Honeypot vs Deception na primjeru Xelloa

Na Habréu već postoji nekoliko članaka o tehnologijama Honeypot i Deception (1 članak, 2 članak). Međutim, još uvijek se suočavamo s nedostatkom razumijevanja razlike između ovih klasa zaštitne opreme. Za to su naše kolege iz Hello Deception (prvi ruski programer Platform Deception) odlučio da detaljno opiše razlike, prednosti i arhitektonske karakteristike ovih rješenja.

Hajde da shvatimo šta su "lonci" i "prevare":

„Tehnologije obmane“ pojavile su se na tržištu informacionih sigurnosnih sistema relativno nedavno. Međutim, neki stručnjaci i dalje smatraju Security Deception samo naprednijim honeypots.

U ovom članku pokušaćemo da istaknemo i sličnosti i fundamentalne razlike između ova dva rešenja. U prvom dijelu ćemo govoriti o honeypotu, kako se ova tehnologija razvijala i koje su njene prednosti i mane. A u drugom dijelu ćemo se detaljno zadržati na principima rada platformi za stvaranje distribuirane infrastrukture mamaca (engleski, Distributed Deception Platform - DDP).

Osnovni princip koji leži u osnovi honeypots je stvaranje zamki za hakere. Na istom principu razvijena su prva rješenja Deception. Ali moderni DDP-ovi su značajno superiorniji u odnosu na honeypots, kako u funkcionalnosti tako i po efikasnosti. Platforme za prevaru uključuju: mamce, zamke, mamce, aplikacije, podatke, baze podataka, Active Directory. Moderni DDP-ovi mogu pružiti moćne mogućnosti za otkrivanje prijetnji, analizu napada i automatizaciju odgovora.

Dakle, obmana je tehnika za simulaciju IT infrastrukture preduzeća i zavaravanje hakera. Kao rezultat, takve platforme omogućavaju zaustavljanje napada prije nego što nanesu značajnu štetu imovini kompanije. Honeypots, naravno, nemaju tako široku funkcionalnost i toliki nivo automatizacije, tako da njihova upotreba zahtijeva više kvalifikacija zaposlenih u odjelima za sigurnost informacija.

1. Honeypots, Honeynets i Sandboxing: šta su i kako se koriste

Izraz "honeypots" prvi je put korišten 1989. godine u knjizi Clifforda Stolla "The Cuckoo's Egg", koja opisuje događaje pronalaženja hakera u Nacionalnoj laboratoriji Lawrence Berkeley (SAD). Ovu ideju je 1999. godine sproveo u praksu Lance Spitzner, stručnjak za sigurnost informacija u Sun Microsystems, koji je osnovao istraživački projekat Honeynet Project. Prvi honeypots su bili veoma zahtevni za resurse, teški za postavljanje i održavanje.

Pogledajmo pobliže šta je to honeypots и honeynets. Honeypots su pojedinačni hostovi čija je svrha privući napadače da prodru u mrežu kompanije i pokušaju ukrasti vrijedne podatke, kao i proširiti područje pokrivenosti mreže. Honeypot (doslovno prevedeno kao “bure meda”) je poseban server sa skupom različitih mrežnih servisa i protokola, kao što su HTTP, FTP, itd. (vidi sliku 1).

Ako kombinujete nekoliko honeypots u mrežu, onda ćemo dobiti efikasniji sistem honeynet, koji je emulacija korporativne mreže kompanije (web server, server datoteka i druge mrežne komponente). Ovo rješenje vam omogućava da shvatite strategiju napadača i dovedete ih u zabludu. Tipična honeynet obično radi paralelno sa radnom mrežom i potpuno je nezavisna od nje. Takva „mreža“ se može objaviti na Internetu putem posebnog kanala, za nju se takođe može dodijeliti poseban raspon IP adresa (vidi sliku 2).

Smisao upotrebe honeynet-a je da se hakeru pokaže da je navodno prodro u korporativnu mrežu organizacije; u stvari, napadač se nalazi u „izolovanom okruženju” i pod bliskim nadzorom stručnjaka za sigurnost informacija (vidi sliku 3).

Ovdje također treba spomenuti alat kao što je „sandbox"(engleski, sandbox), koji omogućava napadačima da instaliraju i pokrenu zlonamjerni softver u izolovanom okruženju u kojem IT može pratiti njihove aktivnosti kako bi identificirao potencijalne rizike i poduzeo odgovarajuće protumjere. Trenutno se sandboxing obično implementira na namjenskim virtuelnim mašinama na virtuelnom hostu. Međutim, treba napomenuti da sandboxing samo pokazuje kako se opasni i zlonamjerni programi ponašaju, dok honeynet pomaže stručnjaku da analizira ponašanje “opasnih igrača”.

Očigledna prednost medenih mreža je da obmanjuju napadače, trošeći njihovu energiju, resurse i vrijeme. Kao rezultat toga, umjesto pravih ciljeva, oni napadaju lažne i mogu prestati s napadima na mrežu, a da ništa ne postignu. Honeynets tehnologije se najčešće koriste u državnim agencijama i velikim korporacijama, finansijskim organizacijama, jer se upravo to strukture ispostavljaju kao mete velikih sajber napada. Međutim, mala i srednja preduzeća (SMB) takođe trebaju efikasne alate za sprečavanje incidenata u informacionoj bezbednosti, ali mreže u SMB sektoru nisu tako jednostavne za korišćenje zbog nedostatka kvalifikovanog osoblja za ovako složen posao.

Ograničenja Honeypots i Honeynets rješenja

Zašto lonci i mreže nisu najbolja rješenja za suzbijanje napada danas? Treba napomenuti da napadi postaju sve veći, tehnički složeniji i sposobni da nanesu ozbiljnu štetu IT infrastrukturi organizacije, a sajber kriminal je dostigao potpuno drugačiji nivo i predstavlja visoko organizovane poslovne strukture u senci opremljene svim potrebnim resursima. Ovome se mora dodati i “ljudski faktor” (greške u softverskim i hardverskim postavkama, radnje insajdera, itd.), tako da korištenje samo tehnologije za sprječavanje napada trenutno više nije dovoljno.

U nastavku navodimo glavna ograničenja i nedostatke medenih posuda (mreža za med):

1. Honeypots su prvobitno razvijeni da identifikuju pretnje koje su izvan korporativne mreže, pre su namenjene za analizu ponašanja napadača i nisu dizajnirane da brzo reaguju na pretnje.

2. Napadači su, po pravilu, već naučili da prepoznaju emulirane sisteme i izbjegavaju honeypots.

3. Honeynets (honeypots) imaju izuzetno nizak nivo interaktivnosti i interakcije sa drugim sigurnosnim sistemima, zbog čega je korištenjem honeypota teško doći do detaljnih informacija o napadima i napadačima, a samim tim i efikasno i brzo reagirati na incidente sigurnosti informacija. . Štaviše, stručnjaci za informacijsku sigurnost primaju veliki broj lažnih upozorenja o prijetnjama.

4. U nekim slučajevima, hakeri mogu koristiti kompromitovani honeypot kao početnu tačku za nastavak napada na mrežu organizacije.

5. Često se javljaju problemi sa skalabilnošću honeypotova, velikim operativnim opterećenjem i konfiguracijom takvih sistema (zahtevaju visoko kvalifikovane stručnjake, nemaju pogodan interfejs za upravljanje itd.). Postoje velike poteškoće u implementaciji honeypota u specijalizovanim okruženjima kao što su IoT, POS, cloud sistemi, itd.

2. Tehnologija obmane: prednosti i osnovni principi rada

Proučavajući sve prednosti i nedostatke honeypots-a, dolazimo do zaključka da je potreban potpuno novi pristup u reagiranju na incidente sigurnosti informacija kako bi se razvio brz i adekvatan odgovor na akcije napadača. A takvo rješenje je tehnologija Cyber ​​obmana (sigurnosna obmana).

Terminologija „Sajber obmana“, „Sigurnosna obmana“, „Tehnologija obmane“, „Distribuirana platforma za obmanu“ (DDP) relativno je nova i pojavila se ne tako davno. U stvari, svi ovi termini znače upotrebu “tehnologija obmane” ili “tehnike za simulaciju IT infrastrukture i dezinformacije napadača”. Najjednostavnija rješenja Deception su razvoj ideje honeypots, samo na tehnološki naprednijoj razini, što podrazumijeva veću automatizaciju otkrivanja prijetnji i odgovora na njih. Međutim, na tržištu već postoje ozbiljna rješenja DDP klase koja se lako postavljaju i skaliraju, a imaju i ozbiljan arsenal „zamki“ i „mamca“ za napadače. Na primjer, Deception vam omogućava da emulirate objekte IT infrastrukture kao što su baze podataka, radne stanice, ruteri, prekidači, bankomati, serveri i SCADA, medicinska oprema i IoT.

Kako funkcioniše Distributed Deception Platform? Nakon implementacije DDP-a, IT infrastruktura organizacije će biti izgrađena kao iz dva sloja: prvi sloj je stvarna infrastruktura kompanije, a drugi je „emulirano“ okruženje koje se sastoji od mamaca i mamaca) koji se nalaze na stvarnim fizičkim mrežnim uređajima (vidi sliku 4).

Na primjer, napadač može otkriti lažne baze podataka sa „povjerljivim dokumentima“, lažne akreditive navodno „privilegiranih korisnika“ – sve su to mamci koji mogu zainteresirati prekršioce, čime će im skrenuti pažnju sa pravih informacijskih sredstava kompanije (vidi sliku 5).

DDP je novi proizvod na tržištu proizvoda za informacijsku sigurnost, ova rješenja su stara tek nekoliko godina i za sada ih samo korporativni sektor može priuštiti. Ali mala i srednja preduzeća će uskoro takođe moći da iskoriste Deception tako što će iznajmiti DDP od specijalizovanih provajdera „kao uslugu“. Ova opcija je još praktičnija jer nema potrebe za vlastitim visokokvalificiranim osobljem.

Glavne prednosti Deception tehnologije su prikazane u nastavku:

• Autentičnost (autentičnost). Deception tehnologija je sposobna da reprodukuje potpuno autentično IT okruženje kompanije, kvalitativno emulirajući operativne sisteme, IoT, POS, specijalizovane sisteme (medicinske, industrijske, itd.), usluge, aplikacije, akreditive itd. Mamci se pažljivo miješaju sa radnim okruženjem, a napadač ih neće moći identificirati kao mede.

• Implementacija. DDP-ovi koriste mašinsko učenje (ML) u svom radu. Uz pomoć ML-a osigurana je jednostavnost, fleksibilnost podešavanja i efikasnost implementacije Deceptiona. “Zamke” i “mamci” se ažuriraju vrlo brzo, mame napadača u “lažnu” IT infrastrukturu kompanije, a u međuvremenu, napredni sistemi analize zasnovani na umjetnoj inteligenciji mogu otkriti aktivne akcije hakera i spriječiti ih (npr. pokušaj pristupa lažnim nalozima zasnovanim na Active Directoryju).

• Jednostavnost rada. Moderne distribuirane platforme za prevaru jednostavne su za održavanje i upravljanje. Njima se obično upravlja putem lokalne konzole ili konzole u oblaku, sa mogućnostima integracije sa korporativnim SOC-om (Security Operations Center) preko API-ja i sa mnogim postojećim sigurnosnim kontrolama. Održavanje i rad DDP-a ne zahtijeva usluge visoko kvalifikovanih stručnjaka za sigurnost informacija.

• Skalabilnost. Sigurnosna obmana može se primijeniti u fizičkim, virtualnim i cloud okruženjima. DDP-ovi takođe uspešno rade sa specijalizovanim okruženjima kao što su IoT, ICS, POS, SWIFT, itd. Napredne Deception platforme mogu projektovati “tehnologije obmane” u udaljenim uredima i izoliranim okruženjima, bez potrebe za dodatnom potpunom implementacijom platforme.

• Interakcija. Koristeći moćne i atraktivne mamce koji su bazirani na stvarnim operativnim sistemima i pametno smješteni među stvarnu IT infrastrukturu, Deception platforma prikuplja opsežne informacije o napadaču. DDP tada osigurava da se upozorenja o prijetnjama prenesu, da se generišu izvještaji i da se automatski reaguje na incidente sigurnosti informacija.

• Početna tačka napada. U modernoj obmani, zamke i mamci se postavljaju unutar dometa mreže, a ne izvan nje (kao što je slučaj sa medom). Ovaj model implementacije mamca sprečava napadača da ih koristi kao tačku poluge za napad na stvarnu IT infrastrukturu kompanije. Naprednija rješenja klase Deception imaju mogućnosti usmjeravanja prometa, tako da sav promet napadača možete usmjeriti preko posebno namjenske veze. Ovo će vam omogućiti da analizirate aktivnost napadača bez rizika od vrijedne imovine kompanije.

• Uvjerljivost "tehnologija obmane". U početnoj fazi napada, napadači prikupljaju i analiziraju podatke o IT infrastrukturi, a zatim ih koriste za horizontalno kretanje kroz korporativnu mrežu. Uz pomoć „tehnologija obmane“, napadač će definitivno upasti u „zamke“ koje će ga odvesti od stvarne imovine organizacije. DDP će analizirati potencijalne puteve za pristup vjerodajnicama na korporativnoj mreži i obezbijediti napadaču „mete mamaca“ umjesto stvarnih vjerodajnica. Ove mogućnosti su jako nedostajale u honeypot tehnologijama. (Vidi sliku 6).

Deception VS Honeypot

I konačno, dolazimo do najzanimljivijeg trenutka našeg istraživanja. Pokušat ćemo istaknuti glavne razlike između Deception i Honeypot tehnologija. Uprkos nekim sličnostima, ove dvije tehnologije su i dalje veoma različite, od osnovne ideje do operativne efikasnosti.

1. Različite osnovne ideje. Kao što smo gore napisali, honeypots se instaliraju kao „mamci“ oko vrijedne imovine kompanije (izvan korporativne mreže), pokušavajući na taj način odvratiti pažnju napadača. Honeypot tehnologija se zasniva na razumijevanju infrastrukture organizacije, ali honeypots mogu postati polazna tačka za pokretanje napada na mrežu kompanije. Tehnologija obmane razvijena je uzimajući u obzir stajalište napadača i omogućava vam da identifikujete napad u ranoj fazi, tako da stručnjaci za sigurnost informacija dobijaju značajnu prednost u odnosu na napadače i dobijaju na vremenu.

2. "Atrakcija" VS "Zbuna". Prilikom korištenja meda, uspjeh ovisi o privlačenju pažnje napadača i daljem motiviranju da se pomaknu do cilja u honeypotu. To znači da napadač još uvijek mora doći do meda prije nego što ga možete zaustaviti. Dakle, prisustvo napadača na mreži može trajati nekoliko mjeseci ili više, što će dovesti do curenja podataka i oštećenja. DDP-ovi kvalitativno imitiraju stvarnu IT infrastrukturu kompanije; svrha njihove implementacije nije samo da privuku pažnju napadača, već da ga zbune tako da gubi vrijeme i resurse, ali ne dobije pristup stvarnoj imovini kompanije. kompanija.

3. “Ograničena skalabilnost” VS “automatska skalabilnost”. Kao što je ranije navedeno, honeypots i honeynets imaju problema sa skaliranjem. Ovo je teško i skupo, a da biste povećali broj honeypotova u korporativnom sistemu, moraćete da dodate nove računare, OS, kupite licence i dodelite IP. Osim toga, potrebno je imati i kvalifikovano osoblje za upravljanje takvim sistemima. Platforme za prevaru se automatski postavljaju kako se vaša infrastruktura povećava, bez značajnih troškova.

4. “Veliki broj lažno pozitivnih” VS “bez lažnih pozitivnih rezultata”. Suština problema je u tome što se čak i jednostavan korisnik može susresti sa medom, tako da je "mana" ove tehnologije veliki broj lažnih pozitivnih rezultata, što odvlači stručnjake za sigurnost informacija od njihovog posla. “Mamci” i “zamke” u DDP-u pažljivo su skriveni od prosječnog korisnika i dizajnirani su samo za napadača, tako da je svaki signal iz takvog sistema upozorenje o stvarnoj prijetnji, a ne lažno pozitivan.

zaključak

Po našem mišljenju, Deception tehnologija je ogroman napredak u odnosu na stariju Honeypots tehnologiju. U suštini, DDP je postao sveobuhvatna sigurnosna platforma koja je jednostavna za implementaciju i upravljanje.

Moderne platforme ove klase igraju važnu ulogu u preciznom otkrivanju i efikasnom reagovanju na mrežne pretnje, a njihova integracija sa ostalim komponentama bezbednosnog steka povećava nivo automatizacije, povećava efikasnost i efektivnost reagovanja na incidente. Deception platforme su zasnovane na autentičnosti, skalabilnosti, jednostavnosti upravljanja i integraciji sa drugim sistemima. Sve ovo daje značajnu prednost u brzini reagovanja na incidente informacione bezbednosti.

Takođe, na osnovu zapažanja pentestova kompanija u kojima je implementirana ili pilotirana platforma Xello Deception, možemo izvući zaključke da čak ni iskusni pentesteri često ne mogu prepoznati mamac u korporativnoj mreži i propadaju kada upadnu u postavljene zamke. Ova činjenica još jednom potvrđuje efikasnost Deceptiona i velike izglede koji se otvaraju ovoj tehnologiji u budućnosti.

Testiranje proizvoda

Ako ste zainteresovani za Deception platformu, onda smo spremni sprovesti zajedničko testiranje.

Pratite novosti na našim kanalima (telegram, Facebook, VK, TS Solution Blog)!

izvor: www.habr.com