل سلوك المهاجمين وليست مصممة للاستجابة السريعة للتهديدات.

2. عادةً ما يتعلم المهاجمون بالفعل كيفية التعرف على الأنظمة التي تمت محاكاتها وتجنب مصائد مخترقي الشبكات.

3. تتمتع شبكات العسل (honeynets) بمستوى منخفض للغاية من التفاعل والتفاعل مع أنظمة الأمان الأخرى، ونتيجة لذلك، باستخدام مصائد الجذب، من الصعب الحصول على معلومات مفصلة حول الهجمات والمهاجمين، وبالتالي الاستجابة بفعالية وسرعة لحوادث أمن المعلومات . علاوة على ذلك، يتلقى متخصصو أمن المعلومات عددًا كبيرًا من تنبيهات التهديدات الكاذبة.

4. في بعض الحالات، قد يستخدم المتسللون مصيدة مخترقة كنقطة بداية لمواصلة هجومهم على شبكة المؤسسة.

5. غالبًا ما تنشأ مشكلات مع قابلية التوسع في مصائد مخترقي الشبكات، والحمل التشغيلي العالي وتكوين هذه الأنظمة (فهي تتطلب متخصصين مؤهلين تأهيلاً عاليًا، وليس لديهم واجهة إدارة ملائمة، وما إلى ذلك). هناك صعوبات كبيرة في نشر مصائد الجذب في بيئات متخصصة مثل إنترنت الأشياء ونقاط البيع والأنظمة السحابية وما إلى ذلك.

2. تكنولوجيا الخداع: المزايا ومبادئ التشغيل الأساسية

بعد دراسة جميع مزايا وعيوب مصائد الجذب، توصلنا إلى استنتاج مفاده أن هناك حاجة إلى نهج جديد تمامًا للاستجابة لحوادث أمن المعلومات من أجل تطوير استجابة سريعة وكافية لأفعال المهاجمين. ومثل هذا الحل هو التكنولوجيا الخداع السيبراني (الخداع الأمني).

إن مصطلحات "الخداع السيبراني"، و"الخداع الأمني"، و"تقنية الخداع"، و"منصة الخداع الموزعة" (DDP) جديدة نسبيًا وظهرت منذ وقت ليس ببعيد. في الواقع، كل هذه المصطلحات تعني استخدام “تقنيات الخداع” أو “تقنيات محاكاة البنية التحتية لتكنولوجيا المعلومات وتضليل المهاجمين”. إن أبسط حلول الخداع هي تطوير لأفكار مصائد مخترقي الشبكات، فقط على مستوى أكثر تقدمًا من الناحية التكنولوجية، والذي يتضمن أتمتة أكبر لاكتشاف التهديدات والاستجابة لها. ومع ذلك، هناك بالفعل حلول جادة من فئة DDP في السوق يسهل نشرها وتوسيع نطاقها، ولديها أيضًا ترسانة خطيرة من "الفخاخ" و"الطعم" للمهاجمين. على سبيل المثال، يسمح لك Deception بمحاكاة كائنات البنية التحتية لتكنولوجيا المعلومات مثل قواعد البيانات ومحطات العمل وأجهزة التوجيه والمحولات وأجهزة الصراف الآلي والخوادم وSCADA والمعدات الطبية وإنترنت الأشياء.

كيف تعمل منصة الخداع الموزعة؟ بعد نشر DDP، سيتم بناء البنية التحتية لتكنولوجيا المعلومات الخاصة بالمنظمة كما لو كانت من طبقتين: الطبقة الأولى هي البنية التحتية الحقيقية للشركة، والثانية هي بيئة "محاكاة" تتكون من الأفخاخ الخداعية والطُعم (الإغراءات) الموجودة على أجهزة الشبكة الفعلية الحقيقية (انظر الشكل 4).

على سبيل المثال، يمكن للمهاجم اكتشاف قواعد بيانات زائفة تحتوي على "وثائق سرية"، وبيانات اعتماد مزيفة لـ "مستخدمين متميزين" - كل هذه مجرد شراك خداعية يمكن أن تثير اهتمام المخالفين، وبالتالي صرف انتباههم عن أصول المعلومات الحقيقية للشركة (انظر الشكل 5).

يعد DDP منتجًا جديدًا في سوق منتجات أمن المعلومات؛ ولم يتجاوز عمر هذه الحلول سوى بضع سنوات، وحتى الآن لا يستطيع سوى قطاع الشركات تحمل تكاليفها. لكن الشركات الصغيرة والمتوسطة الحجم ستتمكن قريبًا أيضًا من الاستفادة من الخداع من خلال استئجار DDP من مقدمي خدمات متخصصين "كخدمة". يعد هذا الخيار أكثر ملاءمة، لأنه ليست هناك حاجة لموظفيك المؤهلين تأهيلا عاليا.

المزايا الرئيسية لتقنية الخداع مبينة أدناه:

• الأصالة (الأصالة). تكنولوجيا الخداع قادرة على إعادة إنتاج بيئة تكنولوجيا المعلومات الأصلية تمامًا للشركة، ومحاكاة أنظمة التشغيل، وإنترنت الأشياء، ونقاط البيع، والأنظمة المتخصصة (الطبية، الصناعية، وما إلى ذلك)، والخدمات، والتطبيقات، وبيانات الاعتماد، وما إلى ذلك. يتم خلط الأفخاخ الخداعية بعناية مع بيئة العمل، ولن يتمكن المهاجم من التعرف عليها على أنها مصائد جذب.

• مقدمة من. يستخدم DDPs التعلم الآلي (ML) في عملهم. بمساعدة ML، يتم ضمان البساطة والمرونة في الإعدادات وكفاءة تنفيذ الخداع. يتم تحديث "الفخاخ" و"الأفخاخ الخداعية" بسرعة كبيرة، مما يجذب المهاجم إلى البنية التحتية "الزائفة" لتكنولوجيا المعلومات الخاصة بالشركة، وفي هذه الأثناء، يمكن لأنظمة التحليل المتقدمة القائمة على الذكاء الاصطناعي اكتشاف الإجراءات النشطة للمتسللين ومنعهم (على سبيل المثال، محاولة الوصول إلى الحسابات الاحتيالية المستندة إلى Active Directory).

• عملية سهلة. من السهل صيانة وإدارة منصات الخداع الموزعة الحديثة. تتم إدارتها عادةً عبر وحدة تحكم محلية أو سحابية، مع إمكانات التكامل مع SOC (مركز العمليات الأمنية) للشركة عبر واجهة برمجة التطبيقات (API) ومع العديد من عناصر التحكم الأمنية الحالية. لا تتطلب صيانة وتشغيل DDP خدمات خبراء أمن المعلومات المؤهلين تأهيلا عاليا.

• التدرجية. يمكن نشر الخداع الأمني ​​في البيئات المادية والافتراضية والسحابية. تعمل DDPs أيضًا بنجاح مع بيئات متخصصة مثل IoT وICS وPOS وSWIFT وما إلى ذلك. يمكن لمنصات الخداع المتقدمة أن تعرض "تقنيات الخداع" في المكاتب البعيدة والبيئات المعزولة، دون الحاجة إلى نشر إضافي كامل للمنصة.

• تفاعل. باستخدام الأفخاخ القوية والجذابة التي تعتمد على أنظمة تشغيل حقيقية ويتم وضعها بذكاء بين البنية التحتية الحقيقية لتكنولوجيا المعلومات، تقوم منصة الخداع بجمع معلومات واسعة النطاق حول المهاجم. يضمن DDP بعد ذلك إرسال تنبيهات التهديد وإنشاء التقارير والاستجابة تلقائيًا لحوادث أمن المعلومات.

• نقطة بداية الهجوم. في الخداع الحديث، يتم وضع الفخاخ والطعوم داخل نطاق الشبكة، وليس خارجها (كما هو الحال مع مصائد مخترقي الشبكات). يمنع نموذج النشر الخادع هذا المهاجم من استخدامها كنقطة نفوذ لمهاجمة البنية التحتية الحقيقية لتكنولوجيا المعلومات للشركة. تتمتع الحلول الأكثر تقدمًا من فئة Deception بقدرات توجيه حركة المرور، بحيث يمكنك توجيه كل حركة مرور المهاجم من خلال اتصال مخصص خصيصًا. سيسمح لك هذا بتحليل نشاط المهاجمين دون المخاطرة بأصول الشركة القيمة.

• مدى إقناع "تقنيات الخداع". في المرحلة الأولى من الهجوم، يقوم المهاجمون بجمع وتحليل البيانات حول البنية التحتية لتكنولوجيا المعلومات، ثم يستخدمونها للتحرك أفقيًا عبر شبكة الشركة. وبمساعدة "تقنيات الخداع"، سيقع المهاجم بالتأكيد في "فخاخ" ستبعده عن الأصول الحقيقية للمنظمة. سيقوم DDP بتحليل المسارات المحتملة للوصول إلى بيانات الاعتماد على شبكة الشركة وتزويد المهاجم بـ "أهداف خادعة" بدلاً من بيانات الاعتماد الحقيقية. وكانت هذه القدرات تفتقر بشدة إلى تقنيات المصائد. (انظر الشكل 6).

الخداع مقابل مصيدة العسل

وأخيرًا، نصل إلى اللحظة الأكثر إثارة للاهتمام في بحثنا. سنحاول تسليط الضوء على الاختلافات الرئيسية بين تقنيات الخداع وHoneypot. على الرغم من بعض أوجه التشابه، إلا أن هاتين التقنيتين لا تزالان مختلفتين تمامًا، بدءًا من الفكرة الأساسية وحتى كفاءة التشغيل.

1. أفكار أساسية مختلفة. كما كتبنا أعلاه، يتم تثبيت مصائد مخترقي الشبكات كـ "شراك خداعية" حول أصول الشركة القيمة (خارج شبكة الشركة)، وبالتالي محاولة تشتيت انتباه المهاجمين. تعتمد تقنية مصائد الجذب على فهم البنية التحتية للمؤسسة، ولكن يمكن أن تصبح مصائد مخترقي الشبكات نقطة انطلاق لشن هجوم على شبكة الشركة. تم تطوير تقنية الخداع مع الأخذ في الاعتبار وجهة نظر المهاجم وتسمح لك بتحديد الهجوم في مرحلة مبكرة، وبالتالي يكتسب متخصصو أمن المعلومات ميزة كبيرة على المهاجمين ويكسبون الوقت.

2. "الجاذبية" مقابل "الارتباك". عند استخدام مصائد الجذب، يعتمد النجاح على جذب انتباه المهاجمين وتحفيزهم بشكل أكبر على الانتقال إلى الهدف في مصيدة الجذب. هذا يعني أنه لا يزال يتعين على المهاجم الوصول إلى مصيدة الجذب قبل أن تتمكن من إيقافه. وبالتالي، فإن وجود المهاجمين على الشبكة يمكن أن يستمر لعدة أشهر أو أكثر، وهذا سيؤدي إلى تسرب البيانات وإلحاق الضرر بها. تحاكي DDPs نوعيًا البنية التحتية الحقيقية لتكنولوجيا المعلومات للشركة؛ والغرض من تنفيذها ليس فقط جذب انتباه المهاجم، بل إرباكه بحيث يهدر الوقت والموارد، لكنه لا يتمكن من الوصول إلى الأصول الحقيقية للشركة. شركة.

3. "قابلية التوسع المحدودة" مقابل "قابلية التوسع التلقائية". كما ذكرنا سابقًا، تواجه مصائد مخترقي الشبكات وشبكات العسل مشكلات في التوسع. يعد هذا أمرًا صعبًا ومكلفًا، ومن أجل زيادة عدد مصائد الجذب في نظام الشركة، سيتعين عليك إضافة أجهزة كمبيوتر جديدة ونظام تشغيل وشراء تراخيص وتخصيص IP. علاوة على ذلك، من الضروري أيضًا وجود موظفين مؤهلين لإدارة هذه الأنظمة. يتم نشر منصات الخداع تلقائيًا مع توسع البنية الأساسية لديك، دون تحمل تكاليف كبيرة.

4. "عدد كبير من النتائج الإيجابية الكاذبة" مقابل "لا توجد نتائج إيجابية كاذبة". جوهر المشكلة هو أنه حتى المستخدم البسيط يمكن أن يواجه مصيدة جذب، لذا فإن "الجانب السلبي" لهذه التقنية هو وجود عدد كبير من الإيجابيات الكاذبة، التي تصرف انتباه المتخصصين في أمن المعلومات عن عملهم. يتم إخفاء "الطعوم" و"الفخاخ" في DDP بعناية عن المستخدم العادي وهي مصممة للمهاجم فقط، لذا فإن كل إشارة من مثل هذا النظام هي بمثابة إشعار بوجود تهديد حقيقي، وليست إيجابية كاذبة.

اختتام

في رأينا، تعد تقنية الخداع بمثابة تحسين كبير مقارنة بتقنية Honeypots القديمة. في جوهر الأمر، أصبح DDP منصة أمنية شاملة يسهل نشرها وإدارتها.

تلعب المنصات الحديثة من هذه الفئة دورًا مهمًا في الكشف الدقيق عن تهديدات الشبكة والاستجابة لها بشكل فعال، كما أن تكاملها مع المكونات الأخرى لمكدس الأمان يزيد من مستوى الأتمتة، ويزيد من كفاءة وفعالية الاستجابة للحوادث. تعتمد منصات الخداع على الأصالة وقابلية التوسع وسهولة الإدارة والتكامل مع الأنظمة الأخرى. كل هذا يعطي ميزة كبيرة في سرعة الاستجابة لحوادث أمن المعلومات.

أيضًا، استنادًا إلى ملاحظات المخترقين للشركات التي تم فيها تنفيذ أو تجريب منصة Xello Deception، يمكننا استخلاص استنتاجات مفادها أنه حتى المخترقين ذوي الخبرة غالبًا لا يستطيعون التعرف على الطُعم الموجود في شبكة الشركة ويفشلون عندما يقعون في فخ الفخاخ. تؤكد هذه الحقيقة مرة أخرى فعالية الخداع والآفاق الكبيرة التي تنفتح أمام هذه التكنولوجيا في المستقبل.

اختبار المنتج

إذا كنت مهتمًا بمنصة الخداع، فنحن جاهزون إجراء اختبار مشترك.

ترقبوا التحديثات في قنواتنا (تیلیجرام, فيسبوك, VK, مدونة حل TS)!

المصدر: www.habr.com