Honeypot vs Deception amb l'exemple de Xello

Ja hi ha diversos articles sobre Habré sobre les tecnologies Honeypot i Deception (1 article, 2 article). Tanmateix, encara ens trobem davant d'una manca de comprensió de la diferència entre aquestes classes d'equips de protecció. Per això, els nostres companys de Hola Engany (primer desenvolupador rus Engany de la plataforma) va decidir descriure amb detall les diferències, avantatges i característiques arquitectòniques d'aquestes solucions.

Anem a esbrinar què són "honeypots" i "enganys":

Les "tecnologies de l'engany" van aparèixer al mercat dels sistemes de seguretat de la informació relativament recentment. No obstant això, alguns experts encara consideren que l'engany de seguretat és només més avançats.

En aquest article intentarem destacar tant les semblances com les diferències fonamentals entre aquestes dues solucions. A la primera part, parlarem de honeypot, com es va desenvolupar aquesta tecnologia i quins són els seus avantatges i inconvenients. I en la segona part, ens detenem amb detall en els principis de funcionament de les plataformes per a la creació d'una infraestructura distribuïda de señus (anglès, Distributed Deception Platform - DDP).

El principi bàsic subjacent als honeypots és crear trampes per als pirates informàtics. Les primeres solucions d'engany es van desenvolupar amb el mateix principi. Però els DDP moderns són significativament superiors als honeypots, tant en funcionalitat com en eficiència. Les plataformes d'engany inclouen: esquers, trampes, esquers, aplicacions, dades, bases de dades, Active Directory. Els DDP moderns poden proporcionar potents capacitats per a la detecció d'amenaces, l'anàlisi d'atacs i l'automatització de la resposta.

Per tant, l'engany és una tècnica per simular la infraestructura informàtica d'una empresa i enganyar els pirates informàtics. Com a resultat, aquestes plataformes permeten aturar els atacs abans de causar danys importants als actius de l'empresa. Els Honeypots, per descomptat, no tenen una funcionalitat tan àmplia i un nivell d'automatització tan elevat, de manera que el seu ús requereix més qualificacions dels empleats dels departaments de seguretat de la informació.

1. Honeypots, Honeynets i Sandboxing: què són i com s'utilitzen

El terme "honeypots" es va utilitzar per primera vegada l'any 1989 al llibre de Clifford Stoll "The Cuckoo's Egg", que descriu els esdeveniments de la recerca d'un pirata informàtic al Laboratori Nacional Lawrence Berkeley (EUA). Aquesta idea va ser posada en pràctica l'any 1999 per Lance Spitzner, especialista en seguretat de la informació de Sun Microsystems, que va fundar el projecte de recerca Honeynet Project. Els primers pots de mel eren molt intensius en recursos, difícils de muntar i mantenir.

Mirem més de prop què és honeypots и xarxes de mel. Els honeypots són amfitrions individuals el propòsit dels quals és atraure atacants perquè penetrin a la xarxa d'una empresa i intentin robar dades valuoses, així com ampliar l'àrea de cobertura de la xarxa. Honeypot (traduït literalment com "barril de mel") és un servidor especial amb un conjunt de diversos serveis i protocols de xarxa, com ara HTTP, FTP, etc. (vegeu la figura 1).

Si en combineu diverses honeypots a la xarxa, llavors obtindrem un sistema més eficient xarxa de mel, que és una emulació de la xarxa corporativa d'una empresa (servidor web, servidor de fitxers i altres components de xarxa). Aquesta solució permet entendre l'estratègia dels atacants i enganyar-los. Una xarxa de mel típica, per regla general, funciona en paral·lel amb la xarxa de treball i és completament independent d'ella. Aquesta "xarxa" es pot publicar a Internet a través d'un canal independent, també es pot assignar un rang separat d'adreces IP (vegeu la figura 2).

L'objectiu d'utilitzar honeynet és mostrar al pirata informàtic que suposadament ha penetrat a la xarxa corporativa de l'organització; de fet, l'atacant es troba en un "entorn aïllat" i sota l'estreta supervisió d'especialistes en seguretat de la informació (vegeu la figura 3).

Aquí també hem d'esmentar una eina com "caixa de sorra"(anglès, sorral), que permet als atacants instal·lar i executar programari maliciós en un entorn aïllat on TI pot supervisar les seves activitats per identificar riscos potencials i prendre les contramesures adequades. Actualment, el sandboxing s'implementa normalment en màquines virtuals dedicades en un host virtual. Tanmateix, cal tenir en compte que el sandboxing només mostra com es comporten els programes perillosos i maliciosos, mentre que honeynet ajuda un especialista a analitzar el comportament dels "jugadors perillosos".

El benefici evident de les xarxes de mel és que enganyen els atacants, malgastant la seva energia, recursos i temps. Com a resultat, en lloc d'objectius reals, ataquen els falsos i poden deixar d'atacar la xarxa sense aconseguir res. Molt sovint, les tecnologies honeynets s'utilitzen en agències governamentals i grans corporacions, organitzacions financeres, ja que aquestes són les estructures que resulten ser objectiu d'atacs cibernètics importants. Tanmateix, les petites i mitjanes empreses (pimes) també necessiten eines efectives per prevenir incidents de seguretat de la informació, però les honeynets del sector de les pimes no són tan fàcils d'utilitzar a causa de la manca de personal qualificat per a un treball tan complex.

Limitacions de les solucions Honeypots i Honeynets

Per què els honeypots i honeynets no són les millors solucions per contrarestar els atacs actuals? Cal tenir en compte que els atacs són cada cop més a gran escala, tècnicament complexos i capaços de causar danys greus a la infraestructura informàtica d'una organització, i la ciberdelinqüència ha arribat a un nivell completament diferent i representa estructures empresarials a l'ombra altament organitzades i dotades de tots els recursos necessaris. A això cal afegir-hi el “factor humà” (errors en la configuració del programari i maquinari, accions dels insiders, etc.), per la qual cosa ja no n'hi ha prou amb utilitzar només tecnologia per prevenir atacs de moment.

A continuació enumerem les principals limitacions i desavantatges dels honeypots (honeynets):

1. Honeypots es van desenvolupar originalment per identificar amenaces que es troben fora de la xarxa corporativa, tenen com a objectiu analitzar el comportament dels atacants i no estan dissenyats per respondre ràpidament a les amenaces.

2. Els atacants, per regla general, ja han après a reconèixer sistemes emulats i a evitar els honeypots.

3. Honeynets (honeypots) tenen un nivell extremadament baix d'interactivitat i interacció amb altres sistemes de seguretat, com a conseqüència de la qual cosa, utilitzant honeypots, és difícil obtenir informació detallada sobre atacs i atacants i, per tant, respondre de manera eficaç i ràpida als incidents de seguretat de la informació. . A més, els especialistes en seguretat de la informació reben un gran nombre d'alertes d'amenaces falses.

4. En alguns casos, els pirates informàtics poden utilitzar un honeypot compromès com a punt de partida per continuar el seu atac a la xarxa d'una organització.

5. Sovint sorgeixen problemes amb l'escalabilitat dels honeypots, l'alta càrrega operativa i la configuració d'aquests sistemes (requereixen especialistes altament qualificats, no tenen una interfície de gestió convenient, etc.). Hi ha grans dificultats per desplegar honeypots en entorns especialitzats com IoT, TPV, sistemes de núvol, etc.

2. Tecnologia de l'engany: avantatges i principis bàsics de funcionament

Després d'estudiar tots els avantatges i desavantatges dels honeypots, arribem a la conclusió que cal un enfocament completament nou per respondre als incidents de seguretat de la informació per tal de desenvolupar una resposta ràpida i adequada a les accions dels atacants. I aquesta solució és la tecnologia Cyber ​​​​deception (engany de seguretat).

La terminologia "ciberengany", "engany de seguretat", "tecnologia de l'engany", "plataforma d'engany distribuït" (DDP) és relativament nova i va aparèixer no fa gaire. De fet, tots aquests termes signifiquen l'ús de "tecnologies d'engany" o "tècniques per simular la infraestructura informàtica i la desinformació dels atacants". Les solucions de Deception més senzilles són un desenvolupament de les idees dels honeypots, només a un nivell tecnològicament més avançat, que implica una major automatització de la detecció d'amenaces i resposta a les mateixes. Tanmateix, ja hi ha solucions serioses de classe DDP al mercat que són fàcils de desplegar i escalar, i també tenen un seriós arsenal de "trampes" i "esquers" per als atacants. Per exemple, Deception us permet emular objectes d'infraestructura informàtica com ara bases de dades, estacions de treball, encaminadors, commutadors, caixers automàtics, servidors i SCADA, equips mèdics i IoT.

Com funciona la plataforma d'engany distribuït? Un cop desplegat el DDP, la infraestructura informàtica de l'organització es construirà com a partir de dues capes: la primera capa és la infraestructura real de l'empresa, i la segona és un entorn "emulat" format per esquers i esquers), que es troben localitzats. en dispositius de xarxa físics reals (vegeu la figura 4).

Per exemple, un atacant pot descobrir bases de dades falses amb "documents confidencials", credencials falses de suposadament "usuaris privilegiats"; tot això són señus que poden interessar als infractors, desviant així la seva atenció dels veritables actius d'informació de l'empresa (vegeu la figura 5).

DDP és un producte nou en el mercat de productes de seguretat de la informació; aquestes solucions només tenen uns anys d'antiguitat i fins ara només el sector corporatiu les pot permetre. Però aviat les petites i mitjanes empreses també podran aprofitar-se de Deception llogant DDP a proveïdors especialitzats "com a servei". Aquesta opció és encara més convenient, ja que no cal disposar de personal altament qualificat.

Els principals avantatges de la tecnologia Deception es mostren a continuació:

• Autenticitat (autenticitat). La tecnologia decepció és capaç de reproduir un entorn informàtic completament autèntic d'una empresa, emulant qualitativament sistemes operatius, IoT, TPV, sistemes especialitzats (mèdics, industrials, etc.), serveis, aplicacions, credencials, etc. Els señus es barregen amb cura amb l'entorn de treball i un atacant no podrà identificar-los com a honeypots.

• Implementació. Els DDP utilitzen l'aprenentatge automàtic (ML) en la seva feina. Amb l'ajuda de ML, es garanteix la simplicitat, la flexibilitat en la configuració i l'eficiència de la implementació de Deception. Les "trampes" i els "señus" s'actualitzen molt ràpidament, atraient un atacant a la "falsa" infraestructura informàtica de l'empresa i, mentrestant, els sistemes d'anàlisi avançats basats en intel·ligència artificial poden detectar accions actives dels pirates informàtics i prevenir-les (per exemple, un intentar accedir a comptes fraudulents basats en Active Directory).

• Facilitat de funcionament. Les plataformes modernes d'engany distribuït són fàcils de mantenir i gestionar. Normalment es gestionen mitjançant una consola local o al núvol, amb capacitats d'integració amb el SOC corporatiu (Centre d'operacions de seguretat) mitjançant API i amb molts controls de seguretat existents. El manteniment i funcionament de DDP no requereix els serveis d'experts en seguretat de la informació altament qualificats.

• Escalabilitat. L'engany de seguretat es pot desplegar en entorns físics, virtuals i en núvol. Els DDP també funcionen amb èxit amb entorns especialitzats com ara IoT, ICS, POS, SWIFT, etc. Les plataformes d'engany avançat poden projectar "tecnologies d'engany" a oficines remotes i entorns aïllats, sense necessitat d'un desplegament complet de la plataforma addicional.

• Interacció. Utilitzant señus potents i atractius que es basen en sistemes operatius reals i col·locats intel·ligentment entre una infraestructura informàtica real, la plataforma Deception recull una àmplia informació sobre l'atacant. Aleshores, DDP assegura que es transmeten alertes d'amenaça, es generen informes i es respon automàticament als incidents de seguretat de la informació.

• Punt inicial de l'atac. A l'engany modern, les trampes i els esquers es col·loquen dins del rang de la xarxa, en lloc de fora d'ella (com és el cas dels honeypots). Aquest model de desplegament de señus evita que un atacant els utilitzi com a punt de palanquejament per atacar la infraestructura informàtica real de l'empresa. Les solucions més avançades de la classe Deception tenen capacitats d'encaminament del trànsit, de manera que podeu dirigir tot el trànsit dels atacants mitjançant una connexió especialment dedicada. Això us permetrà analitzar l'activitat dels atacants sense arriscar els actius valuosos de l'empresa.

• La persuasivitat de les "tecnologies de l'engany". En l'etapa inicial de l'atac, els atacants recullen i analitzen dades sobre la infraestructura de TI i després les utilitzen per moure's horitzontalment per la xarxa corporativa. Amb l'ajuda de "tecnologies d'engany", l'atacant caurà definitivament en "paranys" que l'allunyaran dels actius reals de l'organització. DDP analitzarà els camins potencials per accedir a les credencials d'una xarxa corporativa i proporcionarà a l'atacant "objectius seductors" en lloc de credencials reals. Aquestes capacitats eren molt mancades a les tecnologies de pot de mel. (Vegeu la figura 6).

Engany VS Honeypot

I finalment, arribem al moment més interessant de la nostra recerca. Intentarem destacar les principals diferències entre les tecnologies Deception i Honeypot. Malgrat algunes similituds, aquestes dues tecnologies encara són molt diferents, des de la idea fonamental fins a l'eficiència operativa.

1. Diferents idees bàsiques. Com hem escrit anteriorment, els honeypots s'instal·len com a "señuelos" al voltant dels actius valuosos de l'empresa (fora de la xarxa corporativa), intentant així distreure els atacants. La tecnologia Honeypot es basa en la comprensió de la infraestructura d'una organització, però els honeypots poden esdevenir un punt de partida per llançar un atac a la xarxa d'una empresa. La tecnologia de l'engany es desenvolupa tenint en compte el punt de vista de l'atacant i permet identificar un atac en una fase inicial, per tant, els especialistes en seguretat de la informació obtenen un avantatge significatiu sobre els atacants i guanyen temps.

2. "Atracció" VS "Confusió". Quan utilitzeu honeypots, l'èxit depèn d'atreure l'atenció dels atacants i motivar-los encara més perquè es moguin a l'objectiu del honeypot. Això vol dir que l'atacant encara ha d'arribar al pot de mel abans que puguis aturar-lo. Així, la presència d'atacants a la xarxa pot durar uns quants mesos o més, i això provocarà fuites de dades i danys. Els DDP imiten qualitativament la infraestructura informàtica real d'una empresa; el propòsit de la seva implementació no és només cridar l'atenció d'un atacant, sinó confondre'l perquè perdi temps i recursos, però no tingui accés als actius reals de l'atacant. empresa.

3. "Escalabilitat limitada" VS "escalabilitat automàtica". Com s'ha indicat anteriorment, els honeypots i honeynets tenen problemes d'escala. Això és difícil i costós, i per augmentar el nombre de honeypots en un sistema corporatiu, haureu d'afegir nous ordinadors, SO, comprar llicències i assignar IP. A més, també és necessari disposar de personal qualificat per gestionar aquests sistemes. Les plataformes d'engany es despleguen automàticament a mesura que la vostra infraestructura s'escala, sense despeses generals importants.

4. "Un gran nombre de falsos positius" VS "cap falsos positius". L'essència del problema és que fins i tot un simple usuari pot trobar-se amb un honeypot, de manera que el "inconvenient" d'aquesta tecnologia és un gran nombre de falsos positius, que distreuen els especialistes en seguretat de la informació del seu treball. Els "esquers" i les "trampes" a DDP s'oculten acuradament per a l'usuari mitjà i estan dissenyats només per a un atacant, de manera que cada senyal d'aquest sistema és una notificació d'una amenaça real i no un fals positiu.

Conclusió

Segons la nostra opinió, la tecnologia Deception és una gran millora respecte a l'antiga tecnologia Honeypots. En essència, DDP s'ha convertit en una plataforma de seguretat completa que és fàcil de desplegar i gestionar.

Les plataformes modernes d'aquesta classe tenen un paper important a l'hora de detectar amb precisió i respondre eficaçment a les amenaces de la xarxa, i la seva integració amb altres components de la pila de seguretat augmenta el nivell d'automatització, augmenta l'eficiència i l'eficàcia de la resposta a incidents. Les plataformes d'engany es basen en l'autenticitat, l'escalabilitat, la facilitat de gestió i la integració amb altres sistemes. Tot això aporta un avantatge important en la rapidesa de resposta als incidents de seguretat de la informació.

Així mateix, a partir d'observacions de pentests d'empreses on es va implementar o pilotar la plataforma Xello Deception, podem treure conclusions que fins i tot els pentesters experimentats sovint no poden reconèixer l'esquer a la xarxa corporativa i fracassen quan cauen en les trampes posades. Aquest fet confirma una vegada més l'eficàcia de Deception i les grans perspectives que s'obren per a aquesta tecnologia en el futur.

Prova de producte

Si esteu interessats en la plataforma Deception, estem preparats realitzar proves conjuntes.

Estigueu atents a les novetats als nostres canals (telegram, Facebook, VK, Bloc de solucions TS)!

Font: www.habr.com