Honeypot vs Deception на прыкладзе Xello

На Хабре ўжо ёсць некалькі артыкулаў пра тэхналогіі Honeypot і Deception.1 артыкул, 2 артыкул). Аднак, да гэтага часу мы сутыкаемся з неразуменнем розніцы паміж гэтымі класамі сродкаў абароны. Для гэтага нашы калегі з Xello Deception (першы расійскі распрацоўшчык Deception платформы) вырашылі падрабязна апісаць адрозненні, перавагі і архітэктурныя асаблівасці гэтых рашэнняў.

Разбярэмся што ж такое «ханіпоты» і «дэсэпшэны»:

"Тэхналогіі падману" (англ., Deception technology) з'явіліся на рынку сістэм інфармацыйнай бяспекі адносна нядаўна. Аднак, некаторыя спецыялісты да гэтага часу лічаць Security Deception усяго толькі больш прасунутымі «ханіпат» (англ. Honeypot).

У гэтым артыкуле мы пастараемся асвятліць як падабенства, так і карэнныя адрозненні гэтых двух рашэнняў. У першай частцы, мы раскажам пра «ханіпот», як развівалася гэтая тэхналогія і ў чым яе перавагі і недахопы. А ў другой частцы, спынімся падрабязна на прынцыпах працы платформаў для стварэння размеркаванай інфраструктуры ілжывых мэт (англ., Distributed Deception Platform – DDP).

Базавы прынцып, пакладзены ў аснову honeypots гэта стварэнне пастак для хакераў. На такім жа прынцыпе былі распрацаваны і самыя першыя рашэнні Deception. Але, сучасныя DDP значна пераўзыходзяць ханіпот, як па сваім функцыянале, так і па эфектыўнасці. Deception платформы ўключаюць у сябе: пасткі (англ., decoys, traps), прынады (англ., lures), прыкладанні, дадзеныя, базы дадзеных, Active Directory. Сучасныя DDP могуць забяспечыць шырокія магчымасці для выяўлення пагроз, аналізу нападаў і аўтаматызацыі зваротных дзеянняў.

Такім чынам, Deception уяўляюць сабою тэхнікі імітацыі ІТ‑інфраструктуры прадпрыемства і ўводзіны ў памылкі хакераў. У выніку, такія платформы дазваляюць спыняць напады да нанясення значнай шкоды актывам кампаніі. Ханіпот, вядома ж, не маюць такога шырокага функцыяналу і такога ўзроўню аўтаматызацыі, таму іх прымяненне патрабуе большай кваліфікацыі ад супрацоўнікаў дэпартаментаў ИБ.

1. Honeypots, Honeynets і Sandboxing: што гэта такое і як прымяняецца

Упершыню, тэрмін "honeypots" быў выкарыстаны ў 1989 годзе ў кнізе Кліфарда Стола "The Cuckoo's Egg", у якой апісаны падзеі па адсочванні хакера ў Нацыянальнай лабараторыі Лорэнса Берклі (ЗША). На практыцы гэта ідэя была ўвасоблена ў 1999 годзе Лэнсам Спіцнерам (Lance Spitzner), спецыялістам па ИБ кампаніі Sun Microsystems, які заснаваў даследчы праект "Honeynet Project". Першыя ханіпоты былі вельмі рэсурсаёмістымі, складанымі ў наладзе і абслугоўванні.

Разгледзім больш падрабязна што такое мядовыя гаршкі и honeynets. Honeypots – гэта асобныя хасты, прызначэнне якіх, прыцягнуць зламыснікаў здзейсніць пранікненне ў сетку кампаніі і паспрабаваць выкрасці каштоўныя дадзеныя, а таксама пашырыць зону дзеяння сеткі. Honeypot (перакладаецца даслоўна, як «бочачка з мёдам») уяўляе сабой спецыяльны сервер з наборам розных сеткавых службаў і пратаколаў, такіх як HTTP, FTP і г.д. (гл. мал. 1).

Калі аб'яднаць некалькі мядовыя гаршкі у сетку, то мы атрымаем ужо больш эфектыўную сістэму honeynet, Якая ўяўляе сабой эмуляцыю карпаратыўнай сеткі кампаніі (вэб-сервер, файл-сервер і інш. кампаненты сеткі). Такое рашэнне дазваляе зразумець стратэгію дзеянняў зламыснікаў і ўвесці іх у зман. Тыпавы honeynet, як правіла, працуе паралельна з працоўнай сеткай і зусім незалежна ад яе. Такую "сетку" можна апублікаваць у Інтэрнэт па асобным канале, пад яе таксама можна вылучыць асобны дыяпазон IP-адрасоў (гл. Мал. 2).

Сэнс прымянення honeynet – паказаць хакеру, што ён нібыта пракраўся ў карпаратыўную сетку арганізацыі, на самай справе зламыснік знаходзіцца ў «ізаляваным асяроддзі» і пад пільным назіраннем спецыялістаў ИБ (гл. Мал. 3).

Тут таксама трэба згадаць пра такі сродак, якпясочніца»(англ., пясочніца), якая дазваляе зламыснікам усталёўваць і запускаць шкоднасныя праграмы ў ізаляваным асяроддзі, дзе ІТ-адмыслоўцы могуць адсочваць іх дзеянні з мэтай выяўлення патэнцыйных рызык і прыняцці неабходных контрмер. У цяперашні час, як правіла, sandboxing рэалізуецца на выдзеленых віртуальных машынах на віртуальным хасце. Аднак, неабходна адзначыць, што sandboxing паказвае толькі, як паводзяць сябе небяспечныя і шкоднасныя праграмы, а honeynet дапамагае адмыслоўцу прааналізаваць паводзіны "небяспечных гульцоў".

Відавочная карысць ад honeynets заключаецца ў тым, што яны ўводзяць парушальнікаў у зман, растрачваючы іх сілы, рэсурсы і час. У выніку, замест рэальных мэт, яны атакуюць ілжывыя і могуць спыніць напад на сетку, так нічога не дамогшыся. Часцей за ўсё тэхналогіі honeynets выкарыстоўваюцца ва ўрадавых установах і буйных карпарацыях, фінансавых арганізацыях, бо менавіта гэтыя структуры аказваюцца мішэнямі для буйных кібератак. Аднак, прадпрыемствы малога і сярэдняга бізнесу (SMB) таксама маюць патрэбу ў эфектыўных інструментах для прадухілення інцыдэнтаў ИБ, але honeynets ў сектары SMB выкарыстоўваць не так ужо і проста, з прычыны недахопу кваліфікаваных кадраў для такой складанай працы.

Абмежаванасць рашэнняў Honeypots і Honeynets

Чаму ж honeypots і honeynets не самыя лепшыя рашэнні для супрацьдзеяння нападам на сённяшні дзень? Трэба адзначыць, што напады становяцца ўсё больш маштабнымі, тэхнічна складанымі і здольныя вырабіць сур'ёзныя страты ІТ-інфраструктуры арганізацыі, а кіберзлачыннасць выйшла на зусім іншы ўзровень і ўяўляе сабой высокаарганізаваныя ценявыя бізнэс-структуры, абсталяваныя ўсімі неабходнымі рэсурсамі. Да гэтага неабходна дадаць і "чалавечы фактар" (памылкі ў наладах праграмнага забеспячэння і абсталяванні, дзеянні інсайдэраў і т.д.), таму выкарыстанне толькі тэхналогій для прадухілення нападаў на дадзены момант ужо нядосыць.

Ніжэй пералічым асноўныя абмежаванні і недахопы honeypots (honeynets):

1. «Ханіпот» першапачаткова былі распрацаваны для вызначэння пагроз, якія знаходзяцца па-за карпаратыўнай сеткай, прызначаны хутчэй для аналізу паводзін зламыснікаў і не разлічаны на хуткае рэагаванне на пагрозы.

2. Зламыснікі, як правіла, ужо навучыліся распазнаваць эмуляваныя сістэмы і пазбягаць honeypots.

3. Honeynets (honeypots) маюць вельмі нізкі ўзровень інтэрактыўнасці і ўзаемадзеяння з іншымі сістэмамі бяспекі, у выніку чаго, выкарыстоўваючы ханіпот, цяжка атрымаць разгорнутую інфармацыю аб нападах і атакавалых, а значыць, эфектыўна і хутка рэагаваць на інцыдэнты ИБ. Мала таго, спецыялісты ИБ атрымліваюць вялікую колькасць ілжывых абвестак аб пагрозах.

4. У некаторых выпадках, хакеры могуць выкарыстоўваць скампраметаваны ханіпот, як зыходную кропку для працягу нападу на сетку арганізацыі.

5. Часта ўзнікаюць праблемы з маштабаванасцю ханіпотаў, высокай аперацыйнай нагрузкай і наладай такіх сістэм (яны патрабуюць высокакваліфікаваных спецыялістаў, не маюць зручнага інтэрфейсу кіравання і г.д.). Існуюць вялікія цяжкасці ў разгортванні honeypots у спецыялізаваных асяроддзях, такіх як, IoT, POS, хмарных сістэмах і г.д.

2. Deception technology: перавагі і асноўныя прынцыпы працы

Вывучыўшы ўсе перавагі і недахопы honeypots, прыходзім да высновы, што неабходны зусім новы падыход да рэагавання на інцыдэнты ИБ з мэтай выпрацоўкі хуткага і адэкватнага адказу на дзеянні атакавалых. І такое рашэнне – гэта тэхналогіі Сyber deception (Security deception).

Тэрміналогія "Сyber deception", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) адносна новая і з'явілася не так даўно. Фактычна, усе гэтыя тэрміны азначаюць выкарыстанне "тэхналогій падману" ці "тэхнік імітацыі ІТ-інфраструктуры і дэзінфармацыі зламыснікаў". Самыя простыя рашэнні Deception – гэта развіццё ідэй honeypots, толькі на больш тэхналагічна прасунутым узроўні, які мяркуе вялікую аўтаматызацыю выяўлення пагроз і рэагавання на іх. Аднак на рынку ўжо ёсць сур'ёзныя рашэнні класа DDP, якія мяркуюць лёгкасць разгортвання і маштабаванні, а таксама размяшчаюць сур'ёзным арсеналам "пастак" і "прынад" для атакавалых. Да прыкладу, Deception дазваляе эмуляваць такія аб'екты ІТ-інфраструктуры, як базы дадзеных, працоўныя станцыі, маршрутызатары, камутатары, банкаматы, серверы і SCADA, медыцынскае абсталяванне і IoT.

Як працуе "Distributed Deception Platform"? Пасля разгортвання DDP, ІТ-інфраструктура арганізацыі будзе выбудавана як быццам з двух пластоў: першы пласт – гэта рэальная інфраструктура кампаніі, а другі – гэта «эмуляванае» асяроддзе, якая складаецца з пастак (англ., decoys, traps) і прынад (англ., lures), якія размешчаны на рэальных фізічных прыладах сеткі (гл. мал. 4).

Напрыклад, зламыснік можа выявіць ілжывыя базы дадзеных з «канфідэнцыйнымі дакументамі», падробленыя уліковыя дадзеныя нібыта «прывілеяваных карыстальнікаў» – усё гэта ілжывыя мэты, яны могуць зацікавіць парушальнікаў, тым самым адводзячы іх увагу ад сапраўдных інфармацыйных актываў кампаніі (гл. мал 5).

DDP – гэта навінка на рынку прадуктаў ИБ, гэтым рашэнням ўсяго некалькі гадоў і пакуль іх можа дазволіць сабе толькі карпаратыўны сектар. Але малы і сярэдні бізнэс хутка таксама зможа скарыстацца Deception, арандуючы DDP у спецыялізаваных правайдэраў, "як паслугу". Такі варыянт нават зручней, бо няма неабходнасці ва ўласных высокакваліфікаваных кадрах.

Ніжэй паказаны асноўныя перавагі тэхналогіі Deception:

• Сапраўднасць (аўтэнтычнасць). Тэхналогія Deception здольная прайграваць цалкам аўтэнтычнае ІТ-асяроддзе кампаніі, якасна эмулюючы аперацыйныя сістэмы, IoT, POS, спецыялізаваныя сістэмы (медыцынскія, прамысловыя і г.д.), сэрвісы, прыкладанні, уліковыя дадзеныя і г.д. Пасткі (decoys) старанна змешваюцца з працоўным асяроддзем, і зламыснік не зможа іх ідэнтыфікаваць як honeypots.

• укараненне. DDP выкарыстоўваюць машыннае навучанне (англ., machine learning, ML) у сваёй працы. З дапамогай ML забяспечваецца прастата, гнуткасць у наладах і эфектыўнасць укаранення Deception. "Пасткі" і "прынады" вельмі хутка абнаўляюцца, залучаючы зламысніка ў "ілжывую" ІТ-інфраструктуру кампаніі, а тым часам развітыя сістэмы аналізу на аснове штучнага інтэлекту могуць выявіць актыўныя дзеянні хакераў і прадухіліць іх (напрыклад, спробу доступу ў Active Directory на аснове падманных уліковых запісаў).

• прастата эксплуатацыі. Сучасныя "Distributed Deception Platform" простыя ў абслугоўванні і кіраванні. Як правіла, яны кіруюцца праз лакальную ці хмарную кансоль, ёсць магчымасці інтэграцыі з карпаратыўным SOC (Security Operations Center) праз API і са шматлікімі існуючымі сродкамі кантролю бяспекі. Для абслугоўвання і працы DDP не патрабуюцца паслугі высокакваліфікаваных экспертаў па ИБ.

• маштабаванасць. Security deception могуць быць разгорнутыя ў фізічных, віртуальных і хмарных асяроддзях. Паспяхова DDP працуюць і са спецыялізаванымі асяроддзямі, такімі як IoT, ICS, POS, SWIFT і т.д. Удасканаленыя платформы Deception могуць праецыраваць "тэхналогіі падману" і ў выдаленыя офісы, ізаляваныя асяроддзі, прычым без неабходнасці дадатковага поўнага разгортвання платформы.

• Узаемадзеянне. Выкарыстоўваючы эфектыўныя і прывабныя пасткі (decoys), якія заснаваныя на рэальных АС і хітра расстаўлены сярод сапраўднай ІТ-інфраструктуры, платформа Deception збірае шырокую інфармацыю аб зламысніку. Затым DDP забяспечвае перадачу абвестак аб пагрозах, генеруюцца справаздачы, і адбываецца аўтаматычнае рэагаванне на інцыдэнты ИБ.

• Кропка пачатку напады. У сучасных Deception пасткі і прынады размяшчаюцца ўнутры дыяпазону сеткі, а не за яе межамі (як у выпадку з honeypots). Такая мадэль разгортвання пастак не дазваляе зламысніку выкарыстоўваць іх у якасці апорнай кропкі для нападу на рэальную ІТ-інфраструктуру кампаніі. У больш прасунутых рашэннях класа Deception існуюць магчымасці маршрутызацыі трафіку, такім чынам можна накіраваць увесь трафік атакавалых праз спецыяльна выдзеленае злучэнне. Гэта дазволіць прааналізаваць актыўнасць зламыснікаў без рызыкі для каштоўных актываў кампаніі.

• Пераканаўчасць "тэхналогій падману". На пачатковай стадыі нападу зламыснікі збіраюць і аналізуюць дадзеныя аб ІТ-інфраструктуры, затым выкарыстоўваюць іх для гарызантальнага прасоўвання па карпаратыўнай сетцы. З дапамогай "тэхналогій падману" атакавалы абавязкова трапіцца ў "пасткі", якія яго адвядуць ад рэальных актываў арганізацыі. DDP прааналізуе патэнцыйныя шляхі доступу да уліковых дадзеных у карпаратыўнай сетцы і прадаставіць атакаваламу "ілжывыя мэты" замест рэальных уліковых дадзеных. Гэтых магчымасцяў вельмі не хапала тэхналогіям honeypot. (Гл. мал. 6).

Deception VS Honeypot

І нарэшце, мы падыходзім да самага цікавага моманту нашага даследавання. Паспрабуем вылучыць асноўныя адрозненні тэхналогій Deception і Honeypot. Нягледзячы на ​​некаторае падабенства, усёткі гэтыя дзве тэхналогіі моцна адрозніваюцца, пачынальна ад асноватворнай ідэі і сканчаючы эфектыўнасцю працы.

1. Розныя базавыя ідэі. Як мы ўжо пісалі вышэй, honeypots усталёўваюцца ў якасці "прынад" вакол каштоўных актываў кампаніі (па-за карпаратыўнай сеткай), спрабуючы такім чынам адцягнуць зламыснікаў. Тэхналогія honeypot грунтуецца на паданні аб інфраструктуры арганізацыі, аднак ханіпоты могуць стаць апорнай кропкай для пачатку нападу на сетку кампаніі. Тэхналогія Deception распрацавана з улікам пункта гледжання зламысніка і дазваляе ідэнтыфікаваць напад на ранняй стадыі, такім чынам, адмыслоўцы ИБ атрымліваюць значную перавагу перад зламыснікамі і выйграюць час.

2. «Прыцягненне» VS «Заблытванне». Пры выкарыстанні ханіпотаў, поспех залежыць ад прыцягнення ўвагі атакавалых і далейшай іх матывацыі перайсці да мэты ў honeypot. Гэта азначае, што атакавалы ўсё ж такі павінен дабрацца да honeypot, і толькі потым вы зможаце яго спыніць. Такім чынам, прысутнасць зламыснікаў у сетцы можа працягвацца некалькі месяцаў і больш, а гэта прывядзе да ўцечкі дадзеных і нанясення шкоды. DDP якасна імітуюць рэальную ІТ-інфраструктуру кампаніі, мэта іх укаранення – не проста прыцягнуць увагу зламысніка, а заблытаць яго, каб ён страціў час і рэсурсы марна, але не атрымаў доступу да рэальных актываў кампаніі.

3. «Абмежаваная маштабаванасць» VS «аўтаматычная маштабаванасць». Як было адзначана раней, honeypots і honeynets маюць праблемы з маштабаваннем. Гэта складана і дорага, а для таго, каб павялічыць колькасць honeypots у карпаратыўнай сістэме, давядзецца дадаваць новыя кампутары, АС, купляць ліцэнзіі, вылучаць IP. Мала таго, трэба мець яшчэ і кваліфікаваны персанал для кіравання такімі сістэмамі. Платформы Deception аўтаматычна разгортваюцца па меры маштабавання інфраструктуры, без значных накладных выдаткаў.

4. "Вялікая колькасць ілжывых спрацоўванняў" VS "адсутнасць ілжывых спрацоўванняў". Сутнасць праблемы ў тым, што нават просты карыстач можа сутыкнуцца з ханіпот, таму «зваротным бокам» гэтай тэхналогіі з'яўляецца вялікая колькасць ілжывых спрацоўванняў, што адцягвае спецыялістаў ИБ ад працы. "Прынады" і "пасткі" у DDP старанна схаваныя ад простага карыстальніка і разлічаны толькі на зламысніка, таму кожны сігнал ад такой сістэмы - гэта апавяшчэнне аб рэальнай пагрозе, а не ілжывае спрацоўванне.

Заключэнне

На наш погляд, тэхналогія Deception – гэта велізарны крок наперад у параўнанні з больш старой тэхналогіяй Honeypots. Па сутнасці, DDP стала комплекснай платформай бяспекі, якая простая ў разгортванні і кіраванні.

Сучасныя платформы гэтага класа гуляюць важную ролю ў дакладным выяўленні і эфектыўным рэагаванні на сеткавыя пагрозы, а іх інтэграцыя з іншымі кампанентамі стэка бяспекі павялічвае ўзровень аўтаматызацыі, павялічвае эфектыўнасць і рэзультатыўнасць рэагавання на інцыдэнты. Deception-платформы заснаваныя на аўтэнтычнасці, маштабаванасці, прастаце кіравання і інтэграцыі з іншымі сістэмамі. Усё гэта дае значную перавагу ў хуткасці рэагавання на інцыдэнты ИБ.

Таксама, зыходзячы з назіранняў за пентэстамі кампаній, дзе была ўкаранёная або пілатавалася платформа Xello Deception, можна зрабіць высновы, што нават дасведчаныя пентэстары часцяком не могуць распазнаць прынады ў карпаратыўнай сетцы і церпяць паразу, трапляючыся на расстаўленыя пасткі. Дадзены факт яшчэ раз пацвярджае эфектыўнасць Deception і вялікія далягляды, якія адчыняюцца перад гэтай тэхналогіяй у будучыні.

Тэставанне прадукта

Калі вас зацікавілі Deception платформы, то мы гатовы правесці сумеснае тэсціраванне.

Сачыце за абнаўленнямі ў нашых каналах (Тэлеграма, Facebook, VK, TS Solution Blog)!

Крыніца: habr.com