Artıq Habré-də Honeypot və Aldatma texnologiyaları haqqında bir neçə məqalə var (, ). Bununla belə, indiyə qədər bu qoruyucu vasitələr sinifləri arasındakı fərqi başa düşmək çatışmazlığı ilə qarşılaşırıq. Bunun üçün həmkarlarımızdan (ilk rus tərtibatçısı ) bu həllərin fərqlərini, üstünlüklərini və memarlıq xüsusiyyətlərini ətraflı təsvir etmək qərarına gəldi.
Gəlin anlayaq ki, "bal küpləri" və "aldatma" nədir:
İnformasiya təhlükəsizliyi sistemləri bazarında "Aldatma texnologiyaları" (ing., Aldatma texnologiyası) nisbətən yaxınlarda meydana çıxdı. Bununla belə, bəzi ekspertlər hələ də Təhlükəsizlik Aldatmalarını daha inkişaf etmiş bal qabları hesab edirlər.
Bu yazıda bu iki həll yolu arasındakı həm oxşarlıqları, həm də əsas fərqləri vurğulamağa çalışacağıq. Birinci hissədə "bal qabı"ndan, bu texnologiyanın necə inkişaf etdiyindən və onun üstünlükləri və çatışmazlıqlarından bəhs edəcəyik. İkinci hissədə isə paylanmış aldatma infrastrukturunun (İngilis dili, Paylanmış Aldatma Platforması - DDP) yaradılması üçün platformaların iş prinsipləri üzərində ətraflı dayanacağıq.
Bal qablarının əsas prinsipi hakerlər üçün tələlər yaratmaqdır. İlk Aldatma həlləri eyni prinsip əsasında hazırlanmışdır. Lakin müasir DDP-lər həm funksionallığı, həm də səmərəliliyi baxımından bal qablarından əhəmiyyətli dərəcədə üstündür. Aldatma platformalarına aşağıdakılar daxildir: tələlər (ingilis dili, decoys, traps), lures (ingilis dili, lures), proqramlar, data, verilənlər bazası, Active Directory. Müasir DDP-lər təhlükənin aşkarlanması, hücumların təhlili və cavab tədbirlərinin avtomatlaşdırılması üçün güclü imkanlar təqdim edə bilər.
Beləliklə, Aldatma müəssisənin İT infrastrukturunu təqlid etmək və hakerləri çaşdırmaq üsullarıdır. Nəticədə, bu cür platformalar şirkətin aktivlərinə əhəmiyyətli zərər vurmazdan əvvəl hücumları dayandırmağa imkan verir. Bal küpləri, əlbəttə ki, o qədər də geniş funksional imkanlara və belə bir avtomatlaşdırma səviyyəsinə malik deyil, buna görə də onların istifadəsi informasiya təhlükəsizliyi şöbələrinin işçilərindən daha çox ixtisas tələb edir.
1. Honeypots, Honeynets və Sandboxing: bu nədir və necə tətbiq olunur
İlk dəfə olaraq "bal küpləri" termini 1989-cu ildə Klifford Stollun Lourens Berkli Milli Laboratoriyasında (ABŞ) hakerin izinə düşməsi hadisələrini təsvir edən "Ququ yumurtası" kitabında istifadə edilmişdir. Bu ideya 1999-cu ildə Honeynet Project tədqiqat layihəsinin əsasını qoyan Sun Microsystems şirkətinin informasiya təhlükəsizliyi üzrə mütəxəssisi Lance Spitzner tərəfindən həyata keçirilib. İlk bal qabları çox resurs tələb edən, qurmaq və saxlamaq çətin idi.
Nə olduğunu daha ətraflı nəzərdən keçirək honeypots и bal torları. Honeypots, məqsədi şirkət şəbəkəsinə daxil olmaq və qiymətli məlumatları oğurlamağa cəhd etmək üçün təcavüzkarları cəlb etmək, həmçinin şəbəkənin əhatə dairəsini genişləndirmək olan ayrı hostlardır. Honeypot (hərfi mənada "bal çəlləkləri" kimi tərcümə olunur) HTTP, FTP və s. kimi müxtəlif şəbəkə xidmətləri və protokollar dəsti olan xüsusi serverdir. (şək. 1-ə baxın).
Bir neçəsini birləşdirsəniz honeypots Şəbəkəyə daxil olsaq, daha səmərəli bir sistem əldə edəcəyik bal toru, bu, şirkətin korporativ şəbəkəsinin (veb server, fayl serveri və digər şəbəkə komponentləri) təqlididir. Bu həll sizə təcavüzkarların strategiyasını başa düşməyə və onları çaşdırmağa imkan verir. Tipik bir bal şəbəkəsi, bir qayda olaraq, istehsal şəbəkəsi ilə paralel işləyir və ondan tamamilə müstəqildir. Belə bir "şəbəkə" ayrıca bir kanal vasitəsilə İnternetdə dərc edilə bilər və bunun üçün ayrıca IP ünvanları da ayrıla bilər (bax. Şəkil 2).
Honeynetdən istifadənin məqsədi hakerə guya təşkilatın korporativ şəbəkəsinə nüfuz etdiyini, faktiki olaraq təcavüzkarın “təcrid olunmuş mühitdə” olduğunu və informasiya təhlükəsizliyi üzrə mütəxəssislərin yaxından nəzarəti altında olduğunu göstərməkdir (bax. Şəkil 3).
Burada da belə bir aləti qeyd etmək lazımdır "sandbox"(İngilis, Sandbox) bu, təcavüzkarlara potensial riskləri müəyyən etmək və lazımi əks tədbirləri görmək üçün İT mütəxəssislərinin fəaliyyətlərinə nəzarət edə biləcəyi təcrid olunmuş mühitdə zərərli proqram quraşdırmağa və işə salmağa imkan verir. Hal-hazırda, sandboxing adətən virtual hostda xüsusi virtual maşınlarda həyata keçirilir. Bununla belə, qeyd etmək lazımdır ki, sandboxing yalnız təhlükəli və zərərli proqramların necə davrandığını göstərir, honeynet isə mütəxəssisə "təhlükəli oyunçuların" davranışını təhlil etməyə kömək edir.
Bal torlarının aşkar faydası ondan ibarətdir ki, onlar təcavüzkarları aldadırlar, enerjilərini, resurslarını və vaxtlarını israf edirlər. Nəticədə, onlar real hədəflər əvəzinə yalançı hədəflərə hücum edir və heç nəyə nail olmadan şəbəkəyə hücumu dayandıra bilirlər. Çox vaxt honeynet texnologiyaları dövlət qurumlarında və iri korporasiyalarda, maliyyə təşkilatlarında istifadə olunur, çünki bu strukturlar böyük kiberhücumların hədəfi olur. Bununla belə, kiçik və orta biznesin (KOB) də informasiya təhlükəsizliyi insidentlərinin qarşısını almaq üçün effektiv vasitələrə ehtiyacı var, lakin belə mürəkkəb iş üçün ixtisaslı kadrların olmaması səbəbindən SMB sektorunda bal şəbəkələrindən istifadə etmək o qədər də asan deyil.
Honeypots və Honeynets Solutions məhdudiyyətləri
Nə üçün bal küpləri və bal torları bu gün hücumun təsirini azaltmaq üçün ən yaxşı həllər mövcud deyil? Qeyd etmək lazımdır ki, hücumlar getdikcə daha genişmiqyaslı, texniki cəhətdən mürəkkəb və təşkilatın İT infrastrukturuna ciddi ziyan vura bilən hal alır, kibercinayətkarlıq isə tamamilə başqa səviyyəyə çatıb və bütün zəruri vasitələrlə təchiz edilmiş yüksək səviyyədə təşkil edilmiş kölgə biznes strukturudur. resurslar. Buraya “insan amili” də əlavə olunur (proqram və aparat parametrlərində səhvlər, insayder hərəkətləri və s.), ona görə də hücumların qarşısını almaq üçün texnologiyadan istifadə etmək hazırda kifayət deyil.
Aşağıda bal qablarının (honeynets) əsas məhdudiyyətlərini və çatışmazlıqlarını sadalayırıq:
-
Honeypots əvvəlcə korporativ şəbəkədən kənarda olan təhdidləri müəyyən etmək üçün nəzərdə tutulmuşdu, daha çox müdaxilə edənlərin davranışını təhlil etmək üçün nəzərdə tutulub və təhdidlərə tez cavab vermək üçün nəzərdə tutulmayıb.
-
Zərərvericilər, bir qayda olaraq, artıq təqlid edilmiş sistemləri tanımağı və bal qablarından qaçmağı öyrəndilər.
-
Honeynets (honeypots) digər təhlükəsizlik sistemləri ilə son dərəcə aşağı səviyyədə interaktivliyə və qarşılıqlı əlaqəyə malikdir, bunun nəticəsində honeypotlardan istifadə edərək hücumlar və təcavüzkarlar haqqında ətraflı məlumat əldə etmək çətindir və buna görə də informasiya təhlükəsizliyi insidentlərinə effektiv və tez reaksiya verir. Üstəlik, informasiya təhlükəsizliyi mütəxəssisləri çoxlu sayda yalançı təhlükə xəbərdarlığı alırlar.
-
Bəzi hallarda, hakerlər təşkilatın şəbəkəsinə hücumu davam etdirmək üçün başlanğıc nöqtəsi kimi pozulmuş bal qabından istifadə edə bilərlər.
-
Tez-tez bal qablarının miqyası, yüksək əməliyyat yükü və bu cür sistemlərin konfiqurasiyası ilə bağlı problemlər var (onlar yüksək ixtisaslı mütəxəssislər tələb edir, rahat idarəetmə interfeysi yoxdur və s.). IoT, POS, bulud sistemləri və s. kimi xüsusi mühitlərdə bal qablarını yerləşdirməkdə böyük çətinliklər var.
2. Aldatma texnologiyası: üstünlüklər və işin əsas prinsipləri
Bal qablarının bütün üstünlüklərini və mənfi cəhətlərini öyrənərək belə nəticəyə gəlirik ki, təcavüzkarların hərəkətlərinə tez və adekvat reaksiya hazırlamaq üçün informasiya təhlükəsizliyi insidentlərinə cavab vermək üçün tamamilə yeni yanaşma lazımdır. Və bu həll texnologiyadır. Kiber aldatma (Təhlükəsizlik aldatma).
"Kiber aldatma", "Təhlükəsizlik aldatma", "Aldatma texnologiyası", "Paylanmış Aldatma Platforması" (DDP) terminologiyası nisbətən yenidir və bir müddət əvvəl ortaya çıxdı. Əslində, bütün bu terminlər "aldatma texnologiyaları" və ya "İT infrastrukturunu təqlid etmək və təcavüzkarları yanlış məlumatlandırmaq üçün texnikalar"ın istifadəsi deməkdir. Ən sadə Aldatma həlləri, yalnız təhlükənin aşkarlanması və cavablandırılmasının daha çox avtomatlaşdırılmasını nəzərdə tutan daha texnoloji cəhətdən inkişaf etmiş səviyyədə bal qabları ideyalarının inkişafıdır. Bununla belə, bazarda artıq yerləşdirmə və genişlənmə asanlığı, həmçinin təcavüzkarlar üçün ciddi “tələlər” və “yemlər” arsenalı təklif edən ciddi DDP səviyyəli həllər var. Məsələn, Aldatma məlumat bazaları, iş stansiyaları, marşrutlaşdırıcılar, açarlar, bankomatlar, serverlər və SCADA, tibbi avadanlıq və IoT kimi İT infrastruktur obyektlərini təqlid etməyə imkan verir.
Paylanmış Aldatma Platforması necə işləyir? DDP-nin yerləşdirilməsindən sonra təşkilatın İT infrastrukturu sanki iki təbəqədən qurulacaq: birinci qat şirkətin real infrastrukturu, ikincisi isə real fiziki şəbəkədə yerləşən tələlərdən (ingiliscə, decoys, traps) və cazibələrdən (ingiliscə, lures) ibarət “emulyasiya edilmiş” mühitdir (see 4).
Məsələn, təcavüzkar "məxfi sənədləri" olan saxta verilənlər bazalarını, guya "imtiyazlı istifadəçilərin" saxta etimadnaməsini aşkar edə bilər - bütün bunlar saxta məqsədlərdir, müdaxilə edənləri maraqlandıra bilər və bununla da onların diqqətini şirkətin həqiqi məlumat aktivlərindən yayındıra bilər (bax Şəkil 5). .
DDP informasiya təhlükəsizliyi məhsulları bazarında yenilikdir, bu həllərin cəmi bir neçə il yaşı var və hələlik yalnız korporativ sektor onları ödəyə bilər. Lakin KOBİ-lər də tezliklə xidmət kimi ixtisaslaşmış provayderlərdən DDP icarəyə götürərək Aldatmadan yararlana biləcəklər. Bu seçim daha rahatdır, çünki öz yüksək ixtisaslı kadrlarımıza ehtiyac yoxdur.
Aldatma texnologiyasının əsas üstünlükləri aşağıda göstərilmişdir:
-
Həqiqilik (əsllik). Aldatma texnologiyası yüksək keyfiyyətlə şirkətin tam orijinal İT mühitini, əməliyyat sistemlərini, IoT, POS, ixtisaslaşmış sistemləri (tibbi, sənaye və s.), xidmətləri, tətbiqləri, etimadnamələri və s. Tələlər (tələbələr) istehsal mühitinə diqqətlə qarışdırılır və təcavüzkar onları bal qabı kimi tanıya bilməyəcək.
-
İcra. DDP-lər öz işlərində maşın öyrənməsindən (ML) istifadə edirlər. ML-nin köməyi ilə sadəlik, parametrlərdə çeviklik və Aldatma tətbiqinin səmərəliliyi təmin edilir. “Tələlər” və “yemlər” şirkətin “yalan” İT infrastrukturuna təcavüzkarı cəlb etməklə çox tez yenilənir və bu arada süni intellektə əsaslanan qabaqcıl analiz sistemləri hakerlərin aktiv hərəkətlərini aşkarlaya və onların qarşısını ala bilər (məsələn, , saxta hesablar əsasında Active Directory-yə daxil olmaq cəhdi).
-
Əməliyyat rahatlığı. Müasir "Paylanmış Aldatma Platforması"na qulluq etmək və idarə etmək asandır. Bir qayda olaraq, onlar yerli və ya bulud konsolu vasitəsilə idarə olunur, API vasitəsilə korporativ SOC (Təhlükəsizlik Əməliyyatları Mərkəzi) və bir çox mövcud təhlükəsizlik nəzarətləri ilə inteqrasiya imkanları var. DDP-nin saxlanması və istismarı üçün yüksək ixtisaslı informasiya təhlükəsizliyi mütəxəssislərinin xidmətləri tələb olunmur.
-
Ölçeklenebilirlik. Təhlükəsizlik aldatmaları fiziki, virtual və bulud mühitlərində tətbiq oluna bilər. DDP-lər həmçinin IoT, ICS, POS, SWIFT və s. kimi ixtisaslaşmış mühitlərlə uğurla işləyir. Qabaqcıl Aldatma platformaları əlavə tam platforma yerləşdirilməsinə ehtiyac olmadan “aldatma texnologiyalarını” uzaq ofislərə, təcrid olunmuş mühitlərə layihələndirə bilər.
-
Qarşılıqlı əlaqə. Həqiqi ƏS-yə əsaslanan və real İT infrastrukturu arasında ağıllı şəkildə yerləşdirilmiş effektiv və cəlbedici fırıldaqlardan istifadə edərək, Aldatma platforması təcavüzkar haqqında geniş məlumat toplayır. DDP daha sonra təhlükə xəbərdarlığı verir, hesabatlar yaradılır və informasiya təhlükəsizliyi insidentlərinə avtomatik cavab verilir.
-
Hücumun başlanğıc nöqtəsi. Müasir Aldatmada tələlər və yemlər şəbəkənin əhatə dairəsinə yerləşdirilir, ondan kənarda deyil (bal qablarında olduğu kimi). Tələlərin bu yerləşdirmə modeli təcavüzkarın onlardan şirkətin real İT infrastrukturuna hücum etmək üçün baza kimi istifadə etməsinə mane olur. Aldatma sinfinin daha təkmil həllərində trafikin yönləndirilməsi imkanları mövcuddur, beləliklə siz bütün təcavüzkar trafikini xüsusi bir əlaqə vasitəsilə yönləndirə bilərsiniz. Bu, dəyərli şirkətin aktivlərini riskə atmadan müdaxilə edənlərin fəaliyyətini təhlil etməyə imkan verəcək.
-
"Aldatma texnologiyalarının" inandırıcılığı. Hücumun ilkin mərhələsində təcavüzkarlar İT infrastrukturu haqqında məlumatları toplayır və təhlil edir, sonra korporativ şəbəkədə üfüqi istiqamətdə hərəkət etmək üçün ondan istifadə edirlər. “Aldatma texnologiyaları”nın köməyi ilə təcavüzkar mütləq onu təşkilatın real aktivlərindən uzaqlaşdıracaq “tələlərə” düşəcək. DDP korporativ şəbəkədə potensial etimadnaməyə giriş yollarını təhlil edəcək və təcavüzkarı real etimadnamələr əvəzinə "yanlış hədəflər"lə təmin edəcək. Bu imkanlar bal küpü texnologiyalarında ciddi şəkildə çatışmırdı. (şək. 6-a baxın).
Aldatma VS Honeypot
Və nəhayət, araşdırmamızın ən maraqlı məqamına gəlirik. Deception və Honeypot texnologiyaları arasındakı əsas fərqləri vurğulamağa çalışacağıq. Bəzi oxşarlıqlara baxmayaraq, buna baxmayaraq, bu iki texnologiya əsas ideyadan tutmuş işin səmərəliliyinə qədər çox fərqlənir.
-
Müxtəlif əsas fikirlər. Yuxarıda yazdığımız kimi, bal qabları şirkətin qiymətli aktivlərinin ətrafında (korporativ şəbəkədən kənarda) “yem” kimi quraşdırılır, beləliklə, müdaxilə edənlərin diqqətini yayındırmağa çalışırlar. Bal küpü texnologiyası təşkilatın infrastrukturunun dərk edilməsinə əsaslansa da, bal qabları şirkətin şəbəkəsinə hücum üçün başlanğıc nöqtəsi ola bilər. Aldatma texnologiyası təcavüzkarın nöqteyi-nəzəri nəzərə alınmaqla işlənib hazırlanmışdır və hücumu ilkin mərhələdə müəyyən etməyə imkan verir, beləliklə, informasiya təhlükəsizliyi üzrə mütəxəssislər hücum edənlər üzərində əhəmiyyətli üstünlük əldə edir və vaxt qazanırlar.
-
"Cəlbedici" VS "Dolaşıq". Bal qablarından istifadə edərkən uğur hücum edənlərin diqqətini cəlb etməkdən və onları bal qabındakı hədəfə doğru irəliləməyə daha da həvəsləndirməkdən asılıdır. Bu o deməkdir ki, siz onu dayandıra bilməmişdən əvvəl təcavüzkar hələ də bal qabına çatmalıdır. Beləliklə, şəbəkəyə müdaxilə edənlərin olması bir neçə ay və ya daha çox davam edə bilər və bu, məlumatların sızmasına və zədələnməsinə səbəb olacaqdır. DDP şirkətin real İT infrastrukturunu keyfiyyətcə təqlid edir, onların həyata keçirilməsində məqsəd yalnız təcavüzkarın diqqətini cəlb etmək deyil, onu çaşdırmaqdır ki, vaxt və resursları sərf etsin, lakin şirkətin real aktivlərinə çıxış əldə etməsin.
-
"məhdud miqyaslılıq" VS "avtomatik genişlənmə". Daha əvvəl qeyd edildiyi kimi, bal qabları və bal torlarının miqyası ilə bağlı problemləri var. Bu çətin və bahalıdır və korporativ sistemdə bal qablarının sayını artırmaq üçün yeni kompüterlər, OS əlavə etməli, lisenziyalar almalı, IP ayırmalı olacaqsınız. Bundan əlavə, bu cür sistemləri idarə etmək üçün ixtisaslı kadrların olması da lazımdır. Aldatma platformaları avtomatik olaraq infrastruktur miqyası kimi yerləşdirilir, heç bir əhəmiyyətli əlavə xərc tələb olunmur.
-
"Yüksək sayda yanlış müsbət" VS "yanlış müsbət yoxdur". Problemin mahiyyəti ondan ibarətdir ki, hətta sadə istifadəçi də bal qabı ilə qarşılaşa bilər, buna görə də bu texnologiyanın “əks tərəfi” informasiya təhlükəsizliyi mütəxəssislərini işdən yayındıran çoxlu sayda yalançı pozitivlərdir. DDP-də "yemlər" və "tələlər" adi istifadəçidən diqqətlə gizlədilir və yalnız təcavüzkar üçün nəzərdə tutulub, buna görə də belə bir sistemdən gələn hər bir siqnal yalançı müsbət deyil, real təhlükə haqqında xəbərdarlıqdır.
Nəticə
Fikrimizcə, Aldatma texnologiyası köhnə Honeypots texnologiyası üzərində böyük təkmilləşdirmədir. Əslində, DDP yerləşdirmək və idarə etmək asan olan hərtərəfli təhlükəsizlik platformasına çevrilmişdir.
Bu sinifin müasir platformaları şəbəkə təhdidlərinin dəqiq aşkar edilməsində və onlara effektiv cavab verilməsində mühüm rol oynayır və onların təhlükəsizlik stekinin digər komponentləri ilə inteqrasiyası avtomatlaşdırma səviyyəsini yüksəldir, insidentlərə cavab tədbirlərinin səmərəliliyini və effektivliyini artırır. Aldatma platformaları orijinallığa, miqyaslılığa, idarəetmənin asanlığına və digər sistemlərlə inteqrasiyaya əsaslanır. Bütün bunlar informasiya təhlükəsizliyi insidentlərinə reaksiya sürətində mühüm üstünlük verir.
Həmçinin, Xello Deception platformasının tətbiq olunduğu və ya sınaqdan keçirildiyi şirkətlərin pentestlərinin müşahidələrinə əsaslanaraq belə nəticəyə gələ bilərik ki, hətta təcrübəli pentesterlər də çox vaxt korporativ şəbəkədəki cazibələri tanıya bilmir və tələlərə düşürlər. Bu fakt Aldatma-nın effektivliyini və gələcəkdə bu texnologiya üçün açılan böyük perspektivləri bir daha təsdiqləyir.
Məhsul sınağı
Aldatma platforması ilə maraqlanırsınızsa, biz hazırıq .
Yeniliklərdən xəbərdar olmaq üçün kanallarımızı izləyin (, , , )!
Mənbə: www.habr.com