ProHoster > Блог > Pagdumala > Honeypot vs Deception sa pananglitan sa Xello

Honeypot vs Deception sa pananglitan sa Xello

Honeypot vs Deception sa pananglitan sa Xello

Adunay daghang mga artikulo sa Habré bahin sa mga teknolohiya sa Honeypot ug Paglimbong (1 nga artikulo, 2 nga artikulo). Bisan pa, hangtod karon nag-atubang kami sa kakulang sa pagsabut sa kalainan tali sa kini nga mga klase sa mga himan sa pagpanalipod. Aron mahimo kini, ang among mga kauban gikan sa Hello Pangilad (ang una nga developer sa Russia Paglingla sa Platform) nakahukom sa paghulagway sa detalye sa mga kalainan, mga bentaha ug mga bahin sa arkitektura niini nga mga solusyon.

Atong mahibal-an kung unsa ang "mga honeypots" ug "mga limbong":

Ang "Mga teknolohiya sa paglimbong" (eng., Teknolohiya sa paglimbong) nagpakita sa merkado sa mga sistema sa seguridad sa impormasyon bag-o lang. Bisan pa, ang pipila ka mga eksperto nag-isip gihapon sa Security Deception nga mas advanced honeypots.

Niini nga artikulo, atong sulayan nga ipasiugda ang mga kaamgiran ug ang sukaranang mga kalainan tali niining duha ka solusyon. Sa una nga bahin, maghisgot kita bahin sa "honeypot", kung giunsa kini nga teknolohiya naugmad ug unsa ang mga bentaha ug disbentaha niini. Ug sa ikaduha nga bahin, kita magpuyo sa detalye sa mga prinsipyo sa operasyon sa mga plataporma alang sa paghimo sa usa ka-apod-apod nga panglimbong nga imprastraktura (Iningles, Distributed Deception Platform - DDP).

Ang sukaranan nga prinsipyo nga nagpailalom sa mga honeypots mao ang paghimo og mga lit-ag alang sa mga hacker. Ang labing una nga mga solusyon sa Paglimbong gihimo sa parehas nga prinsipyo. Apan, ang mga modernong DDP labi ka labaw sa mga honeypot, pareho sa mga termino sa ilang pag-andar ug kaepektibo. Ang mga plataporma sa paglimbong naglakip sa: mga lit-ag (Ingles, decoy, traps), paon (Ingles, paon), aplikasyon, datos, database, Active Directory. Makahatag ang mga modernong DDP og kusog nga kapabilidad alang sa pagtuki sa hulga, pagtuki sa pag-atake, ug automation sa pagtubag.

Busa, ang pagpanglimbong maoy mga teknik aron pagsundog sa imprastraktura sa IT sa usa ka negosyo ug pagpahisalaag sa mga hacker. Ingon usa ka sangputanan, ang ingon nga mga plataporma nagpaposible sa paghunong sa mga pag-atake sa wala pa magpahinabog daghang kadaot sa mga kabtangan sa kompanya. Ang mga honeypots, siyempre, wala'y ingon ka daghan nga mga gamit ug ingon nga lebel sa automation, mao nga ang ilang paggamit nanginahanglan dugang nga mga kwalipikasyon gikan sa mga empleyado sa mga departamento sa seguridad sa impormasyon.

1. Honeypots, Honeynets ug Sandboxing: unsa kini ug giunsa kini paggamit

Sa unang higayon, ang termino nga "honeypots" gigamit niadtong 1989 sa librong "The Cuckoo's Egg" ni Clifford Stoll, nga naghulagway sa mga panghitabo sa pagsubay sa usa ka hacker sa Lawrence Berkeley National Laboratory (USA). Kini nga ideya gipatuman sa 1999 ni Lance Spitzner, usa ka espesyalista sa seguridad sa impormasyon sa Sun Microsystems, nga nagtukod sa proyekto sa panukiduki sa Honeynet Project. Ang una nga mga honeypot kay kusog kaayo sa kahinguhaan, lisud ang pagpahimutang ug pagmentinar.

Atong tagdon sa mas detalyado kon unsa ang honeypots и mga pukot. Ang mga honeypots lahi nga mga host kansang katuyoan mao ang pagdani sa mga tig-atake nga mosulod sa network sa kompanya ug mosulay sa pagpangawat sa hinungdanon nga datos, ingon man sa pagpalapad sa sakup sa network. Ang Honeypot (literal nga gihubad nga "usa ka baril sa dugos") usa ka espesyal nga server nga adunay usa ka set sa lainlaing mga serbisyo sa network ug protocol sama sa HTTP, FTP, ug uban pa. (tan-awa ang fig. 1).

Honeypot vs Deception sa pananglitan sa Xello

Kung magkombinar ka ug daghan honeypots ngadto sa network, unya makakuha kita og mas episyente nga sistema dugos nga pukot, nga usa ka pagsundog sa corporate network sa usa ka kompanya (web server, file server, ug uban pang mga sangkap sa network). Kini nga solusyon nagtugot kanimo nga masabtan ang estratehiya sa mga tig-atake ug mapahisalaag sila. Ang usa ka tipikal nga honeynet, ingon nga usa ka lagda, nagdagan nga managsama sa network sa produksiyon ug hingpit nga independente niini. Ang ingon nga "network" mahimong ma-publish sa Internet pinaagi sa usa ka bulag nga channel, ug ang usa ka lahi nga mga IP address mahimo usab nga igahin alang niini (tan-awa ang Fig. 2).

Honeypot vs Deception sa pananglitan sa Xello

Ang punto sa paggamit sa usa ka honeynet mao ang pagpakita sa hacker nga siya giingong nakasulod sa corporate network sa organisasyon, sa pagkatinuod, ang tig-atake anaa sa usa ka "isolated environment" ug ubos sa suod nga pagdumala sa mga information security specialist (tan-awa ang Fig. 3) .

Honeypot vs Deception sa pananglitan sa Xello

Dinhi usab kinahanglan nga hisgutan ang ingon nga himan sama sa "kahon nga balas"(Iningles, sandbox) nga nagtugot sa mga tig-atake sa pag-install ug pagpadagan sa malware sa usa ka nahilit nga palibot diin ang mga propesyonal sa IT makamonitor sa ilang mga kalihokan aron mailhan ang mga potensyal nga peligro ug mahimo ang kinahanglan nga mga lakang. Sa pagkakaron, ang sandboxing kasagarang gipatuman sa mga dedikadong virtual machine sa usa ka virtual host. Bisan pa, kinahanglan nga matikdan nga ang sandboxing nagpakita lamang kung unsa ka delikado ug malisyoso nga mga programa ang naglihok, samtang ang honeynet nagtabang sa usa ka espesyalista sa pag-analisar sa kinaiya sa "peligro nga mga magdudula".

Ang klaro nga kaayohan sa mga honeynets mao nga sila nagpahisalaag sa mga tig-atake, nag-usik sa ilang kusog, kahinguhaan ug oras. Ingon usa ka sangputanan, imbis sa tinuud nga mga target, giatake nila ang mga bakak ug mahimong mohunong sa pag-atake sa network nga wala’y nahimo. Kasagaran, ang mga teknolohiya sa honeynet gigamit sa mga ahensya sa gobyerno ug dagkong mga korporasyon, mga organisasyon sa pinansya, tungod kay kini nga mga istruktura mao ang mga target sa mga dagkong pag-atake sa cyber. Bisan pa, ang gagmay ug medium nga mga negosyo (SMB) nanginahanglan usab epektibo nga mga himan aron mapugngan ang mga insidente sa seguridad sa kasayuran, apan ang mga honeynet sa sektor sa SMB dili kaayo dali gamiton, tungod sa kakulang sa mga kwalipikado nga kawani alang sa ingon nga komplikado nga trabaho.

Mga Limitasyon sa Honeypots ug Honeynets Solutions

Ngano nga ang mga honeypot ug honeynets ang labing kaayo nga solusyon sa pagpaminus sa pag-atake nga magamit karon? Kinahanglan nga matikdan nga ang mga pag-atake nahimong mas dako ug mas dako, teknikal nga komplikado ug makahimo sa pagpahinabog seryoso nga kadaot sa imprastraktura sa IT sa organisasyon, samtang ang cybercrime nakaabot sa usa ka hingpit nga lahi nga lebel ug usa ka organisado kaayo nga istruktura sa negosyo sa anino nga nasangkapan sa tanan nga gikinahanglan. kahinguhaan. Gidugang niini ang "human factor" (mga kasaypanan sa mga setting sa software ug hardware, mga aksyon sa sulod, ug uban pa), mao nga ang paggamit sa teknolohiya lamang aron mapugngan ang mga pag-atake dili na igo sa pagkakaron.

Sa ubos among gilista ang mga nag-unang limitasyon ug disbentaha sa mga honeypots (mga pukot):

  1. Ang mga honeypots orihinal nga gidisenyo aron mahibal-an ang mga hulga nga naa sa gawas sa corporate network, gituyo nga labi pa alang sa pag-analisar sa pamatasan sa mga nanghilabot ug wala gidisenyo aron dali nga pagtubag sa mga hulga.

  2. Ang mga malefactor, ingon nga usa ka lagda, nakakat-on na sa pag-ila sa gisundog nga mga sistema ug sa paglikay sa honeypots.

  3. Ang honeynets (honeypots) adunay usa ka hilabihan ka ubos nga lebel sa interaktibidad ug interaksyon sa ubang mga sistema sa seguridad, isip resulta niini, gamit ang mga honeypots, lisud ang pagkuha sa detalyadong impormasyon mahitungod sa mga pag-atake ug mga tig-atake, ug busa epektibo ug dali nga pagtubag sa mga insidente sa seguridad sa impormasyon. Dugang pa, ang mga espesyalista sa seguridad sa kasayuran nakadawat daghang daghang bakak nga mga alerto sa hulga.

  4. Sa pipila ka mga kaso, ang mga hacker mahimong mogamit sa usa ka nakompromiso nga honeypot isip usa ka punto sa pagsugod sa pagpadayon sa pag-atake sa network sa usa ka organisasyon.

  5. Kasagaran adunay mga problema sa scalability sa honeypots, taas nga operational load ug configuration sa maong mga sistema (nagkinahanglan sila og highly qualified nga mga espesyalista, walay kombenyente nga interface sa pagdumala, ug uban pa). Adunay daghang mga kalisud sa pag-deploy sa mga honeypot sa mga espesyal nga palibot sama sa IoT, POS, mga sistema sa panganod, ug uban pa.

2. Teknolohiya sa pagpanglimbong: mga bentaha ug sukaranang mga prinsipyo sa operasyon

Natun-an ang tanan nga mga bentaha ug mga disbentaha sa mga honeypots, nakahinapos kami nga ang usa ka hingpit nga bag-ong pamaagi sa pagtubag sa mga insidente sa seguridad sa impormasyon gikinahanglan aron makahimo og usa ka dali ug igong tubag sa mga aksyon sa mga tig-atake. Ug kana nga solusyon mao ang teknolohiya. Cyber ​​​​deception (Paglimbong sa seguridad).

Ang terminolohiya nga "Cyber ​​​​deception", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) medyo bag-o ug nagpakita dili pa lang dugay. Sa tinuud, kining tanan nga mga termino nagpasabut sa paggamit sa "mga teknolohiya sa paglimbong" o "mga pamaagi sa pagsundog sa imprastraktura sa IT ug pagpahibalo sa mga tig-atake." Ang pinakayano nga mga solusyon sa Paglimbong mao ang pag-uswag sa mga ideya sa honeypots, sa mas taas nga lebel sa teknolohiya, nga naglakip sa dugang nga automation sa pagtuki sa hulga ug pagtubag. Bisan pa, aduna na'y seryoso nga DDP-class nga mga solusyon sa merkado nga nagtanyag sa kasayon ​​sa pag-deploy ug scalability, ingon man usa ka seryoso nga arsenal sa "mga lit-ag" ug "mga paon" alang sa mga tig-atake. Pananglitan, ang Paglimbong nagtugot kanimo sa pagsundog sa mga butang sa imprastraktura sa IT sama sa mga database, workstation, router, switch, ATM, server ug SCADA, medikal nga kagamitan ug IoT.

Giunsa nga nagtrabaho ang Distributed Deception Platform? Human sa pagpadala sa DDP, ang IT nga imprastraktura sa organisasyon pagatukuron nga daw gikan sa duha ka mga lut-od: ang unang layer mao ang tinuod nga imprastraktura sa kompanya, ug ang ikaduha mao ang usa ka "emulated" nga palibot nga naglangkob sa mga lit-ag (English, decoys, traps. ) ug mga paon (Iningles, paon), nga nahimutang sa tinuod nga pisikal nga mga himan sa network (tan-awa ang Figure 4).

Honeypot vs Deception sa pananglitan sa Xello

Pananglitan, ang usa ka tig-atake makamatikod sa bakak nga mga database nga adunay "kompidensyal nga mga dokumento", bakak nga mga kredensyal sa kuno "pribilehiyo nga mga tiggamit" - kining tanan mga bakak nga mga tumong, mahimo silang makapainteres sa mga manunulong, sa ingon makalingi sa ilang pagtagad gikan sa tinuod nga impormasyon nga mga kabtangan sa kompanya (tan-awa ang Figure 5) .

Honeypot vs Deception sa pananglitan sa Xello

Ang DDP usa ka bag-o sa merkado sa mga produkto sa seguridad sa kasayuran, kini nga mga solusyon pipila ra ka tuig ang edad ug hangtod karon ang sektor sa korporasyon lamang ang makakaya niini. Apan ang mga SMB sa dili madugay makahimo usab sa pagpahimulos sa Pangilad pinaagi sa pag-abang sa mga DDP gikan sa mga espesyalista nga tighatag ingon usa ka serbisyo. Kini nga kapilian labi ka kombenyente, tungod kay wala’y kinahanglan alang sa among kaugalingon nga kuwalipikado kaayo nga mga kawani.

Ang mga nag-unang bentaha sa teknolohiya sa Paglimbong gipakita sa ubos:

  • Pagkatinuod (authenticity). Ang teknolohiya sa paglimbong makahimo sa pag-usab sa usa ka hingpit nga tinuod nga IT nga palibot sa usa ka kompanya, nga nagsundog sa mga operating system, IoT, POS, mga espesyal nga sistema (medikal, industriyal, ug uban pa), mga serbisyo, aplikasyon, kredensyal, ug uban pa nga adunay taas nga kalidad. Ang mga lit-ag (decoys) maampingong gisagol sa palibot sa produksiyon, ug ang usa ka tig-atake dili makaila niini nga mga honeypot.

  • Pagpatuman. Ang mga DDP naggamit sa machine learning (ML) sa ilang trabaho. Sa tabang sa ML, ang kayano, pagka-flexible sa mga setting ug pagka-epektibo sa pagpatuman sa Paglimbong gisiguro. Ang "mga lit-ag" ug "paon" dali kaayo nga gi-update, nga naglambigit sa usa ka tig-atake sa "bakak" nga imprastraktura sa IT sa kompanya, ug sa kasamtangan, ang mga advanced nga sistema sa pag-analisar base sa artipisyal nga paniktik makamatikod sa mga aktibong aksyon sa mga hacker ug makapugong kanila (pananglitan , usa ka pagsulay sa pag-access sa Active Directory base sa malimbongon nga mga account).

  • Sayon nga operasyon. Ang modernong "Distributed Deception Platform" dali nga mamentinar ug madumala. Ingon sa usa ka lagda, sila gidumala pinaagi sa usa ka lokal o cloud console, adunay mga oportunidad alang sa pag-integrate sa corporate SOC (Security Operations Center) pinaagi sa API ug uban sa daghang anaa nga mga kontrol sa seguridad. Alang sa pagpadayon ug operasyon sa DDP, ang mga serbisyo sa mga kwalipikado nga eksperto sa seguridad sa kasayuran wala kinahanglana.

  • Scalability. Ang paglimbong sa seguridad mahimong ma-deploy sa pisikal, virtual ug panganod nga palibot. Ang mga DDP malampuson usab nga nagtrabaho sa mga espesyal nga palibot sama sa IoT, ICS, POS, SWIFT, ug uban pa. Ang mga plataporma sa Advanced nga Paglimbong mahimong magproyekto sa "mga teknolohiya sa pagpanglimbong" ngadto sa hilit nga mga opisina, hilit nga mga palibot, nga walay panginahanglan alang sa dugang nga bug-os nga pag-deploy sa plataporma.

  • Pag-interaksyon. Gamit ang epektibo ug madanihon nga mga decoy nga gibase sa tinuod nga OS ug maalamon nga gibutang taliwala sa tinuod nga imprastraktura sa IT, ang Deception nga plataporma nagkolekta ug daghang impormasyon bahin sa tig-atake. Ang DDP dayon naghatag ug mga alerto sa hulga, namugna ang mga taho, ug ang awtomatikong pagtubag sa mga insidente sa seguridad sa impormasyon mahitabo.

  • Pagsugod nga punto sa pag-atake. Sa modernong Paglimbong, ang mga lit-ag ug mga paon gibutang sa sulod sa hanay sa network, ug dili sa gawas niini (sama sa kaso sa mga honeypots). Kini nga modelo sa pag-deploy sa mga lit-ag nagpugong sa usa ka tig-atake sa paggamit niini isip base sa pag-atake sa tinuod nga imprastraktura sa IT sa usa ka kompanya. Sa mas abante nga mga solusyon sa klase sa Paglimbong, adunay mga kapabilidad sa pag-ruta sa trapiko, aron madirekta nimo ang tanan nga trapiko sa pag-atake pinaagi sa usa ka gipahinungod nga koneksyon. Makatugot kini kanimo sa pag-analisar sa kalihokan sa mga manunulong nga wala’y peligro nga hinungdanon nga mga kabtangan sa kompanya.

  • Ang pagkamadanihon sa "mga teknolohiya sa pagpanglimbong". Sa inisyal nga yugto sa pag-atake, ang mga tig-atake nagkolekta ug nag-analisar sa mga datos mahitungod sa imprastraktura sa IT, dayon gigamit kini sa paglihok nga pahalang pinaagi sa corporate network. Sa tabang sa "mga teknolohiya sa pagpanglimbong", ang tig-atake siguradong mahulog sa "mga lit-ag" nga magdala kaniya palayo sa tinuod nga mga kabtangan sa organisasyon. Pag-analisar sa DDP ang mga potensyal nga agianan sa pag-access sa kredensyal sa network sa korporasyon ug hatagan ang tig-atake sa "bakak nga mga target" imbes nga tinuod nga mga kredensyal. Kini nga mga kapabilidad kulang kaayo sa mga teknolohiya sa honeypot. (Tan-awa ang fig. 6).

Honeypot vs Deception sa pananglitan sa Xello

Panglimbong VS Honeypot

Ug sa katapusan, moabut kami sa labing makapaikag nga punto sa among pagtuon. Atong sulayan nga ipasiugda ang mga nag-unang kalainan tali sa mga teknolohiya sa Paglimbong ug Honeypot. Bisan pa sa pipila ka mga kaamgiran, bisan pa, kini nga duha ka mga teknolohiya lahi kaayo, gikan sa sukaranan nga ideya hangtod sa kaepektibo sa trabaho.

  1. Nagkalainlain nga sukaranan nga mga ideya. Sama sa among gisulat sa ibabaw, ang mga honeypots gi-install isip "mga paon" sa palibot sa mga bililhong kabtangan sa kompanya (sa gawas sa corporate network), sa ingon naningkamot nga makabalda sa mga manunulong. Samtang ang teknolohiya sa honeypot gibase sa usa ka pagsabut sa imprastraktura sa usa ka organisasyon, ang mga honeypot mahimong usa ka punto sa pagsugod sa pag-atake sa network sa usa ka kompanya. Ang teknolohiya sa paglimbong gipalambo nga gikonsiderar ang punto sa panglantaw sa tig-atake ug gitugotan ka nga mahibal-an ang usa ka pag-atake sa sayo nga yugto, sa ingon, ang mga espesyalista sa seguridad sa kasayuran nakakuha usa ka hinungdanon nga bentaha sa mga tig-atake ug nakakuha oras.

  2. "Atraksyon" VS "Entanglement". Kung gigamit ang mga honeypot, ang kalampusan nagdepende sa pagdani sa atensyon sa mga nag-atake ug dugang nga pagdasig kanila sa pagpadayon sa target sa honeypot. Kini nagpasabot nga ang tig-atake kinahanglan pa nga moadto sa honeypot sa dili pa nimo siya mapugngan. Sa ingon, ang presensya sa mga nanghilabot sa network mahimong molungtad sa daghang mga bulan o daghan pa, ug kini modala sa pagtulo sa datos ug kadaot. Ang DDP qualitatively nagsundog sa tinuod nga IT nga imprastraktura sa kompanya, ang katuyoan sa ilang pagpatuman dili lang aron madani ang atensyon sa usa ka tig-atake, apan aron malibog siya aron siya mag-usik sa oras ug mga kahinguhaan, apan dili maka-access sa tinuud nga mga kabtangan sa kompanya.

  3. "limitado nga scalability" VS "awtomatikong scalability". Sama sa nahisgotan na, ang mga honeypot ug honeynets adunay mga isyu sa scaling. Lisud ug mahal, ug aron madugangan ang gidaghanon sa mga honeypot sa usa ka sistema sa korporasyon, kinahanglan nimo nga idugang ang mga bag-ong kompyuter, OS, pagpalit mga lisensya, paggahin sa IP. Dugang pa, kinahanglan usab nga adunay mga kwalipikado nga kawani sa pagdumala sa ingon nga mga sistema. Ang mga plataporma sa paglimbong awtomatik nga gipakatap isip mga timbangan sa imprastraktura, nga walay mahinungdanong overhead.

  4. "Taas nga gidaghanon sa mga bakak nga positibo" VS "walay bakak nga mga positibo". Ang esensya sa problema mao nga bisan ang usa ka yano nga tiggamit mahimo’g makasugat sa usa ka honeypot, mao nga ang "reverse side" sa kini nga teknolohiya usa ka daghang mga sayup nga positibo, nga makabalda sa mga espesyalista sa seguridad sa impormasyon gikan sa trabaho. Ang "mga paon" ug "mga lit-ag" sa DDP maampingong gitago gikan sa kasagaran nga tiggamit ug gidisenyo lamang alang sa usa ka tig-atake, mao nga ang matag signal gikan sa maong sistema usa ka alerto mahitungod sa usa ka tinuod nga hulga, ug dili usa ka bakak nga positibo.

konklusyon

Sa among opinyon, ang teknolohiya sa Paglimbong usa ka dako nga pag-uswag sa mas karaan nga teknolohiya sa Honeypots. Sa esensya, ang DDP nahimo nga usa ka komprehensibo nga plataporma sa seguridad nga dali i-deploy ug madumala.

Ang mga modernong plataporma niini nga klase adunay importante nga papel sa tukma nga pag-ila ug epektibo nga pagtubag sa mga hulga sa network, ug ang ilang paghiusa sa ubang mga sangkap sa security stack nagdugang sa lebel sa automation, nagdugang sa kaepektibo ug pagka-epektibo sa pagtubag sa insidente. Ang mga plataporma sa pagpanglimbong gibase sa pagkatinuod, scalability, kasayon ​​sa pagdumala ug paghiusa sa ubang mga sistema. Kining tanan naghatag ug dakong bentaha sa katulin sa pagtubag sa mga insidente sa seguridad sa impormasyon.

Usab, base sa mga obserbasyon sa mga pentest sa mga kompaniya diin ang Xello Deception nga plataporma gipatuman o gi-pilot, makahinapos kita nga bisan ang mga eksperyensiyado nga mga pentesters kasagaran dili makaila sa mga paon sa corporate network ug mapakyas, nahulog sa mga lit-ag. Kini nga kamatuoran sa makausa pa nagpamatuod sa pagka-epektibo sa Paglingla ug sa dagkong mga palaaboton nga nagbukas alang niini nga teknolohiya sa umaabot.

Pagsulay sa produkto

Kung interesado ka sa platform Paglimbong, nan andam kami pagpahigayon og joint testing.

Pagbantay alang sa mga update sa among mga channel (telegramaFacebookVKTS Solution Blog)!

Source: www.habr.com

Idugang sa usa ka comment