ProHoster > Blog > Amministrazione > Honeypot vs Deception nantu à l'esempiu di Xello

Honeypot vs Deception nantu à l'esempiu di Xello

Honeypot vs Deception nantu à l'esempiu di Xello

Ci sò digià parechji articuli nantu à Habré nantu à e tecnulugia Honeypot è Deception (1 articulu, 2 articulu). In ogni casu, finu à avà avemu affruntatu cù una mancanza di capiscitura di a diffarenza trà sti classi di strumenti di prutezzione. Per fà questu, i nostri culleghi da Ciao Deception (u primu sviluppatore russu Ingannamentu di a piattaforma) hà decisu di descriverà in dettaglio e sferenze, i vantaghji è e caratteristiche architettoniche di sti suluzioni.

Scuprite ciò chì sò "honeypots" è "inganni":

"Tecnulugie di l'ingannimentu" (ing., Tecnulugia di l'ingannimentu) apparsu in u mercatu di sistemi di sicurità di l'infurmazioni pocu pocu pocu tempu. Tuttavia, certi sperti anu sempre cunsiderate chì l'ingannimentu di sicurezza hè solu più avanzati.

In questu articulu, avemu da pruvà à mette in risaltu sia e similitudini è e differenzi fundamentali trà sti dui suluzioni. In a prima parte, parlemu di u "honeypot", cumu sta tecnulugia hà sviluppatu è quali sò i so vantaghji è i disadvantages. È in a secunna parte, stendemu in dettagliu nantu à i principii di funziunamentu di e plataforme per creà una infrastruttura di ingannu distribuitu (Inglese, Distributed Deception Platform - DDP).

U principiu di basa daretu à i honeypots hè di creà trappule per i pirate. I primi suluzioni Deception sò stati sviluppati nantu à u listessu principiu. Ma, i DDP muderni sò significativamente superiore à i honeypots, in quantu à a so funziunalità è efficienza. Piattaforme di deception include: trappule (inglese, decoys, traps), lures (inglese, lures), appiicazioni, dati, basa di dati, Active Directory. I DDP muderni ponu furnisce capacità putenti per a rilevazione di minacce, l'analisi di l'attaccu è l'automatizazione di risposta.

Cusì, Deception sò tecniche per imità l'infrastruttura IT di una impresa è ingannà i pirate. In u risultatu, tali piattaforme permettenu di piantà l'attacchi prima di causà danni significativi à l'assi di a cumpagnia. Honeypots, sicuru, ùn anu micca una larga gamma di funziunalità è un tali livellu d'automatizazione, cusì u so usu richiede più qualificazioni da l'impiegati di i dipartimenti di sicurità di l'infurmazioni.

1. Honeypots, Honeynets è Sandboxing: ciò chì hè è cumu si applica

Per a prima volta, u terminu "honeypots" hè statu utilizatu in u 1989 in u libru "L'ovu di u cuccu" di Clifford Stoll, chì descrive l'avvenimenti di seguità un pirate in u Laboratoriu Naziunale di Lawrence Berkeley (USA). Questa idea hè stata messa in pratica in u 1999 da Lance Spitzner, un specialista di sicurezza di l'infurmazioni in Sun Microsystems, chì hà fundatu u prughjettu di ricerca Honeynet Project. I primi honeypots eranu assai risorsi intensivi, difficiuli di stallà è mantene.

Cunsideremu in più detail ciò chì hè miele и reti di miele. Honeypots sò ospiti separati chì u scopu hè di attruisce l'attaccanti per penetrà in a reta di a cumpagnia è pruvate à arrubbari dati preziosi, è ancu di espansione a cobertura di a rete. Honeypot (traduttu literalmente cum'è "un barile di meli") hè un servitore speciale cù un inseme di diversi servizii di rete è protokolli cum'è HTTP, FTP, etc. (vede fig. 1).

Honeypot vs Deception nantu à l'esempiu di Xello

Se combina parechji miele in a reta, allora averemu un sistema più efficace rete di miele, chì hè una emulazione di a reta corporativa di una cumpagnia (servitore web, servitore di file, è altri cumpunenti di a rete). Sta suluzione vi permette di capisce a strategia di l'attaccanti è ingannà. Un honeynet tipicu, in regula, corre in parallelu cù a reta di produzzione è hè completamente indipendente da questu. Una tale "rete" pò esse publicata in Internet per un canale separatu, è una varietà separata di indirizzi IP pò ancu esse attribuita per questu (vede Fig. 2).

Honeypot vs Deception nantu à l'esempiu di Xello

U puntu di utilizà un honeynet hè di dimustrà u pirate chì hà presuntamente penetratu in a reta corporativa di l'urganizazione, in fattu, l'attaccante hè in un "ambientu isolatu" è hè sottu à a vigilazione stretta di i specialisti di sicurezza di l'infurmazioni (vede Fig. 3). .

Honeypot vs Deception nantu à l'esempiu di Xello

Quì ancu hè necessariu di mintuvà un tali strumentu cum'è "sandbox"(Inglese, sandbox) chì permette à l'attaccanti di installà è eseguisce malware in un ambiente isolatu induve i prufessiunali IT ponu monitorà e so attività per identificà i risichi potenziali è piglià e contramisure necessarie. Attualmente, u sandboxing hè tipicamente implementatu in macchine virtuali dedicate in un host virtuale. In ogni casu, deve esse nutatu chì u sandboxing mostra solu cumu si cumportanu i prugrammi periculosi è maliziusi, mentre chì honeynet aiuta un specialistu analizà u cumpurtamentu di "attori periculosi".

U benefiziu evidenti di i honeynets hè chì ingannanu l'attaccanti, perdendu a so energia, risorse è tempu. In u risultatu, invece di mira veri, attaccanu i falsi è ponu piantà di attaccà a reta senza ottene nunda. A maiò spessu, i tecnulugii di l'honeynet sò usati in l'agenzii di u guvernu è i grandi corporazioni, l'urganisazione finanziaria, postu chì sti strutture sò l'ogetti per attacchi cibernetici maiò. In ogni casu, i picculi è mediani imprese (SMB) anu ancu bisognu di strumenti efficaci per prevene incidenti di sicurezza di l'infurmazioni, ma honeynets in u settore SMB ùn sò micca cusì faciuli d'utilizà, per via di a mancanza di persunale qualificatu per un travagliu cusì cumplessu.

Limitazioni di Honeypots è Honeynets Solutions

Perchè i honeypots è i honeynets ùn sò micca e migliori soluzioni di mitigazione di l'attaccu dispunibili oghje? Si deve esse nutatu chì l'attacchi sò diventati sempre più grandi, tecnicamente cumplessi è capaci di causà gravi danni à l'infrastruttura IT di l'urganisazione, mentre chì a cibercriminalità hà righjuntu un livellu completamente diversu è hè una struttura d'affari d'ombra altamente organizata dotata di tutti i necessarii. risorse. Aggiuntu à questu hè u "fattore umanu" (errori in i paràmetri di u software è di u hardware, l'azzioni insider, etc.), cusì l'usu di a tecnulugia solu per prevene l'attacchi ùn hè più abbastanza à u mumentu.

Quì sottu listemu i principali limitazioni è svantaghji di honeypots (honeynets):

  1. Honeypots sò stati inizialmente pensati per identificà e minacce chì sò fora di a reta corporativa, sò destinati più per analizà u cumpurtamentu di l'intrusi è ùn sò micca pensati per risponde rapidamente à e minacce.

  2. I malefactori, in regula, anu digià amparatu à ricunnosce i sistemi emulati è per evitari di miele.

  3. Honeynets (honeypots) anu un livellu estremamente bassu di interattività è interazzione cù altri sistemi di sicurità, per via di quale, utilizendu honeypots, hè difficiule d'ottene infurmazioni detallate nantu à attacchi è attaccanti, è per quessa risponde in modu efficace è rapidamente à incidenti di sicurezza di l'infurmazioni. Inoltre, i spezialisti di sicurezza di l'infurmazioni ricevenu un gran numaru di falsi alerti di minaccia.

  4. In certi casi, i pirate ponu utilizà un honeypot cumprumissu cum'è un puntu di partenza per cuntinuà attaccà a reta di l'urganizazione.

  5. Spessu ci sò prublemi cù a scalabilità di honeypots, alta carica operativa è cunfigurazione di tali sistemi (avè bisognu di specialisti altamente qualificati, ùn anu micca una interfaccia di gestione conveniente, etc.). Ci sò grandi difficultà à implementà honeypots in ambienti specializati cum'è IoT, POS, sistemi di nuvola, etc.

2. Tecnulugia di deception: vantaghji è principii basi di funziunamentu

Dopu avè studiatu tutti i vantaghji è i disadvantages di honeypots, ghjunghjemu à a cunclusione chì un approcciu completamente novu per risponde à incidenti di sicurezza di l'infurmazioni hè necessariu per sviluppà una risposta rapida è adatta à l'azzioni di l'attaccanti. E sta suluzione hè a tecnulugia. Cyber ​​​​deception (ingannimentu di sicurità).

A terminologia "Cyber ​​​​deception", "Security Deception", "Deception technology", "Distributed Deception Platform" (DDP) hè relativamente nova è apparsu pocu tempu fà. In fatti, tutti sti termini significanu l'usu di "tecnulugii d'ingannamentu" o "tecnichi per imitare l'infrastruttura IT è misinforming attackers". I suluzioni più sèmplice di Deception sò u sviluppu di idee honeypots, solu à un livellu più avanzatu tecnulugicu, chì implica più automatizazione di deteczione di minaccia è risposta. Tuttavia, ci sò digià suluzioni di classi DDP seria nantu à u mercatu chì offrenu facilità di implementazione è scalabilità, è ancu un arsenale seriu di "trappule" è "esca" per l'attaccanti. Per esempiu, Deception permette di emulà l'oggetti di l'infrastruttura IT cum'è basa di dati, stazioni di travagliu, routers, switches, ATM, servitori è SCADA, equipamentu medicale è IoT.

Cumu funziona a piattaforma di Deception Distribuita? Dopu a implementazione di DDP, l'infrastruttura IT di l'urganizazione serà custruita cum'è da dui strati: u primu stratu hè a vera infrastruttura di a cumpagnia, è u sicondu hè un ambiente "emulatu" cumpostu di trappule (inglese, decoys, traps). ) è lures (inglese, lures), chì si trovanu nant'à i dispusitivi reta fisicu reale (vede Figura 4).

Honeypot vs Deception nantu à l'esempiu di Xello

Per esempiu, un attaccu pò detectà falsi basa di dati cù "documenti cunfidenziale", falsi credenziali di presuntamente "utenti privilegiati" - tutti questi sò falsi scopi, ponu interessà l'intrusi, sviendu cusì a so attenzione da i veri assi d'infurmazioni di a cumpagnia (vede a figura 5). .

Honeypot vs Deception nantu à l'esempiu di Xello

DDP hè una novità in u mercatu di i prudutti di sicurità di l'infurmazioni, sti suluzioni sò solu uni pochi d'anni è finu à avà solu u settore corporativu pò permette. Ma e PMI seranu prestu ancu capaci di prufittà di Deception affittu DDPs da fornituri specializati cum'è serviziu. Questa opzione hè ancu più còmuda, postu chì ùn ci hè micca bisognu di u nostru persunale altamente qualificatu.

I vantaghji principali di a tecnulugia Deception sò mostrati quì sottu:

  • Autenticità (autenticità). A tecnulugia di l'ingannimentu hè capaci di ripruduce un ambiente IT cumplettamente autenticu di una cumpagnia, emulendu sistemi operativi, IoT, POS, sistemi specializati (medici, industriali, etc.), servizii, applicazioni, credenziali, etc. cù alta qualità. Trappule (decoys) sò mischiati cù cura in l'ambiente di produzzione, è un attaccu ùn serà micca capaci di identificà cum'è honeypots.

  • Implementazione. I DDP utilizanu machine learning (ML) in u so travagliu. Cù l'aiutu di ML, a simplicità, a flessibilità in i paràmetri è l'efficienza di l'implementazione di Deception sò assicurati. "Traps" è "baits" sò assai rapidamente aghjurnati, chì implicanu un attaccu in a "falsa" infrastruttura IT di a cumpagnia, è intantu, i sistemi di analisi avanzati basati nantu à l'intelligenza artificiale ponu detectà l'azzioni attive di i pirate è impediscenu (per esempiu. , un tentativu di accede à l'Active Directory basatu nantu à cunti fraudulenti).

  • Facilità di operazione. A muderna "Plataforma di Deception Distribuita" hè faciule da mantene è gestione. In regula, sò gestiti da una cunsola lucale o nuvola, ci sò opportunità per l'integrazione cù u SOC corporativu (Centru Operazioni di Securità) attraversu l'API è cù assai cuntrolli di sicurezza esistenti. Per u mantenimentu è u funziunamentu di DDP, i servizii di esperti altamente qualificati di sicurezza di l'infurmazioni ùn sò micca richiesti.

  • Scalabilità. L'ingannimentu di sicurezza pò esse implementatu in ambienti fisici, virtuali è nuvola. I DDP travaglianu ancu bè cù ambienti specializati cum'è IoT, ICS, POS, SWIFT, etc. I piattaforme di Deception Avanzate ponu prughjettà "tecnulugie d'ingannimentu" in uffizii remoti, ambienti isolati, senza a necessità di implementazione supplementu di piattaforma completa.

  • Interaction. Aduprendu decoys efficaci è attraenti chì sò basati nantu à u sistema operativu reale è abilmente piazzati trà una vera infrastruttura IT, a piattaforma Deception raccoglie una vasta infurmazione nantu à l'attaccante. Dopu DDP furnisce avvisi di minaccia, i rapporti sò generati, è a risposta automatica à l'incidenti di sicurità di l'infurmazioni hè fatta.

  • Puntu di partenza di l'attaccu. In l'Ingannamentu mudernu, i trappule è l'esca sò posti in a gamma di a reta, è micca fora di questu (cum'è u casu cù honeypots). Stu mudellu di implementazione di trappule impedisce à un attaccu di l'utilizanu cum'è una basa per attaccà a vera infrastruttura IT di una cumpagnia. In suluzioni più avanzati di a classa Deception, ci sò capacità di routing di u trafficu, cusì pudete dirighje tuttu u trafficu di l'attaccu attraversu una cunnessione dedicata. Questu permetterà di analizà l'attività di l'intrusi senza risicà l'assi preziosi di a cumpagnia.

  • A persuasività di "tecnulugie di l'ingannimentu". In u stadiu iniziale di l'attaccu, l'attaccanti recullanu è analizà e dati nantu à l'infrastruttura IT, dopu l'utilizanu per spustà in orizontale per a reta corporativa. Cù l'aiutu di "tecnulugii d'ingannimentu", l'attaccante definitivamente cascà in "trappule" chì l'alluntanaranu da l'assi veri di l'urganisazione. DDP analizà i percorsi d'accessu di credenziali potenziali nantu à a reta corporativa è furnisce l'attaccante cù "falsi obiettivi" invece di credenziali reali. Queste capacità anu mancatu assai in e tecnulugia di honeypot. (Vede a fig. 6).

Honeypot vs Deception nantu à l'esempiu di Xello

Deception VS Honeypot

È infine, ghjunghjemu à u puntu più interessante di u nostru studiu. Pruvaremu di mette in risaltu i principali differenzi trà e tecnulugia di Deception è Honeypot. Malgradu qualchi similarità, però, sti dui tecnulugii sò assai diffirenti, da l'idea fundamentale à l'efficienza di u travagliu.

  1. Diversi idee basi. Cumu avemu scrittu sopra, i honeypots sò stallati cum'è "esca" intornu à l'assi preziosi di a cumpagnia (fora di a reta corporativa), cusì pruvate di distractà l'intrusi. Mentre a tecnulugia di honeypot hè basatu annantu à una cunniscenza di l'infrastruttura di l'urganizazione, i honeypots ponu esse un puntu di partenza per attaccà a reta di una cumpagnia. A tecnulugia di l'ingannimentu hè sviluppata in cunsiderà u puntu di vista di l'attaccante è vi permette di identificà un attaccu in una prima fase, cusì, i specialisti di sicurezza di l'infurmazioni uttene un vantaghju significativu annantu à l'attaccanti è guadagnà u tempu.

  2. "Attrazione" VS "Entanglement". Quandu si usanu honeypots, u successu dipende da attruverà l'attinzioni di l'attaccanti è più motivate per passà à u mira in u honeypot. Questu significa chì l'attaccante hà sempre da ghjunghje à u honeypot prima di pudè piantà. Cusì, a prisenza di intrusi in a reta pò durà parechji mesi o più, è questu porta à a fuga di dati è danni. DDP imitate qualitativamente l'infrastruttura IT reale di a cumpagnia, u scopu di a so implementazione ùn hè micca solu per attruverà l'attinzioni di un attaccu, ma per cunfundillu per ch'ellu perde u tempu è risorse, ma ùn accede à l'assi reali di a cumpagnia.

  3. "scalabilità limitata" VS "scalabilità automatica". Comu nutatu prima, honeypots è honeynets anu prublemi di scala. Hè difficiuli è caru, è per aumentà u nùmeru di honeypots in un sistema corporativu, avete da aghjunghje novi computer, OS, cumprà licenze, allocate IP. Inoltre, hè ancu necessariu avè un persunale qualificatu per gestisce tali sistemi. I plataformi di l'ingannimentu sò implementati automaticamente cum'è scale infrastrutturali, senza sovraccarico significativu.

  4. "Altu numeru di falsi pusitivi" VS "senza falsi pusitivi". L'essenza di u prublema hè chì ancu un utilizatore simplice pò scuntrà un honeypot, cusì u "reverse side" di sta tecnulugia hè un gran numaru di falsi pusitivi, chì distracts specialists security information from work. "Baits" è "trappule" in DDP sò attentamente ammucciati da l'usu mediu è sò pensati solu per un attaccante, cusì ogni signale da un tali sistema hè una alerta nantu à una vera minaccia, è micca un falsu pusitivu.

cunchiusioni

In u nostru parè, a tecnulugia di Deception hè una grande mellura annantu à a tecnulugia Honeypots più vechja. In essenza, DDP hè diventatu una piattaforma di sicurezza cumpleta chì hè faciule da implementà è gestisce.

I plataformi muderni di sta classa ghjucanu un rolu impurtante in a rilevazione precisa è a risposta efficace à e minacce di a rete, è a so integrazione cù altri cumpunenti di a pila di sicurezza aumenta u livellu di l'automatizazione, aumenta l'efficienza è l'efficacità di a risposta incidente. I plataformi di deception sò basati nantu à l'autenticità, a scalabilità, a facilità di gestione è l'integrazione cù altri sistemi. Tuttu chistu dà un vantaghju significativu in a rapidità di risposta à incidenti di sicurità di l'infurmazioni.

Inoltre, basatu annantu à l'osservazioni di pentests di cumpagnie induve a piattaforma Xello Deception hè stata implementata o pilotata, pudemu cuncludi chì ancu i pentesters sperimentati spessu ùn ponu micca ricunnosce lures in a reta corporativa è fallenu, cascà in trappule. Stu fattu cunfirma una volta l'efficacezza di l'ingannimentu è e grandi prospettive chì si apre per sta tecnulugia in u futuru.

Test di u produttu

Sè site interessatu in a piattaforma Deception, allora simu pronti fà teste cumuni.

State sintonizzati per l'aghjurnamenti in i nostri canali (n'ambasciataFacebookVKTS Solution Blog)!

Source: www.habr.com

Add a comment