Honeypot vs Deception Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Xello

Honeypot vs Deception Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Xello

На Π₯Π°Π±Ρ€Π΅ ΡƒΠΆΠ΅ Π΅ΡΡ‚ΡŒ нСсколько статСй ΠΏΡ€ΠΎ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ Honeypot ΠΈ Deception (1 ΡΡ‚Π°Ρ‚ΡŒΡ, 2 ΡΡ‚Π°Ρ‚ΡŒΡ). Однако, Π΄ΠΎ сих ΠΏΠΎΡ€ ΠΌΡ‹ сталкиваСмся с Π½Π΅ΠΏΠΎΠ½ΠΈΠΌΠ°Π½ΠΈΠ΅ΠΌ Ρ€Π°Π·Π½ΠΈΡ†Ρ‹ ΠΌΠ΅ΠΆΠ΄Ρƒ этими классами срСдств Π·Π°Ρ‰ΠΈΡ‚Ρ‹. Для этого наши ΠΊΠΎΠ»Π»Π΅Π³ΠΈ ΠΈΠ· Xello Deception (ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ российский Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊ Deception ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹) Ρ€Π΅ΡˆΠΈΠ»ΠΈ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ ΠΎΠΏΠΈΡΠ°Ρ‚ΡŒ отличия, прСимущСства ΠΈ Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Π½Ρ‹Π΅ особСнности этих Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ.

РазбСрСмся Ρ‡Ρ‚ΠΎ ΠΆΠ΅ Ρ‚Π°ΠΊΠΎΠ΅ «Ρ…Π°Π½ΠΈΠΏΠΎΡ‚Ρ‹» ΠΈ «Π΄Π΅ΡΠ΅ΠΏΡˆΠ΅Π½Ρ‹»:

«Π’Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ ΠΎΠ±ΠΌΠ°Π½Π°» (Π°Π½Π³Π»., Deception technology) появились Π½Π° Ρ€Ρ‹Π½ΠΊΠ΅ систСм ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности ΠΎΡ‚Π½ΠΎΡΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π½Π΅Π΄Π°Π²Π½ΠΎ. Однако, Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ спСциалисты Π΄ΠΎ сих ΠΏΠΎΡ€ ΡΡ‡ΠΈΡ‚Π°ΡŽΡ‚ Security Deception всСго лишь Π±ΠΎΠ»Π΅Π΅ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹ΠΌΠΈ Β«Ρ…Π°Π½ΠΈΠΏΠΎΡ‚Β» (Π°Π½Π³Π»., honeypot).

Π’ этой ΡΡ‚Π°Ρ‚ΡŒΠ΅ ΠΌΡ‹ постараСмся ΠΎΡΠ²Π΅Ρ‚ΠΈΡ‚ΡŒ ΠΊΠ°ΠΊ ΡΡ…ΠΎΠΆΠ΅ΡΡ‚ΡŒ, Ρ‚Π°ΠΊ ΠΈ ΠΊΠΎΡ€Π΅Π½Π½Ρ‹Π΅ отличия этих Π΄Π²ΡƒΡ… Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ. Π’ ΠΏΠ΅Ρ€Π²ΠΎΠΉ части, ΠΌΡ‹ расскаТСм ΠΏΡ€ΠΎ Β«Ρ…Π°Π½ΠΈΠΏΠΎΡ‚Β», ΠΊΠ°ΠΊ Ρ€Π°Π·Π²ΠΈΠ²Π°Π»Π°ΡΡŒ эта тСхнология ΠΈ Π² Ρ‡Π΅ΠΌ Π΅Π΅ прСимущСства ΠΈ нСдостатки. А Π²ΠΎ Π²Ρ‚ΠΎΡ€ΠΎΠΉ части, остановимся ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ Π½Π° ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ°Ρ… Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌ для создания распрСдСлСнной инфраструктуры Π»ΠΎΠΆΠ½Ρ‹Ρ… Ρ†Π΅Π»Π΅ΠΉ (Π°Π½Π³Π»., Distributed Deception Platform β€” DDP).

Π‘Π°Π·ΠΎΠ²Ρ‹ΠΉ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏ, ΠΏΠΎΠ»ΠΎΠΆΠ΅Π½Π½Ρ‹ΠΉ Π² основу honeypots β€” это созданиС Π»ΠΎΠ²ΡƒΡˆΠ΅ΠΊ для Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ². На Ρ‚Π°ΠΊΠΎΠΌ ΠΆΠ΅ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅ Π±Ρ‹Π»ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Ρ‹ ΠΈ самыС ΠΏΠ΅Ρ€Π²Ρ‹Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ Deception. Но, соврСмСнныС DDP Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ прСвосходят Ρ…Π°Π½ΠΈΠΏΠΎΡ‚Ρ‹, ΠΊΠ°ΠΊ ΠΏΠΎ своСму Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»Ρƒ, Ρ‚Π°ΠΊ ΠΈ ΠΏΠΎ эффСктивности. Deception ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ Π² сСбя: Π»ΠΎΠ²ΡƒΡˆΠΊΠΈ (Π°Π½Π³Π»., decoys, traps), ΠΏΡ€ΠΈΠΌΠ°Π½ΠΊΠΈ (Π°Π½Π³Π»., lures), прилоТСния, Π΄Π°Π½Π½Ρ‹Π΅, Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ…, Active Directory. Π‘ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Π΅ DDP ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ ΡˆΠΈΡ€ΠΎΠΊΠΈΠ΅ возмоТности для обнаруТСния ΡƒΠ³Ρ€ΠΎΠ·, Π°Π½Π°Π»ΠΈΠ·Π° Π°Ρ‚Π°ΠΊ ΠΈ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΎΡ‚Π²Π΅Ρ‚Π½Ρ‹Ρ… дСйствий.

Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Deception ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²Π»ΡΡŽΡ‚ собой Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ ΠΈΠΌΠΈΡ‚Π°Ρ†ΠΈΠΈ Π˜Π’β€‘ΠΈΠ½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Ρ‹ прСдприятия ΠΈ ввСдСния Π² заблуТдСния Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ². Π’ ΠΈΡ‚ΠΎΠ³Π΅, Ρ‚Π°ΠΊΠΈΠ΅ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ ΠΎΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ Π°Ρ‚Π°ΠΊΠΈ Π΄ΠΎ нанСсСния Π·Π½Π°Ρ‡ΠΈΠΌΠΎΠ³ΠΎ ΡƒΡ‰Π΅Ρ€Π±Π° Π°ΠΊΡ‚ΠΈΠ²Π°ΠΌ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ. Π₯Π°Π½ΠΈΠΏΠΎΡ‚Ρ‹, ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎ ΠΆΠ΅, Π½Π΅ ΠΈΠΌΠ΅ΡŽΡ‚ Ρ‚Π°ΠΊΠΎΠ³ΠΎ ΡˆΠΈΡ€ΠΎΠΊΠΎΠ³ΠΎ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»Π° ΠΈ Ρ‚Π°ΠΊΠΎΠ³ΠΎ уровня Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ, поэтому ΠΈΡ… ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ большСй ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΎΡ‚ сотрудников Π΄Π΅ΠΏΠ°Ρ€Ρ‚Π°ΠΌΠ΅Π½Ρ‚ΠΎΠ² Π˜Π‘.

1. Honeypots, Honeynets ΠΈ Sandboxing: Ρ‡Ρ‚ΠΎ это Ρ‚Π°ΠΊΠΎΠ΅ ΠΈ ΠΊΠ°ΠΊ примСняСтся

Π’ΠΏΠ΅Ρ€Π²Ρ‹Π΅, Ρ‚Π΅Ρ€ΠΌΠΈΠ½ «honeypots» Π±Ρ‹Π» использован Π² 1989 Π³ΠΎΠ΄Ρƒ Π² ΠΊΠ½ΠΈΠ³Π΅ ΠšΠ»ΠΈΡ„Ρ„ΠΎΡ€Π΄Π° Π‘Ρ‚ΠΎΠ»Π»Π° «The Cuckoo’s Egg», Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ описаны события ΠΏΠΎ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Π½ΠΈΡŽ Ρ…Π°ΠΊΠ΅Ρ€Π° Π² ΠΠ°Ρ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠΉ Π»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€ΠΈΠΈ ЛорСнса Π‘Π΅Ρ€ΠΊΠ»ΠΈ (БША). На ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ эта идСя Π±Ρ‹Π»Π° Π²ΠΎΠΏΠ»ΠΎΡ‰Π΅Π½Π° Π² 1999 Π³ΠΎΠ΄Ρƒ Лэнсом Π‘ΠΏΠΈΡ†Π½Π΅Ρ€ΠΎΠΌ (Lance Spitzner), спСциалистом ΠΏΠΎ Π˜Π‘ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Sun Microsystems, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ основал ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΠΉ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ «Honeynet Project». ΠŸΠ΅Ρ€Π²Ρ‹Π΅ Ρ…Π°Π½ΠΈΠΏΠΎΡ‚Ρ‹ Π±Ρ‹Π»ΠΈ ΠΎΡ‡Π΅Π½ΡŒ рСсурсоСмкими, слоТными Π² настройкС ΠΈ обслуТивании.

Рассмотрим Π±ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΠΎ Ρ‡Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ honeypots ΠΈ honeynets. Honeypots β€” это ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Π΅ хосты, Π½Π°Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ…, ΠΏΡ€ΠΈΠ²Π»Π΅Ρ‡ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² ΡΠΎΠ²Π΅Ρ€ΡˆΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠ΅ Π² ΡΠ΅Ρ‚ΡŒ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚Π°Ρ‚ΡŒΡΡ ΡƒΠΊΡ€Π°ΡΡ‚ΡŒ Ρ†Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, Π° Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π°ΡΡˆΠΈΡ€ΠΈΡ‚ΡŒ Π·ΠΎΠ½Ρƒ дСйствия сСти. Honeypot (пСрСводится дословно, ΠΊΠ°ΠΊ Β«Π±ΠΎΡ‡ΠΎΠ½ΠΎΠΊ с ΠΌΠ΅Π΄ΠΎΠΌΒ») прСдставляСт собой ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΉ сСрвСр с Π½Π°Π±ΠΎΡ€ΠΎΠΌ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… сСтСвых слуТб ΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ², Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ HTTP, FTP ΠΈ Ρ‚.Π΄. (см. рис. 1).

Honeypot vs Deception Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Xello

Если ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΠΈΡ‚ΡŒ нСсколько honeypots Π² ΡΠ΅Ρ‚ΡŒ, Ρ‚ΠΎ ΠΌΡ‹ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠΌ ΡƒΠΆΠ΅ Π±ΠΎΠ»Π΅Π΅ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΡƒΡŽ систСму honeynet, которая прСдставляСт собой ΡΠΌΡƒΠ»ΡΡ†ΠΈΡŽ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ (Π²Π΅Π±-сСрвСр, Ρ„Π°ΠΉΠ»-сСрвСр ΠΈ Π΄Ρ€. ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹ сСти). Π’Π°ΠΊΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ позволяСт ΠΏΠΎΠ½ΡΡ‚ΡŒ ΡΡ‚Ρ€Π°Ρ‚Π΅Π³ΠΈΡŽ дСйствий Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² ΠΈ ввСсти ΠΈΡ… Π² Π·Π°Π±Π»ΡƒΠΆΠ΄Π΅Π½ΠΈΠ΅. Π’ΠΈΠΏΠΎΠ²ΠΎΠΉ honeynet, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΠΏΠ°Ρ€Π°Π»Π»Π΅Π»ΡŒΠ½ΠΎ с Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ ΡΠ΅Ρ‚ΡŒΡŽ ΠΈ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ нСзависимо ΠΎΡ‚ Π½Π΅Π΅. Π’Π°ΠΊΡƒΡŽ Β«ΡΠ΅Ρ‚ΡŒΒ» ΠΌΠΎΠΆΠ½ΠΎ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Ρ‚ΡŒ Π² Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚ ΠΏΠΎ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΌΡƒ ΠΊΠ°Π½Π°Π»Ρƒ, ΠΏΠΎΠ΄ Π½Π΅Π΅ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹ΠΉ Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ IP-адрСсов (см. рис. 2).

Honeypot vs Deception Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Xello

Бмысл примСнСния honeynet β€” ΠΏΠΎΠΊΠ°Π·Π°Ρ‚ΡŒ Ρ…Π°ΠΊΠ΅Ρ€Ρƒ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ якобы ΠΏΡ€ΠΎΠ½ΠΈΠΊ Π² ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ ΡΠ΅Ρ‚ΡŒ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, Π½Π° самом Π΄Π΅Π»Π΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ находится Π² Β«ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ срСдС» ΠΈ ΠΏΠΎΠ΄ ΠΏΡ€ΠΈΡΡ‚Π°Π»ΡŒΠ½Ρ‹ΠΌ наблюдСниСм спСциалистов Π˜Π‘ (см. рис. 3).

Honeypot vs Deception Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Xello

Π—Π΄Π΅ΡΡŒ Ρ‚Π°ΠΊΠΆΠ΅ Π½ΡƒΠΆΠ½ΠΎ ΡƒΠΏΠΎΠΌΡΠ½ΡƒΡ‚ΡŒ ΠΎ Ρ‚Π°ΠΊΠΎΠΌ срСдствС, ΠΊΠ°ΠΊ «пСсочница» (Π°Π½Π³Π»., sandbox), которая позволяСт Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ ΠΈ Π·Π°ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ врСдоносныС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ Π² ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ срСдС, Π³Π΄Π΅ ИВ-спСциалисты ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ ΠΈΡ… дСйствия с Ρ†Π΅Π»ΡŒΡŽ выявлСния ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… рисков ΠΈ принятия Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Ρ… ΠΊΠΎΠ½Ρ‚Ρ€ΠΌΠ΅Ρ€. Π’ настоящСС врСмя, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, sandboxing рСализуСтся Π½Π° Π²Ρ‹Π΄Π΅Π»Π΅Π½Π½Ρ‹Ρ… Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΌΠ°ΡˆΠΈΠ½Π°Ρ… Π½Π° Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΌ хостС. Однако, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ sandboxing ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ, ΠΊΠ°ΠΊ Π²Π΅Π΄ΡƒΡ‚ сСбя опасныС ΠΈ врСдоносныС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹, Π° honeynet ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ спСциалисту ΠΏΡ€ΠΎΠ°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ «опасных ΠΈΠ³Ρ€ΠΎΠΊΠΎΠ²Β».

ΠžΡ‡Π΅Π²ΠΈΠ΄Π½Π°Ρ польза ΠΎΡ‚ honeynets Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ вводят Π½Π°Ρ€ΡƒΡˆΠΈΡ‚Π΅Π»Π΅ΠΉ Π² Π·Π°Π±Π»ΡƒΠΆΠ΄Π΅Π½ΠΈΠ΅, растрачивая ΠΈΡ… силы, рСсурсы ΠΈ врСмя. Π’ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅, вмСсто Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… Ρ†Π΅Π»Π΅ΠΉ, ΠΎΠ½ΠΈ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‚ Π»ΠΎΠΆΠ½Ρ‹Π΅ ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‚ΠΈΡ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ Π½Π° ΡΠ΅Ρ‚ΡŒ, Ρ‚Π°ΠΊ Π½ΠΈΡ‡Π΅Π³ΠΎ Π½Π΅ добившись. Π§Π°Ρ‰Π΅ всСго Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ honeynets ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Π² ΠΏΡ€Π°Π²ΠΈΡ‚Π΅Π»ΡŒΡΡ‚Π²Π΅Π½Π½Ρ‹Ρ… учрСТдСниях ΠΈ ΠΊΡ€ΡƒΠΏΠ½Ρ‹Ρ… корпорациях, финансовых организациях, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΈΠΌΠ΅Π½Π½ΠΎ эти структуры ΠΎΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‚ΡΡ мишСнями для ΠΊΡ€ΡƒΠΏΠ½Ρ‹Ρ… ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊ. Однако, прСдприятия ΠΌΠ°Π»ΠΎΠ³ΠΎ ΠΈ срСднСго бизнСса (SMB) Ρ‚Π°ΠΊΠΆΠ΅ Π½ΡƒΠΆΠ΄Π°ΡŽΡ‚ΡΡ Π² эффСктивных инструмСнтах для прСдотвращСния ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ² Π˜Π‘, Π½ΠΎ honeynets Π² сСкторС SMB ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π½Π΅ Ρ‚Π°ΠΊ ΡƒΠΆ ΠΈ просто, ΠΏΠΎ ΠΏΡ€ΠΈΡ‡ΠΈΠ½Π΅ Π½Π΅Ρ…Π²Π°Ρ‚ΠΊΠΈ ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΊΠ°Π΄Ρ€ΠΎΠ² для Ρ‚Π°ΠΊΠΎΠΉ слоТной Ρ€Π°Π±ΠΎΡ‚Ρ‹.

ΠžΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½ΠΎΡΡ‚ΡŒ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Honeypots ΠΈ Honeynets

ΠŸΠΎΡ‡Π΅ΠΌΡƒ ΠΆΠ΅ honeypots ΠΈ honeynets Π½Π΅ самыС Π»ΡƒΡ‡ΡˆΠΈΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ для противодСйствия Π°Ρ‚Π°ΠΊΠ°ΠΌ Π½Π° сСгодняшний дСнь? Надо ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π°Ρ‚Π°ΠΊΠΈ становятся всС Π±ΠΎΠ»Π΅Π΅ ΠΌΠ°ΡΡˆΡ‚Π°Π±Π½Ρ‹ΠΌΠΈ, тСхничСски слоТными ΠΈ способны нанСсти ΡΠ΅Ρ€ΡŒΠ΅Π·Π½Ρ‹ΠΉ ΡƒΡ€ΠΎΠ½ ИВ-инфраструктурС ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, Π° ΠΊΠΈΠ±Π΅Ρ€ΠΏΡ€Π΅ΡΡ‚ΡƒΠΏΠ½ΠΎΡΡ‚ΡŒ Π²Ρ‹ΡˆΠ»Π° Π½Π° ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ Π΄Ρ€ΡƒΠ³ΠΎΠΉ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ ΠΈ прСдставляСт собой высокоорганизованныС Ρ‚Π΅Π½Π΅Π²Ρ‹Π΅ бизнСс-структуры, оснащСнныС всСми Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ΠΌΠΈ рСсурсами. К этому Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΈ «чСловСчСский Ρ„Π°ΠΊΡ‚ΠΎΡ€Β» (ошибки Π² настройках ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния ΠΈ оборудования, дСйствия инсайдСров ΠΈ Ρ‚.Π΄.), поэтому использованиС Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ для прСдотвращСния Π°Ρ‚Π°ΠΊ Π½Π° Π΄Π°Π½Π½Ρ‹ΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ‚ ΡƒΠΆΠ΅ нСдостаточно.

НиТС пСрСчислим основныС ограничСния ΠΈ нСдостатки honeypots (honeynets):

  1. Β«Π₯Π°Π½ΠΈΠΏΠΎΡ‚Ρ‹Β» ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ Π±Ρ‹Π»ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Ρ‹ для опрСдСлСния ΡƒΠ³Ρ€ΠΎΠ·, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ находятся Π²Π½Π΅ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Ρ‹ скорСС для Π°Π½Π°Π»ΠΈΠ·Π° повСдСния Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² ΠΈ Π½Π΅ рассчитаны Π½Π° быстроС Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° ΡƒΠ³Ρ€ΠΎΠ·Ρ‹.

  2. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, ΡƒΠΆΠ΅ Π½Π°ΡƒΡ‡ΠΈΠ»ΠΈΡΡŒ Ρ€Π°ΡΠΏΠΎΠ·Π½Π°Π²Π°Ρ‚ΡŒ эмулированныС систСмы ΠΈ ΠΈΠ·Π±Π΅Π³Π°Ρ‚ΡŒ honeypots.

  3. Honeynets (honeypots) ΠΈΠΌΠ΅ΡŽΡ‚ ΠΊΡ€Π°ΠΉΠ½Π΅ Π½ΠΈΠ·ΠΊΠΈΠΉ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ интСрактивности ΠΈ взаимодСйствия с Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ систСмами бСзопасности, Π² слСдствии Ρ‡Π΅Π³ΠΎ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ Ρ…Π°Π½ΠΈΠΏΠΎΡ‚Ρ‹, Ρ‚Ρ€ΡƒΠ΄Π½ΠΎ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± Π°Ρ‚Π°ΠΊΠ°Ρ… ΠΈ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ…, Π° Π·Π½Π°Ρ‡ΠΈΡ‚, эффСктивно ΠΈ быстро Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ Π˜Π‘. Мало Ρ‚ΠΎΠ³ΠΎ, спСциалисты Π˜Π‘ ΠΏΠΎΠ»ΡƒΡ‡Π°ΡŽΡ‚ большоС количСство Π»ΠΎΠΆΠ½Ρ‹Ρ… ΠΎΠΏΠΎΠ²Π΅Ρ‰Π΅Π½ΠΈΠΉ ΠΎΠ± ΡƒΠ³Ρ€ΠΎΠ·Π°Ρ….

  4. Π’ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… случаях, Ρ…Π°ΠΊΠ΅Ρ€Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ скомпромСтированный Ρ…Π°Π½ΠΈΠΏΠΎΡ‚, ΠΊΠ°ΠΊ ΠΈΡΡ…ΠΎΠ΄Π½ΡƒΡŽ Ρ‚ΠΎΡ‡ΠΊΡƒ для продолТСния Π°Ρ‚Π°ΠΊΠΈ Π½Π° ΡΠ΅Ρ‚ΡŒ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ.

  5. Часто Π²ΠΎΠ·Π½ΠΈΠΊΠ°ΡŽΡ‚ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒΡŽ Ρ…Π°Π½ΠΈΠΏΠΎΡ‚ΠΎΠ², высокой ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΎΠΉ ΠΈ настройкой Ρ‚Π°ΠΊΠΈΡ… систСм (ΠΎΠ½ΠΈ Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ высококвалифицированных спСциалистов, Π½Π΅ ΠΈΠΌΠ΅ΡŽΡ‚ ΡƒΠ΄ΠΎΠ±Π½ΠΎΠ³ΠΎ интСрфСйса управлСния ΠΈ Ρ‚.Π΄.). Π‘ΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ большиС трудности Π² Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠΈ honeypots Π² спСциализированных срСдах, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ, IoT, POS, ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… систСмах ΠΈ Ρ‚.Π΄.

2. Deception technology: прСимущСства ΠΈ основныС ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΡ‹ Ρ€Π°Π±ΠΎΡ‚Ρ‹

Π˜Π·ΡƒΡ‡ΠΈΠ² всС прСимущСства ΠΈ нСдостатки honeypots, ΠΏΡ€ΠΈΡ…ΠΎΠ΄ΠΈΠΌ ΠΊ Π²Ρ‹Π²ΠΎΠ΄Ρƒ, Ρ‡Ρ‚ΠΎ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ Π½ΠΎΠ²Ρ‹ΠΉ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ ΠΊ Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡŽ Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ Π˜Π‘ с Ρ†Π΅Π»ΡŒΡŽ Π²Ρ‹Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ быстрого ΠΈ Π°Π΄Π΅ΠΊΠ²Π°Ρ‚Π½ΠΎΠ³ΠΎ ΠΎΡ‚Π²Π΅Ρ‚Π° Π½Π° дСйствия Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ…. И Ρ‚Π°ΠΊΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ β€” это Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ Π‘yber deception (Security deception).

ВСрминология «Π‘yber deception», «Security deception», «Deception technology», «Distributed Deception Platform» (DDP) ΠΎΡ‚Π½ΠΎΡΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ новая ΠΈ появилась Π½Π΅ Ρ‚Π°ΠΊ Π΄Π°Π²Π½ΠΎ. ЀактичСски, всС эти Ρ‚Π΅Ρ€ΠΌΠΈΠ½Ρ‹ ΠΎΠ·Π½Π°Ρ‡Π°ΡŽΡ‚ использованиС Β«Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ ΠΎΠ±ΠΌΠ°Π½Π°Β» ΠΈΠ»ΠΈ Β«Ρ‚Π΅Ρ…Π½ΠΈΠΊ ΠΈΠΌΠΈΡ‚Π°Ρ†ΠΈΠΈ Π˜Π’β€‘ΠΈΠ½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Ρ‹ ΠΈ Π΄Π΅Π·ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ²Β». Π‘Π°ΠΌΡ‹Π΅ простыС Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ Deception β€” это Ρ€Π°Π·Π²ΠΈΡ‚ΠΈΠ΅ ΠΈΠ΄Π΅ΠΉ honeypots, Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π½Π° Π±ΠΎΠ»Π΅Π΅ тСхнологичСски ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚ΠΎΠΌ ΡƒΡ€ΠΎΠ²Π½Π΅, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚ Π±ΠΎΠ»ΡŒΡˆΡƒΡŽ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΡŽ обнаруТСния ΡƒΠ³Ρ€ΠΎΠ· ΠΈ рСагирования Π½Π° Π½ΠΈΡ…. Однако Π½Π° Ρ€Ρ‹Π½ΠΊΠ΅ ΡƒΠΆΠ΅ Π΅ΡΡ‚ΡŒ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½Ρ‹Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ класса DDP, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°ΡŽΡ‚ Π»Π΅Π³ΠΊΠΎΡΡ‚ΡŒ развСртывания ΠΈ ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡ, Π° Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π°ΡΠΏΠΎΠ»Π°Π³Π°ΡŽΡ‚ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½Ρ‹ΠΌ арсСналом Β«Π»ΠΎΠ²ΡƒΡˆΠ΅ΠΊΒ» ΠΈ Β«ΠΏΡ€ΠΈΠΌΠ°Π½ΠΎΠΊΒ» для Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ…. К ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρƒ, Deception позволяСт ΡΠΌΡƒΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚Π°ΠΊΠΈΠ΅ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Ρ‹ ИВ-инфраструктуры, ΠΊΠ°ΠΊ Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ…, Ρ€Π°Π±ΠΎΡ‡ΠΈΠ΅ станции, ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ‚ΠΎΡ€Ρ‹, ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Ρ‹, Π±Π°Π½ΠΊΠΎΠΌΠ°Ρ‚Ρ‹, сСрвСры ΠΈ SCADA, мСдицинскоС ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΈ IoT.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ «Distributed Deception Platform»? ПослС развСртывания DDP, ИВ-инфраструктура ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Π±ΡƒΠ΄Π΅Ρ‚ выстроСна ΠΊΠ°ΠΊ Π±ΡƒΠ΄Ρ‚ΠΎ ΠΈΠ· Π΄Π²ΡƒΡ… слоСв: ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ слой β€” это Ρ€Π΅Π°Π»ΡŒΠ½Π°Ρ инфраструктура ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, Π° Π²Ρ‚ΠΎΡ€ΠΎΠΉ β€” это «эмулированная» срСда, состоящая ΠΈΠ· Π»ΠΎΠ²ΡƒΡˆΠ΅ΠΊ (Π°Π½Π³Π»., decoys, traps) ΠΈ ΠΏΡ€ΠΈΠΌΠ°Π½ΠΎΠΊ (Π°Π½Π³Π»., lures), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ располоТСны Π½Π° Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… физичСских устройствах сСти (см. рис. 4).

Honeypot vs Deception Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Xello

НапримСр, Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ Π»ΠΎΠΆΠ½Ρ‹Π΅ Π±Π°Π·Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ… с Β«ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΌΠΈ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°ΠΌΠΈΒ», ΠΏΠΎΠ΄Π»ΠΎΠΆΠ½Ρ‹Π΅ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ якобы Β«ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉΒ» β€” всС это Π»ΠΎΠΆΠ½Ρ‹Π΅ Ρ†Π΅Π»ΠΈ, ΠΎΠ½ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π·Π°ΠΈΠ½Ρ‚Π΅Ρ€Π΅ΡΠΎΠ²Π°Ρ‚ΡŒ Π½Π°Ρ€ΡƒΡˆΠΈΡ‚Π΅Π»Π΅ΠΉ, Ρ‚Π΅ΠΌ самым уводя ΠΈΡ… Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅ ΠΎΡ‚ истинных ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… Π°ΠΊΡ‚ΠΈΠ²ΠΎΠ² ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ (см. рис 5).

Honeypot vs Deception Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Xello

DDP β€” это Π½ΠΎΠ²ΠΈΠ½ΠΊΠ° Π½Π° Ρ€Ρ‹Π½ΠΊΠ΅ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ² Π˜Π‘, этим Ρ€Π΅ΡˆΠ΅Π½ΠΈΡΠΌ всСго нСсколько Π»Π΅Ρ‚ ΠΈ ΠΏΠΎΠΊΠ° ΠΈΡ… ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ΡŒ сСбС Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΉ сСктор. Но ΠΌΠ°Π»Ρ‹ΠΉ ΠΈ срСдний бизнСс скоро Ρ‚Π°ΠΊΠΆΠ΅ смоТСт Π²ΠΎΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Deception, арСндуя DDP Ρƒ спСциализированных ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€ΠΎΠ², Β«ΠΊΠ°ΠΊ услугу». Π’Π°ΠΊΠΎΠΉ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ Π΄Π°ΠΆΠ΅ ΡƒΠ΄ΠΎΠ±Π½Π΅Π΅, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Π½Π΅Ρ‚ нСобходимости Π² собствСнных высококвалифицированных ΠΊΠ°Π΄Ρ€Π°Ρ….

НиТС ΠΏΠΎΠΊΠ°Π·Π°Π½Ρ‹ основныС прСимущСства Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ Deception:

  • ΠŸΠΎΠ΄Π»ΠΈΠ½Π½ΠΎΡΡ‚ΡŒ (Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ‡Π½ΠΎΡΡ‚ΡŒ). ВСхнология Deception способна Π²ΠΎΡΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚ΡŒ ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ‡Π½ΡƒΡŽ ИВ-срСду ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, качСствСнно эмулируя ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ систСмы, IoT, POS, спСциализированныС систСмы (мСдицинскиС, ΠΏΡ€ΠΎΠΌΡ‹ΡˆΠ»Π΅Π½Π½Ρ‹Π΅ ΠΈ Ρ‚.Π΄.), сСрвисы, прилоТСния, ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΈ Ρ‚.Π΄. Π›ΠΎΠ²ΡƒΡˆΠΊΠΈ (decoys) Ρ‚Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ ΡΠΌΠ΅ΡˆΠΈΠ²Π°ΡŽΡ‚ΡΡ с Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ срСдой, ΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ Π½Π΅ смоТСт ΠΈΡ… ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠ°ΠΊ honeypots.

  • Π’Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅. DDP ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ машинноС ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠ΅ (Π°Π½Π³Π»., machine learning, ML) Π² своСй Ρ€Π°Π±ΠΎΡ‚Π΅. Π‘ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ML обСспСчиваСтся простота, Π³ΠΈΠ±ΠΊΠΎΡΡ‚ΡŒ Π² настройках ΠΈ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ внСдрСния Deception. Β«Π›ΠΎΠ²ΡƒΡˆΠΊΠΈΒ» ΠΈ Β«ΠΏΡ€ΠΈΠΌΠ°Π½ΠΊΠΈΒ» ΠΎΡ‡Π΅Π½ΡŒ быстро ΠΎΠ±Π½ΠΎΠ²Π»ΡΡŽΡ‚ΡΡ, вовлСкая Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° Π² Β«Π»ΠΎΠΆΠ½ΡƒΡŽΒ» ИВ-инфраструктуру ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, Π° Ρ‚Π΅ΠΌ Π²Ρ€Π΅ΠΌΠ΅Π½Π΅ΠΌ Ρ€Π°Π·Π²ΠΈΡ‚Ρ‹Π΅ систСмы Π°Π½Π°Π»ΠΈΠ·Π° Π½Π° основС искусствСнного ΠΈΠ½Ρ‚Π΅Π»Π»Π΅ΠΊΡ‚Π° ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Π΅ дСйствия Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΈ ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‚ΠΈΡ‚ΡŒ ΠΈΡ… (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΡƒ доступа Π² Active Directory Π½Π° основС ΠΎΠ±ΠΌΠ°Π½Π½Ρ‹Ρ… ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… записСй).

  • ΠŸΡ€ΠΎΡΡ‚ΠΎΡ‚Π° эксплуатации. Π‘ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Π΅ «Distributed Deception Platform» просты Π² обслуТивании ΠΈ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠΈ. Как ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, ΠΎΠ½ΠΈ ΡƒΠΏΡ€Π°Π²Π»ΡΡŽΡ‚ΡΡ Ρ‡Π΅Ρ€Π΅Π· Π»ΠΎΠΊΠ°Π»ΡŒΠ½ΡƒΡŽ ΠΈΠ»ΠΈ ΠΎΠ±Π»Π°Ρ‡Π½ΡƒΡŽ консоль, Π΅ΡΡ‚ΡŒ возмоТности ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ с ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΌ SOC (Security Operations Center) Ρ‡Π΅Ρ€Π΅Π· API ΠΈ со ΠΌΠ½ΠΎΠ³ΠΈΠΌΠΈ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΌΠΈ срСдствами контроля бСзопасности. Для обслуТивания ΠΈ Ρ€Π°Π±ΠΎΡ‚Ρ‹ DDP Π½Π΅ Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ΡΡ услуги высококвалифицированных экспСртов ΠΏΠΎ Π˜Π‘.

  • ΠœΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒ. Security deception ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚Ρ‹ Π² физичСских, Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΈ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… срСдах. УспСшно DDP Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ ΠΈ со спСциализированными срСдами, Ρ‚Π°ΠΊΠΈΠΌΠΈ ΠΊΠ°ΠΊ IoT, ICS, POS, SWIFT ΠΈ.Ρ‚.Π΄. Π£ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΡΡ‚Π²ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Deception ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΡ€ΠΎΠ΅Ρ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Β«Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ ΠΎΠ±ΠΌΠ°Π½Π°Β» ΠΈ Π² ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹Π΅ офисы, ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ срСды, ΠΏΡ€ΠΈΡ‡Π΅ΠΌ Π±Π΅Π· нСобходимости Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΏΠΎΠ»Π½ΠΎΠ³ΠΎ развСртывания ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹.

  • ВзаимодСйствиС. Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ эффСктивныС ΠΈ ΠΏΡ€ΠΈΠ²Π»Π΅ΠΊΠ°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ Π»ΠΎΠ²ΡƒΡˆΠΊΠΈ (decoys), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ основаны Π½Π° Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… ОБ ΠΈ Ρ…ΠΈΡ‚Ρ€ΠΎ расставлСны срСди настоящСй ИВ-инфраструктуры, ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ° Deception собираСт ΠΎΠ±ΡˆΠΈΡ€Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ΅. Π—Π°Ρ‚Π΅ΠΌ DDP обСспСчиваСт ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ ΠΎΠΏΠΎΠ²Π΅Ρ‰Π΅Π½ΠΈΠΉ ΠΎΠ± ΡƒΠ³Ρ€ΠΎΠ·Π°Ρ…, Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΡŽΡ‚ΡΡ ΠΎΡ‚Ρ‡Π΅Ρ‚Ρ‹, ΠΈ происходит автоматичСскоС Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ Π˜Π‘.

  • Π’ΠΎΡ‡ΠΊΠ° Π½Π°Ρ‡Π°Π»Π° Π°Ρ‚Π°ΠΊΠΈ. Π’ соврСмСнных Deception Π»ΠΎΠ²ΡƒΡˆΠΊΠΈ ΠΈ ΠΏΡ€ΠΈΠΌΠ°Π½ΠΊΠΈ Ρ€Π°Π·ΠΌΠ΅Ρ‰Π°ΡŽΡ‚ΡΡ Π²Π½ΡƒΡ‚Ρ€ΠΈ Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½Π° сСти, Π° Π½Π΅ Π·Π° Π΅Π΅ ΠΏΡ€Π΅Π΄Π΅Π»Π°ΠΌΠΈ (ΠΊΠ°ΠΊ Π² случаС с honeypots). Вакая модСль развСртывания Π»ΠΎΠ²ΡƒΡˆΠ΅ΠΊ Π½Π΅ позволяСт Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΡ… Π² качСствС ΠΎΠΏΠΎΡ€Π½ΠΎΠΉ Ρ‚ΠΎΡ‡ΠΊΠΈ для Π°Ρ‚Π°ΠΊΠΈ Π½Π° Ρ€Π΅Π°Π»ΡŒΠ½ΡƒΡŽ ИВ-инфраструктуру ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ. Π’ Π±ΠΎΠ»Π΅Π΅ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹Ρ… Ρ€Π΅ΡˆΠ΅Π½ΠΈΡΡ… класса Deception ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‚ возмоТности ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, Ρ‚Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ вСсь Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ… Ρ‡Π΅Ρ€Π΅Π· ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ Π²Ρ‹Π΄Π΅Π»Π΅Π½Π½ΠΎΠ΅ соСдинСниС. Π­Ρ‚ΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ ΠΏΡ€ΠΎΠ°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² Π±Π΅Π· риска для Ρ†Π΅Π½Π½Ρ‹Ρ… Π°ΠΊΡ‚ΠΈΠ²ΠΎΠ² ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ.

  • Π£Π±Π΅Π΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Β«Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ ΠΎΠ±ΠΌΠ°Π½Π°Β». На Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠΉ стадии Π°Ρ‚Π°ΠΊΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΡŽΡ‚ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΠ± ИВ-инфраструктурС, Π·Π°Ρ‚Π΅ΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ ΠΈΡ… для Π³ΠΎΡ€ΠΈΠ·ΠΎΠ½Ρ‚Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ продвиТСния ΠΏΠΎ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти. Π‘ ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Β«Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ ΠΎΠ±ΠΌΠ°Π½Π°Β» Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ попадСтся Π² Β«Π»ΠΎΠ²ΡƒΡˆΠΊΠΈΒ», ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π΅Π³ΠΎ ΡƒΠ²Π΅Π΄ΡƒΡ‚ ΠΎΡ‚ Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… Π°ΠΊΡ‚ΠΈΠ²ΠΎΠ² ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ. DDP ΠΏΡ€ΠΎΠ°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΏΡƒΡ‚ΠΈ доступа ΠΊ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ Π² ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти ΠΈ прСдоставит Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΌΡƒ Β«Π»ΠΎΠΆΠ½Ρ‹Π΅ Ρ†Π΅Π»ΠΈΒ» вмСсто Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…. Π­Ρ‚ΠΈΡ… возмоТностСй ΠΎΡ‡Π΅Π½ΡŒ Π½Π΅ Ρ…Π²Π°Ρ‚Π°Π»ΠΎ тСхнологиям honeypot. (Π‘ΠΌ. рис. 6).

Honeypot vs Deception Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Xello

Deception VS Honeypot

И Π½Π°ΠΊΠΎΠ½Π΅Ρ†, ΠΌΡ‹ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ΠΈΠΌ ΠΊ самом интСрСсному ΠΌΠΎΠΌΠ΅Π½Ρ‚Ρƒ нашСго исслСдования. ΠŸΠΎΡΡ‚Π°Ρ€Π°Π΅ΠΌΡΡ Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ основныС отличия Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ Deception ΠΈ Honeypot. НСсмотря Π½Π° Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€ΡƒΡŽ ΡΡ…ΠΎΠΆΠ΅ΡΡ‚ΡŒ, всС-Ρ‚Π°ΠΊΠΈ эти Π΄Π²Π΅ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ сильно Ρ€Π°Π·Π»ΠΈΡ‡Π°ΡŽΡ‚ΡΡ, начиная ΠΎΡ‚ ΠΎΡΠ½ΠΎΠ²ΠΎΠΏΠΎΠ»Π°Π³Π°ΡŽΡ‰Π΅ΠΉ ΠΈΠ΄Π΅ΠΈ ΠΈ заканчивая ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒΡŽ Ρ€Π°Π±ΠΎΡ‚Ρ‹.

  1. Π Π°Π·Π½Ρ‹Π΅ Π±Π°Π·ΠΎΠ²Ρ‹Π΅ ΠΈΠ΄Π΅ΠΈ. Как ΠΌΡ‹ ΡƒΠΆΠ΅ писали Π²Ρ‹ΡˆΠ΅, honeypots ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°ΡŽΡ‚ΡΡ Π² качСствС Β«ΠΏΡ€ΠΈΠΌΠ°Π½ΠΎΠΊΒ» Π²ΠΎΠΊΡ€ΡƒΠ³ Ρ†Π΅Π½Π½Ρ‹Ρ… Π°ΠΊΡ‚ΠΈΠ²ΠΎΠ² ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ (Π²Π½Π΅ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти), ΠΏΡ‹Ρ‚Π°ΡΡΡŒ Ρ‚Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ ΠΎΡ‚Π²Π»Π΅Ρ‡ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ². ВСхнология honeypot базируСтся Π½Π° прСдставлСнии ΠΎΠ± инфраструктурС ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, ΠΎΠ΄Π½Π°ΠΊΠΎ Ρ…Π°Π½ΠΈΠΏΠΎΡ‚Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ ΡΡ‚Π°Ρ‚ΡŒ ΠΎΠΏΠΎΡ€Π½ΠΎΠΉ Ρ‚ΠΎΡ‡ΠΊΠΎΠΉ для Π½Π°Ρ‡Π°Π»Π° Π°Ρ‚Π°ΠΊΠΈ Π½Π° ΡΠ΅Ρ‚ΡŒ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ. ВСхнология Deception Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π° с ΡƒΡ‡Π΅Ρ‚ΠΎΠΌ Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° ΠΈ позволяСт ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ Π½Π° Ρ€Π°Π½Π½Π΅ΠΉ стадии, Ρ‚Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, спСциалисты Π˜Π‘ ΠΏΠΎΠ»ΡƒΡ‡Π°ΡŽΡ‚ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ прСимущСство ΠΏΠ΅Ρ€Π΅Π΄ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ ΠΈ Π²Ρ‹ΠΈΠ³Ρ€Ρ‹Π²Π°ΡŽΡ‚ врСмя.

  2. Β«ΠŸΡ€ΠΈΠ²Π»Π΅Ρ‡Π΅Π½ΠΈΠ΅Β» VS Β«Π—Π°ΠΏΡƒΡ‚Ρ‹Π²Π°Π½ΠΈΠ΅Β». ΠŸΡ€ΠΈ использовании Ρ…Π°Π½ΠΈΠΏΠΎΡ‚ΠΎΠ², успСх зависит ΠΎΡ‚ привлСчСния внимания Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ… ΠΈ дальнСйшСй ΠΈΡ… ΠΌΠΎΡ‚ΠΈΠ²Π°Ρ†ΠΈΠΈ ΠΏΠ΅Ρ€Π΅ΠΉΡ‚ΠΈ ΠΊ Ρ†Π΅Π»ΠΈ Π² honeypot. Π­Ρ‚ΠΎ ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ всС-Ρ‚Π°ΠΊΠΈ Π΄ΠΎΠ»ΠΆΠ΅Π½ Π΄ΠΎΠ±Ρ€Π°Ρ‚ΡŒΡΡ Π΄ΠΎ honeypot, ΠΈ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΠΎΡ‚ΠΎΠΌ Π²Ρ‹ смоТСтС Π΅Π³ΠΎ ΠΎΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, присутствиС Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² Π² сСти ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°Ρ‚ΡŒΡΡ нСсколько мСсяцСв ΠΈ Π±ΠΎΠ»Π΅Π΅, Π° это ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Ρ‚ ΠΊ ΡƒΡ‚Π΅Ρ‡ΠΊΠ΅ Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ нанСсСнию ΡƒΡ‰Π΅Ρ€Π±Π°. DDP качСствСнно ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΡŽΡ‚ Ρ€Π΅Π°Π»ΡŒΠ½ΡƒΡŽ ИВ-инфраструктуру ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, Ρ†Π΅Π»ΡŒ ΠΈΡ… внСдрСния β€” Π½Π΅ просто ΠΏΡ€ΠΈΠ²Π»Π΅Ρ‡ΡŒ Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°, Π° Π·Π°ΠΏΡƒΡ‚Π°Ρ‚ΡŒ Π΅Π³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ½ потСрял врСмя ΠΈ рСсурсы Π²ΠΏΡƒΡΡ‚ΡƒΡŽ, Π½ΠΎ Π½Π΅ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ» доступа ΠΊ Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹ΠΌ Π°ΠΊΡ‚ΠΈΠ²Π°ΠΌ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ.

  3. Β«ΠžΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½Π°Ρ ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒΒ» VS «автоматичСская ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΡŒΒ». Как Π±Ρ‹Π»ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½ΠΎ Ρ€Π°Π½Π΅Π΅, honeypots ΠΈ honeynets ΠΈΠΌΠ΅ΡŽΡ‚ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ. Π­Ρ‚ΠΎ слоТно ΠΈ Π΄ΠΎΡ€ΠΎΠ³ΠΎ, Π° для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΡ‚ΡŒ количСство honeypots Π² ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ систСмС, придСтся Π΄ΠΎΠ±Π°Π²Π»ΡΡ‚ΡŒ Π½ΠΎΠ²Ρ‹Π΅ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‹, ОБ, ΠΏΠΎΠΊΡƒΠΏΠ°Ρ‚ΡŒ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΈ, Π²Ρ‹Π΄Π΅Π»ΡΡ‚ΡŒ IP. Мало Ρ‚ΠΎΠ³ΠΎ, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΈΠΌΠ΅Ρ‚ΡŒ Π΅Ρ‰Π΅ ΠΈ ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ пСрсонал для управлСния Ρ‚Π°ΠΊΠΈΠΌΠΈ систСмами. ΠŸΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Deception автоматичСски Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°ΡŽΡ‚ΡΡ ΠΏΠΎ ΠΌΠ΅Ρ€Π΅ ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡ инфраструктуры, Π±Π΅Π· Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… Π½Π°ΠΊΠ»Π°Π΄Π½Ρ‹Ρ… расходов.

  4. Β«Π‘ΠΎΠ»ΡŒΡˆΠΎΠ΅ количСство Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний» VS «отсутствиС Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний». Π‘ΡƒΡ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ Π΄Π°ΠΆΠ΅ простой ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΡ‚ΠΎΠ»ΠΊΠ½ΡƒΡ‚ΡŒΡΡ с Ρ…Π°Π½ΠΈΠΏΠΎΡ‚ΠΎΠΌ, поэтому Β«ΠΎΠ±Ρ€Π°Ρ‚Π½ΠΎΠΉ стороной» этой Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ являСтся большоС количСство Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний, Ρ‡Ρ‚ΠΎ ΠΎΡ‚Π²Π»Π΅ΠΊΠ°Π΅Ρ‚ спСциалистов Π˜Π‘ ΠΎΡ‚ Ρ€Π°Π±ΠΎΡ‚Ρ‹. Β«ΠŸΡ€ΠΈΠΌΠ°Π½ΠΊΠΈΒ» ΠΈ Β«Π»ΠΎΠ²ΡƒΡˆΠΊΠΈΒ» Π² DDP Ρ‚Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ скрыты ΠΎΡ‚ простого ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΈ рассчитаны Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π½Π° Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°, поэтому ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ сигнал ΠΎΡ‚ Ρ‚Π°ΠΊΠΎΠΉ систСмы β€” это ΠΎΠΏΠΎΠ²Π΅Ρ‰Π΅Π½ΠΈΠ΅ ΠΎ Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠΉ ΡƒΠ³Ρ€ΠΎΠ·Π΅, Π° Π½Π΅ Π»ΠΎΠΆΠ½ΠΎΠ΅ срабатываниС.

Π—Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅

На наш взгляд, тСхнология Deception β€” это ΠΎΠ³Ρ€ΠΎΠΌΠ½Ρ‹ΠΉ шаг Π²ΠΏΠ΅Ρ€Π΅Π΄ ΠΏΠΎ ΡΡ€Π°Π²Π½Π΅Π½ΠΈΡŽ с Π±ΠΎΠ»Π΅Π΅ старой Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠ΅ΠΉ Honeypots. По сути Π΄Π΅Π»Π°, DDP стала комплСксной ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠΎΠΉ бСзопасности, которая проста Π² Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠΈ ΠΈ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠΈ.

Π‘ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ этого класса ΠΈΠ³Ρ€Π°ΡŽΡ‚ Π²Π°ΠΆΠ½ΡƒΡŽ Ρ€ΠΎΠ»ΡŒ Π² Ρ‚ΠΎΡ‡Π½ΠΎΠΌ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠΈ ΠΈ эффСктивном Ρ€Π΅Π°Π³ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠΈ Π½Π° сСтСвыС ΡƒΠ³Ρ€ΠΎΠ·Ρ‹, Π° ΠΈΡ… интСграция с Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°ΠΌΠΈ стСка бСзопасности ΠΏΠΎΠ²Ρ‹ΡˆΠ°Π΅Ρ‚ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ, ΡƒΠ²Π΅Π»ΠΈΡ‡ΠΈΠ²Π°Π΅Ρ‚ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ ΠΈ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹. Deception-ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ основаны Π½Π° аутСнтичности, ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΠΈ, простотС управлСния ΠΈ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ с Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ систСмами. ВсС это Π΄Π°Π΅Ρ‚ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ прСимущСство Π² скорости рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ Π˜Π‘.

Π’Π°ΠΊΠΆΠ΅, исходя ΠΈΠ· наблюдСний Π·Π° пСнтСстами ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ, Π³Π΄Π΅ Π±Ρ‹Π»Π° Π²Π½Π΅Π΄Ρ€Π΅Π½Π° ΠΈΠ»ΠΈ ΠΏΠΈΠ»ΠΎΡ‚ΠΈΡ€ΠΎΠ²Π°Π»Π°ΡΡŒ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ° Xello Deception, ΠΌΠΎΠΆΠ½ΠΎ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ Π²Ρ‹Π²ΠΎΠ΄Ρ‹, Ρ‡Ρ‚ΠΎ Π΄Π°ΠΆΠ΅ ΠΎΠΏΡ‹Ρ‚Π½Ρ‹Π΅ пСнтСстСры Π·Π°Ρ‡Π°ΡΡ‚ΡƒΡŽ Π½Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Ρ€Π°ΡΠΏΠΎΠ·Π½Π°Ρ‚ΡŒ ΠΏΡ€ΠΈΠΌΠ°Π½ΠΊΠΈ Π² ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти ΠΈ тСрпят ΠΏΠΎΡ€Π°ΠΆΠ΅Π½ΠΈΠ΅, попадаясь Π½Π° расставлСнныС Π»ΠΎΠ²ΡƒΡˆΠΊΠΈ. Π”Π°Π½Π½Ρ‹ΠΉ Ρ„Π°ΠΊΡ‚ Π΅Ρ‰Π΅ Ρ€Π°Π· ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π°Π΅Ρ‚ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Deception ΠΈ большиС пСрспСктивы, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΡ‚ΠΊΡ€Ρ‹Π²Π°ΡŽΡ‚ΡΡ ΠΏΠ΅Ρ€Π΅Π΄ этой Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠ΅ΠΉ Π² Π±ΡƒΠ΄ΡƒΡ‰Π΅ΠΌ.

ВСстированиС ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°

Если вас заинтСрСсовали Deception ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹, Ρ‚ΠΎ ΠΌΡ‹ Π³ΠΎΡ‚ΠΎΠ²Ρ‹ провСсти совмСстноС тСстированиС.

Π‘Π»Π΅Π΄ΠΈΡ‚Π΅ Π·Π° обновлСниями Π² Π½Π°ΡˆΠΈΡ… ΠΊΠ°Π½Π°Π»Π°Ρ… (TelegramFacebookVKTS Solution Blog)!

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ