Honeypot vs Deception na příkladu Xello

Na Habrém již existuje několik článků o technologiích Honeypot a Deception (1 článek, 2 článek). Doposud se však potýkáme s nedostatkem porozumění rozdílu mezi těmito třídami ochranných nástrojů. K tomu naši kolegové z Ahoj podvod (první ruský vývojář Podvádění platformy) se rozhodl podrobně popsat rozdíly, výhody a architektonické vlastnosti těchto řešení.

Pojďme zjistit, co jsou „honeypots“ a „klamy“:

"Technologie deception" (angl., Deception technology) se objevily na trhu systémů informační bezpečnosti relativně nedávno. Někteří odborníci však bezpečnostní klam stále považují jen za pokročilejší honeypoty.

V tomto článku se pokusíme zdůraznit jak podobnosti, tak zásadní rozdíly mezi těmito dvěma řešeními. V prvním díle si povíme něco o „honeypotu“, jak se tato technologie vyvinula a jaké jsou její výhody a nevýhody. A ve druhé části se podrobně zastavíme u principů fungování platforem pro vytváření distribuované infrastruktury klamání (anglicky, Distributed Deception Platform - DDP).

Základním principem honeypotů je vytvářet pasti na hackery. Úplně první řešení Deception byla vyvinuta na stejném principu. Moderní DDP jsou však výrazně lepší než honeypoty, a to jak z hlediska jejich funkčnosti, tak účinnosti. Platformy klamání zahrnují: pasti (anglicky, decoys, pasti), návnady (anglicky, lures), aplikace, data, databáze, Active Directory. Moderní DDP mohou poskytovat výkonné funkce pro detekci hrozeb, analýzu útoků a automatizaci reakcí.

Podvádění jsou tedy techniky pro napodobování podnikové IT infrastruktury a klamání hackerů. Díky tomu takové platformy umožňují zastavit útoky dříve, než způsobí značné škody na majetku společnosti. Honeypoty samozřejmě nemají tak širokou funkcionalitu a takovou úroveň automatizace, takže jejich použití vyžaduje větší kvalifikaci pracovníků oddělení informační bezpečnosti.

1. Honeypots, Honeynets a Sandboxing: co to je a jak se používá

Poprvé byl termín „honeypots“ použit v roce 1989 v knize „The Cuckoo's Egg“ od Clifforda Stolla, která popisuje události vystopování hackera v Lawrence Berkeley National Laboratory (USA). Tuto myšlenku uvedl do praxe v roce 1999 Lance Spitzner, specialista na informační bezpečnost ze Sun Microsystems, který založil výzkumný projekt Honeynet Project. První honeypoty byly velmi náročné na zdroje, bylo obtížné je nastavit a udržovat.

Podívejme se podrobněji na to, co je lákadla и honeynets. Honeypoty jsou samostatné hostitele, jejichž účelem je přilákat útočníky, aby pronikli do sítě společnosti a pokusili se ukrást cenná data, a také rozšířit pokrytí sítě. Honeypot (doslova přeloženo jako "sud medu") je speciální server se sadou různých síťových služeb a protokolů jako HTTP, FTP atd. (viz obr. 1).

Pokud zkombinujete několik lákadla do sítě, pak získáme efektivnější systém medová síťka, což je emulace podnikové sítě (webový server, souborový server a další síťové komponenty). Toto řešení vám umožní pochopit strategii útočníků a uvést je v omyl. Typický honeynet zpravidla běží paralelně s produkční sítí a je na ní zcela nezávislý. Takovou „síť“ lze publikovat na internetu prostřednictvím samostatného kanálu a lze jí také přidělit samostatný rozsah IP adres (viz obr. 2).

Účelem použití honeynetu je ukázat hackerovi, že údajně pronikl do podnikové sítě organizace, ve skutečnosti je útočník v „izolovaném prostředí“ a je pod přísným dohledem specialistů na informační bezpečnost (viz obr. 3). .

Zde je také nutné zmínit takový nástroj jako "pískoviště"(Angličtina, pískoviště), který útočníkům umožňuje instalovat a spouštět malware v izolovaném prostředí, kde mohou IT profesionálové monitorovat jejich aktivity s cílem identifikovat potenciální rizika a přijmout nezbytná protiopatření. V současné době je sandboxing typicky implementován na vyhrazených virtuálních strojích na virtuálním hostiteli. Je však třeba poznamenat, že sandboxing pouze ukazuje, jak se chovají nebezpečné a škodlivé programy, zatímco honeynet pomáhá specialistovi analyzovat chování „nebezpečných hráčů“.

Zjevnou výhodou honeynetů je, že klamou útočníky a plýtvají jejich energií, zdroji a časem. Výsledkem je, že místo skutečných cílů útočí na falešné a mohou přestat útočit na síť, aniž by čehokoli dosáhli. Nejčastěji se technologie honeynetu používají ve vládních agenturách a velkých korporacích, finančních organizacích, protože tyto struktury jsou cílem velkých kybernetických útoků. Malé a střední podniky (SMB) však také potřebují účinné nástroje k prevenci incidentů v oblasti informační bezpečnosti, ale použití honeynetů v sektoru SMB není tak snadné kvůli nedostatku kvalifikovaného personálu pro tak složitou práci.

Omezení Honeypots a Honeynets Solutions

Proč nejsou honeypoty a honeynety nejlepšími dostupnými řešeními pro zmírnění útoků? Je třeba poznamenat, že útoky jsou stále rozsáhlejší, technicky složitější a schopné způsobit vážné škody na IT infrastruktuře organizace, zatímco kybernetická kriminalita dosáhla zcela jiné úrovně a jde o vysoce organizovanou stínovou obchodní strukturu vybavenou všemi nezbytnými zdroje. K tomu se přidává „lidský faktor“ (chyby v nastavení softwaru a hardwaru, akce zasvěcených osob atd.), takže používat pouze technologii k prevenci útoků v tuto chvíli již nestačí.

Níže uvádíme hlavní omezení a nevýhody honeypotů (honeynetů):

1. Honeypoty byly původně navrženy k identifikaci hrozeb, které jsou mimo podnikovou síť, jsou určeny spíše pro analýzu chování narušitelů a nejsou navrženy tak, aby rychle reagovaly na hrozby.

2. Malefactors se již zpravidla naučili rozpoznávat emulované systémy a vyhýbat se honeypotům.

3. Honeynety (honeypoty) mají extrémně nízkou míru interaktivity a interakce s ostatními bezpečnostními systémy, v důsledku čehož je pomocí honeypotů obtížné získat podrobné informace o útocích a útočnících, a tedy efektivně a rychle reagovat na incidenty informační bezpečnosti. Specialisté na informační bezpečnost navíc dostávají velké množství falešných hrozeb.

4. V některých případech mohou hackeři použít kompromitovaný honeypot jako výchozí bod pro pokračování v útoku na síť organizace.

5. Často bývají problémy se škálovatelností honeypotů, vysokou provozní zátěží a konfigurací takových systémů (vyžadují vysoce kvalifikované specialisty, nemají pohodlné rozhraní pro správu atd.). Existují velké potíže s nasazením honeypotů ve specializovaných prostředích, jako je IoT, POS, cloudové systémy atd.

2. Technologie klamání: výhody a základní principy fungování

Po prostudování všech výhod a nevýhod honeypotů jsme došli k závěru, že je potřeba zcela nový přístup k reakci na incidenty informační bezpečnosti, aby bylo možné vyvinout rychlou a adekvátní reakci na akce útočníků. A tím řešením je technologie. Kybernetický podvod (bezpečnostní podvod).

Terminologie "Kybernetický podvod", "Bezpečnostní podvod", "Technologie podvodu", "Distributed Deception Platform" (DDP) je relativně nová a objevila se nedávno. Ve skutečnosti všechny tyto termíny znamenají použití „technologií klamání“ nebo „techniky pro napodobování IT infrastruktury a dezinformování útočníků“. Nejjednoduššími řešeními Deception je vývoj myšlenek honeypotů, pouze na technologicky vyspělejší úrovni, která zahrnuje větší automatizaci detekce hrozeb a reakce. Na trhu však již existují seriózní řešení třídy DDP, která nabízejí snadné nasazení a škálovatelnost, stejně jako seriózní arzenál „pastí“ a „návnad“ pro útočníky. Například Deception vám umožňuje emulovat objekty IT infrastruktury, jako jsou databáze, pracovní stanice, routery, přepínače, bankomaty, servery a SCADA, lékařské vybavení a IoT.

Jak funguje platforma Distributed Deception Platform? Po nasazení DDP bude IT infrastruktura organizace postavena jakoby ze dvou vrstev: první vrstva je skutečná infrastruktura společnosti a druhá je „emulované“ prostředí skládající se z pastí (angličtina, decoys, pasts ) a lures (anglicky, lures), které jsou umístěny na skutečných fyzických síťových zařízeních (viz obrázek 4).

Útočník může například odhalit falešné databáze pomocí „důvěrných dokumentů“, falešných přihlašovacích údajů domněle „privilegovaných uživatelů“ – to vše jsou falešné cíle, mohou zaujmout vetřelce, čímž odvedou jejich pozornost od skutečných informačních aktiv společnosti (viz obrázek 5) .

DDP je novinkou na trhu produktů informační bezpečnosti, tato řešení jsou jen pár let stará a zatím si je může dovolit pouze firemní sektor. Malé a střední podniky však brzy budou moci využít podvodu také tím, že si jako službu pronajímají DDP od specializovaných poskytovatelů. Tato možnost je ještě pohodlnější, protože nepotřebujeme vlastní vysoce kvalifikovaný personál.

Hlavní výhody technologie Deception jsou uvedeny níže:

• autenticita (pravost). Technologie klamání je schopna reprodukovat zcela autentické IT prostředí společnosti, emulující operační systémy, IoT, POS, specializované systémy (lékařské, průmyslové atd.), služby, aplikace, přihlašovací údaje atd. ve vysoké kvalitě. Pasti (návnady) jsou pečlivě zamíchány do produkčního prostředí a útočník je nebude schopen identifikovat jako honeypoty.

• Vdědření. DDP využívají při své práci strojové učení (ML). Pomocí ML je zajištěna jednoduchost, flexibilita v nastavení a efektivita implementace Deception. "Pasti" a "návnady" se velmi rychle aktualizují, zapojí útočníka do "falešné" IT infrastruktury společnosti a mezitím dokážou pokročilé analytické systémy založené na umělé inteligenci odhalit aktivní akce hackerů a zabránit jim (např. , pokus o přístup k Active Directory na základě podvodných účtů).

• Snadné ovládání. Moderní „Distributed Deception Platform“ se snadno udržuje a spravuje. Zpravidla jsou spravovány prostřednictvím lokální nebo cloudové konzole, existují možnosti integrace s firemním SOC (Security Operations Center) prostřednictvím API a s mnoha existujícími bezpečnostními kontrolami. Pro údržbu a provoz DDP nejsou vyžadovány služby vysoce kvalifikovaných odborníků na informační bezpečnost.

• Škálovatelnost. Bezpečnostní podvod lze nasadit ve fyzických, virtuálních a cloudových prostředích. DDP také úspěšně spolupracují se specializovanými prostředími, jako je IoT, ICS, POS, SWIFT atd. Pokročilé platformy Deception mohou promítat „technologie klamání“ do vzdálených kanceláří, izolovaných prostředí, aniž by bylo nutné zavádět další plnou platformu.

• Interakce. Platforma Deception shromažďuje rozsáhlé informace o útočníkovi pomocí efektivních a atraktivních návnad, které jsou založeny na skutečném OS a chytře umístěné mezi skutečnou IT infrastrukturou. DDP pak poskytuje upozornění na hrozby, generují se zprávy a probíhá automatická reakce na incidenty zabezpečení informací.

• Výchozí bod útoku. V moderním podvodu jsou pasti a návnady umístěny uvnitř dosahu sítě a ne mimo něj (jak je tomu u honeypotů). Tento model nasazení pastí brání útočníkovi v jejich použití jako základny pro útok na skutečnou IT infrastrukturu společnosti. V pokročilejších řešeních třídy Deception jsou možnosti směrování provozu, takže veškerý provoz útočníka můžete nasměrovat přes vyhrazené připojení. To vám umožní analyzovat činnost narušitelů, aniž byste riskovali cenná aktiva společnosti.

• Přesvědčivost „technologií podvodu“. V počáteční fázi útoku útočníci shromažďují a analyzují data o infrastruktuře IT a poté je používají k horizontálnímu pohybu po podnikové síti. Pomocí „technologií klamání“ se útočník definitivně chytí do „pasti“, které ho odvedou od skutečných aktiv organizace. DDP bude analyzovat potenciální přístupové cesty k přihlašovacím údajům v podnikové síti a poskytne útočníkovi „falešné cíle“ namísto skutečných přihlašovacích údajů. Tyto schopnosti v technologiích honeypotů velmi chyběly. (Viz obr. 6).

Podvod VS Honeypot

A konečně se dostáváme k nejzajímavějšímu bodu naší studie. Pokusíme se poukázat na hlavní rozdíly mezi technologiemi Deception a Honeypot. Přes určité podobnosti se však tyto dvě technologie značně liší, od základní myšlenky až po efektivitu práce.

1. Různé základní myšlenky. Jak jsme psali výše, honeypoty jsou instalovány jako „návnady“ kolem cenného majetku společnosti (mimo firemní síť), čímž se snaží odvrátit pozornost vetřelců. Zatímco technologie honeypotů je založena na pochopení infrastruktury organizace, honeypoty mohou být výchozím bodem pro útok na firemní síť. Technologie klamání je vyvíjena s přihlédnutím k pohledu útočníka a umožňuje identifikovat útok v rané fázi, takže specialisté na informační bezpečnost získají významnou výhodu nad útočníky a získají čas.

2. "Přitažlivost" VS "Zapletení". Při použití honeypotů závisí úspěch na upoutání pozornosti útočníků a jejich další motivaci k přesunu k cíli v honeypotu. To znamená, že útočník se ještě musí dostat k honeypotu, než ho můžete zastavit. Přítomnost narušitelů v síti tak může trvat několik měsíců i déle, což povede k úniku dat a poškození. DDP kvalitativně napodobují skutečnou IT infrastrukturu společnosti, účelem jejich implementace není pouze upoutat pozornost útočníka, ale zmást ho tak, aby plýtval časem a prostředky, ale nezískal přístup ke skutečnému majetku společnosti.

3. "omezená škálovatelnost" VS "automatická škálovatelnost". Jak bylo uvedeno dříve, honeypoty a honeynety mají problémy s škálováním. Je to náročné a drahé a pro zvýšení počtu honeypotů ve firemním systému budete muset přidat nové počítače, OS, koupit licence, přidělit IP. Kromě toho je také nutné mít kvalifikovaný personál pro správu takových systémů. Platformy klamání jsou automaticky nasazovány jako škály infrastruktury bez významné režie.

4. "Vysoký počet falešně pozitivních výsledků" VS "žádné falešně pozitivních výsledků". Podstatou problému je, že s honeypotem se může setkat i prostý uživatel, takže „odvrácenou stranou“ této technologie je velké množství falešných poplachů, které odvádí pozornost specialistů na informační bezpečnost od práce. "Návnady" a "nástrahy" v DDP jsou před běžným uživatelem pečlivě skryty a jsou určeny pouze pro útočníka, takže každý signál z takového systému je upozorněním na skutečnou hrozbu, nikoli falešně pozitivní.

Závěr

Podle našeho názoru je technologie Deception obrovským zlepšením oproti starší technologii Honeypots. DDP se v podstatě stalo komplexní bezpečnostní platformou, kterou lze snadno nasadit a spravovat.

Moderní platformy této třídy hrají důležitou roli v přesné detekci a efektivní reakci na síťové hrozby a jejich integrace s ostatními komponentami bezpečnostního stacku zvyšuje úroveň automatizace, zvyšuje efektivitu a efektivitu reakce na incidenty. Podvodné platformy jsou založeny na autenticitě, škálovatelnosti, snadné správě a integraci s jinými systémy. To vše dává významnou výhodu v rychlosti reakce na incidenty informační bezpečnosti.

Také na základě pozorování pentestů společností, kde byla implementována nebo pilotována platforma Xello Deception, můžeme dojít k závěru, že ani zkušení pentesterové často nedokážou rozpoznat návnady v podnikové síti a selhávají a padají do pasti. Tato skutečnost opět potvrzuje účinnost Deception a velké vyhlídky, které se této technologii otevírají do budoucna.

Testování produktu

Pokud máte zájem o platformu Deception, pak jsme připraveni provést společné testování.

Zůstaňte naladěni na aktualizace na našich kanálech (Telegram, facebook, VK, Blog řešení TS)!

Zdroj: www.habr.com