ProHoster > blog > Gweinyddiaeth > Honeypot vs Twyll ar esiampl Xello

Honeypot vs Twyll ar esiampl Xello

Honeypot vs Twyll ar esiampl Xello

Mae yna eisoes sawl erthygl ar Habré am dechnolegau Honeypot a Thwyll (1 erthygl, 2 erthygl). Fodd bynnag, hyd yn hyn rydym yn wynebu diffyg dealltwriaeth o'r gwahaniaeth rhwng y dosbarthiadau hyn o offer amddiffyn. I wneud hyn, mae ein cydweithwyr o Helo Twyll (datblygwr cyntaf Rwseg Twyll llwyfan) penderfynu disgrifio'n fanwl wahaniaethau, manteision a nodweddion pensaernïol yr atebion hyn.

Gadewch i ni ddarganfod beth yw "potiau mêl" a "thwyll":

Ymddangosodd "technolegau o dwyll" (eng., technoleg twyll) ar y farchnad systemau diogelwch gwybodaeth yn gymharol ddiweddar. Fodd bynnag, mae rhai arbenigwyr yn dal i ystyried mai dim ond potiau mêl mwy datblygedig yw Twyll Diogelwch.

Yn yr erthygl hon, byddwn yn ceisio tynnu sylw at y tebygrwydd a'r gwahaniaethau sylfaenol rhwng y ddau ddatrysiad hyn. Yn y rhan gyntaf, byddwn yn siarad am y "pot mêl", sut mae'r dechnoleg hon wedi datblygu a beth yw ei fanteision a'i anfanteision. Ac yn yr ail ran, byddwn yn canolbwyntio'n fanwl ar egwyddorion gweithredu llwyfannau ar gyfer creu seilwaith twyll dosbarthedig (Saesneg, Platfform Twyll Dosbarthedig - DDP).

Yr egwyddor sylfaenol sy'n sail i botiau mêl yw creu trapiau ar gyfer hacwyr. Datblygwyd yr atebion twyll cyntaf ar yr un egwyddor. Ond, mae DDPs modern yn sylweddol well na photiau mêl, o ran eu hymarferoldeb a'u heffeithlonrwydd. Mae llwyfannau twyll yn cynnwys: trapiau (Saesneg, decoys, trapiau), llithiau (Saesneg, llithiau), cymwysiadau, data, cronfeydd data, Active Directory. Gall DDPs modern ddarparu galluoedd pwerus ar gyfer canfod bygythiadau, dadansoddi ymosodiadau, ac awtomeiddio ymateb.

Felly, mae twyll yn dechnegau ar gyfer dynwared seilwaith TG menter ac yn camarwain hacwyr. O ganlyniad, mae llwyfannau o'r fath yn ei gwneud hi'n bosibl atal ymosodiadau cyn achosi difrod sylweddol i asedau'r cwmni. Wrth gwrs, nid oes gan Honeypots ystod mor eang o ymarferoldeb a lefel mor awtomeiddio, felly mae angen mwy o gymwysterau gan weithwyr adrannau diogelwch gwybodaeth i'w defnyddio.

1. Potiau Mêl, Rhwydi Mêl a Bocsio Tywod: beth ydyw a sut mae'n cael ei ddefnyddio

Defnyddiwyd y term "honeypots" am y tro cyntaf yn 1989 yn llyfr Clifford Stoll "The Cuckoo's Egg", sy'n disgrifio digwyddiadau olrhain haciwr yn Labordy Cenedlaethol Lawrence Berkeley (UDA). Rhoddwyd y syniad hwn ar waith ym 1999 gan Lance Spitzner, arbenigwr diogelwch gwybodaeth yn Sun Microsystems, a sefydlodd brosiect ymchwil Honeynet Project. Roedd y potiau mêl cyntaf yn ddwys iawn o ran adnoddau, yn anodd eu sefydlu a'u cynnal.

Gadewch i ni edrych yn agosach ar beth ydyw honeypots и diliau mêl. Mae Honeypots yn westeion ar wahân a'u pwrpas yw denu ymosodwyr i dorri i mewn i rwydwaith y cwmni a cheisio dwyn data gwerthfawr, yn ogystal ag ehangu sylw'r rhwydwaith. Mae Honeypot (wedi'i gyfieithu'n llythrennol fel "casgen o fêl") yn weinydd arbennig gyda set o wasanaethau rhwydwaith a phrotocolau amrywiol fel HTTP, FTP, ac ati. (gweler Ffig. 1).

Honeypot vs Twyll ar esiampl Xello

Os ydych chi'n cyfuno sawl un honeypots i mewn i'r rhwydwaith, yna byddwn yn cael system fwy effeithlon mel rhwyd, sy'n efelychiad o rwydwaith corfforaethol cwmni (gweinydd gwe, gweinydd ffeiliau, a chydrannau rhwydwaith eraill). Mae'r ateb hwn yn eich galluogi i ddeall strategaeth yr ymosodwyr a'u camarwain. Mae rhwyd ​​mêl nodweddiadol, fel rheol, yn rhedeg ochr yn ochr â'r rhwydwaith cynhyrchu ac mae'n gwbl annibynnol arno. Gellir cyhoeddi “rhwydwaith” o'r fath ar y Rhyngrwyd trwy sianel ar wahân, a gellir dyrannu ystod ar wahân o gyfeiriadau IP ar ei gyfer hefyd (gweler Ffig. 2).

Honeypot vs Twyll ar esiampl Xello

Pwynt defnyddio honeynet yw dangos i'r haciwr yr honnir iddo dreiddio i rwydwaith corfforaethol y sefydliad, mewn gwirionedd, mae'r ymosodwr mewn "amgylchedd ynysig" ac mae o dan oruchwyliaeth agos arbenigwyr diogelwch gwybodaeth (gweler Ffig. 3) .

Honeypot vs Twyll ar esiampl Xello

Yma mae angen i ni hefyd sôn am offeryn o'r fath fel “blwch tywod"(Saesneg, blwch tywod) sy'n caniatáu i ymosodwyr osod a rhedeg malware mewn amgylchedd anghysbell lle gall gweithwyr proffesiynol TG fonitro eu gweithgareddau er mwyn nodi risgiau posibl a chymryd y gwrthfesurau angenrheidiol. Ar hyn o bryd, mae bocsio tywod fel arfer yn cael ei weithredu ar beiriannau rhithwir pwrpasol ar rithwir westeiwr. Fodd bynnag, dylid nodi bod bocsio tywod ond yn dangos pa mor beryglus a maleisus y mae rhaglenni'n ymddwyn, tra bod honeynet yn helpu arbenigwr i ddadansoddi ymddygiad "chwaraewyr peryglus".

Mantais amlwg honeynets yw eu bod yn camarwain ymosodwyr, gan wastraffu eu hegni, eu hadnoddau a'u hamser. O ganlyniad, yn lle targedau go iawn, maent yn ymosod ar rai ffug a gallant roi'r gorau i ymosod ar y rhwydwaith heb gyflawni unrhyw beth. Yn fwyaf aml, defnyddir technolegau honeynet mewn asiantaethau'r llywodraeth a chorfforaethau mawr, sefydliadau ariannol, gan mai'r strwythurau hyn yw'r targedau ar gyfer ymosodiadau seiber mawr. Fodd bynnag, mae angen offer effeithiol ar fusnesau bach a chanolig (SMB) hefyd i atal digwyddiadau diogelwch gwybodaeth, ond nid yw rhwydi mêl yn y sector SMB mor hawdd i'w defnyddio, oherwydd diffyg personél cymwys ar gyfer gwaith mor gymhleth.

Cyfyngiadau Potiau Mêl ac Atebion Honeynets

Pam nad potiau mêl a rhwydi mêl yw'r atebion lliniaru ymosodiad gorau sydd ar gael heddiw? Dylid nodi bod ymosodiadau yn dod yn fwy a mwy ar raddfa fawr, yn dechnegol gymhleth ac yn gallu achosi difrod difrifol i seilwaith TG y sefydliad, tra bod seiberdroseddu wedi cyrraedd lefel hollol wahanol ac yn strwythur busnes cysgodol hynod drefnus sydd â'r holl offer angenrheidiol. adnoddau. Yn ychwanegol at hyn mae'r “ffactor dynol” (gwallau mewn gosodiadau meddalwedd a chaledwedd, gweithredoedd mewnol, ac ati), felly nid yw defnyddio technoleg yn unig i atal ymosodiadau yn ddigon ar hyn o bryd.

Isod rydym yn rhestru prif gyfyngiadau ac anfanteision potiau mêl (rhwydau mêl):

  1. Cynlluniwyd potiau mêl yn wreiddiol i nodi bygythiadau sydd y tu allan i'r rhwydwaith corfforaethol, sydd wedi'u bwriadu'n fwy ar gyfer dadansoddi ymddygiad tresmaswyr ac nad ydynt wedi'u cynllunio i ymateb yn gyflym i fygythiadau.

  2. Mae ymosodwyr, fel rheol, eisoes wedi dysgu adnabod systemau efelychiedig ac osgoi potiau mêl.

  3. Mae gan Honeynets (honeypots) lefel hynod o isel o ryngweithio a rhyngweithio â systemau diogelwch eraill, ac o ganlyniad, gan ddefnyddio potiau mêl, mae'n anodd cael gwybodaeth fanwl am ymosodiadau ac ymosodwyr, ac felly'n ymateb yn effeithiol ac yn gyflym i ddigwyddiadau diogelwch gwybodaeth. Ar ben hynny, mae arbenigwyr diogelwch gwybodaeth yn derbyn nifer fawr o rybuddion bygythiad ffug.

  4. Mewn rhai achosion, gall hacwyr ddefnyddio pot mêl dan fygythiad fel man cychwyn i barhau i ymosod ar rwydwaith sefydliad.

  5. Yn aml mae problemau gyda scalability potiau mêl, llwyth gweithredol uchel a chyfluniad systemau o'r fath (mae angen arbenigwyr cymwys iawn arnynt, nid oes ganddynt ryngwyneb rheoli cyfleus, ac ati). Mae anawsterau mawr wrth ddefnyddio potiau mêl mewn amgylcheddau arbenigol fel IoT, POS, systemau cwmwl, ac ati.

2. Technoleg twyll: manteision ac egwyddorion sylfaenol gweithredu

Ar ôl astudio holl fanteision ac anfanteision potiau mêl, deuwn i'r casgliad bod angen dull cwbl newydd o ymateb i ddigwyddiadau diogelwch gwybodaeth er mwyn datblygu ymateb cyflym a digonol i weithredoedd ymosodwyr. Ac ateb o'r fath yw technoleg Twyll seiber (twyll diogelwch).

Mae'r derminoleg "Twyll seiber", "twyll diogelwch", "technoleg twyll", "Llwyfan Twyll wedi'i Ddosbarthu" (DDP) yn gymharol newydd ac nid oedd yn ymddangos mor bell yn ôl. Mewn gwirionedd, mae'r holl dermau hyn yn golygu defnyddio "technolegau twyll" neu "dechnegau ar gyfer dynwared seilwaith TG a cham-hysbysu ymosodwyr." Yr atebion twyll symlaf yw datblygu syniadau potiau mêl, dim ond ar lefel uwch yn dechnolegol, sy'n cynnwys mwy o awtomeiddio i ganfod bygythiadau ac ymateb iddynt. Fodd bynnag, mae yna eisoes atebion dosbarth DDP difrifol ar y farchnad sy'n cynnig rhwyddineb defnydd a scalability, yn ogystal ag arsenal difrifol o “fapiau” ac “abwydau” i ymosodwyr. Er enghraifft, mae Twyll yn caniatáu ichi efelychu gwrthrychau seilwaith TG fel cronfeydd data, gweithfannau, llwybryddion, switshis, peiriannau ATM, gweinyddwyr a SCADA, offer meddygol ac IoT.

Sut mae'r Llwyfan Twyll Dosranedig yn gweithio? Ar ôl defnyddio DDP, bydd seilwaith TG y sefydliad yn cael ei adeiladu fel pe bai o ddwy haen: yr haen gyntaf yw seilwaith gwirioneddol y cwmni, ac mae'r ail yn amgylchedd “efelychu” sy'n cynnwys trapiau (Saesneg, decoys, trapiau ) a llithiau (Saesneg, llithiau), sydd wedi'u lleoli ar ddyfeisiau rhwydwaith ffisegol go iawn (gweler Ffigur 4).

Honeypot vs Twyll ar esiampl Xello

Er enghraifft, gall ymosodwr ganfod cronfeydd data ffug gyda "dogfennau cyfrinachol", tystlythyrau ffug "defnyddwyr breintiedig" yn ôl y sôn - nodau ffug yw'r rhain i gyd, gallant ddiddori tresmaswyr, a thrwy hynny ddargyfeirio eu sylw oddi wrth wir asedau gwybodaeth y cwmni (gweler Ffigur 5) .

Honeypot vs Twyll ar esiampl Xello

Mae DDP yn newydd-deb yn y farchnad cynhyrchion diogelwch gwybodaeth, dim ond ychydig flynyddoedd oed yw'r atebion hyn a hyd yn hyn dim ond y sector corfforaethol sy'n gallu eu fforddio. Ond cyn bo hir bydd SMBs hefyd yn gallu manteisio ar Twyll drwy rentu DDP gan ddarparwyr arbenigol fel gwasanaeth. Mae'r opsiwn hwn hyd yn oed yn fwy cyfleus, gan nad oes angen ein personél cymwys iawn ein hunain.

Dangosir prif fanteision technoleg twyll isod:

  • Dilysrwydd (dilysrwydd). Mae technoleg twyll yn gallu atgynhyrchu amgylchedd TG hollol ddilys cwmni, gan efelychu systemau gweithredu, IoT, POS, systemau arbenigol (meddygol, diwydiannol, ac ati), gwasanaethau, cymwysiadau, cymwysterau, ac ati gydag ansawdd uchel. Mae trapiau (decoys) yn cael eu cymysgu'n ofalus i'r amgylchedd cynhyrchu, ac ni fydd ymosodwr yn gallu eu hadnabod fel potiau mêl.

  • Gweithredu. Mae CDA yn defnyddio dysgu peirianyddol (ML) yn eu gwaith. Gyda chymorth ML, sicrheir symlrwydd, hyblygrwydd mewn gosodiadau ac effeithlonrwydd gweithredu Twyll. Mae "trapiau" ac "abwydau" yn cael eu diweddaru'n gyflym iawn, gan gynnwys ymosodwr yn seilwaith TG "ffug" y cwmni, ac yn y cyfamser, gall systemau dadansoddi uwch yn seiliedig ar ddeallusrwydd artiffisial ganfod gweithredoedd gweithredol hacwyr a'u hatal (er enghraifft , ymgais i gael mynediad at Active Directory yn seiliedig ar gyfrifon twyllodrus).

  • Gweithrediad hawdd. Mae Llwyfannau Twyll Dosbarthedig Modern yn hawdd i'w cynnal a'u rheoli. Fel arfer cânt eu rheoli trwy gonsol lleol neu gwmwl, gyda galluoedd integreiddio â'r SOC corfforaethol (Canolfan Gweithrediadau Diogelwch) trwy API a chyda llawer o reolaethau diogelwch presennol. Nid yw cynnal a gweithredu DDP yn gofyn am wasanaethau arbenigwyr diogelwch gwybodaeth cymwys iawn.

  • Scalability. Gellir defnyddio twyll diogelwch mewn amgylcheddau ffisegol, rhithwir a chymylau. Mae DDPs hefyd yn gweithio'n llwyddiannus gydag amgylcheddau arbenigol megis IoT, ICS, POS, SWIFT, ac ati. Gall llwyfannau Twyll Uwch daflunio “technolegau twyll” i swyddfeydd anghysbell ac amgylcheddau anghysbell, heb fod angen defnyddio platfform llawn ychwanegol.

  • Rhyngweithio. Gan ddefnyddio decoys pwerus a deniadol sy'n seiliedig ar systemau gweithredu go iawn ac wedi'u gosod yn glyfar ymhlith seilwaith TG go iawn, mae'r llwyfan Twyll yn casglu gwybodaeth helaeth am yr ymosodwr. Yna mae DDP yn sicrhau bod rhybuddion bygythiad yn cael eu trosglwyddo, adroddiadau'n cael eu cynhyrchu, ac ymateb yn awtomatig i ddigwyddiadau diogelwch gwybodaeth.

  • Man cychwyn yr ymosodiad. Mewn Twyll modern, gosodir trapiau ac abwydau o fewn ystod y rhwydwaith, yn hytrach nag y tu allan iddo (fel sy'n wir gyda photiau mêl). Mae'r model lleoli hwn o drapiau yn atal ymosodwr rhag eu defnyddio fel sylfaen i ymosod ar seilwaith TG go iawn cwmni. Mae gan atebion mwy datblygedig y dosbarth Twyll alluoedd llwybro traffig, felly gallwch chi gyfeirio'r holl draffig ymosodwyr trwy gysylltiad arbennig. Bydd hyn yn caniatáu ichi ddadansoddi gweithgaredd tresmaswyr heb beryglu asedau gwerthfawr y cwmni.

  • Pa mor ddarbwyllol yw “technolegau twyll”. Ar gam cychwynnol yr ymosodiad, mae ymosodwyr yn casglu ac yn dadansoddi data am y seilwaith TG, yna'n ei ddefnyddio i symud yn llorweddol trwy'r rhwydwaith corfforaethol. Gyda chymorth "technolegau twyll", bydd yr ymosodwr yn bendant yn syrthio i "fapiau" a fydd yn ei arwain i ffwrdd o asedau gwirioneddol y sefydliad. Bydd DDP yn dadansoddi llwybrau mynediad credadwy posibl ar y rhwydwaith corfforaethol ac yn darparu "targedau ffug" i'r ymosodwr yn hytrach na chymwysterau go iawn. Roedd y galluoedd hyn yn ddiffygiol iawn mewn technolegau pot mêl. (Gweler Ffigur 6).

Honeypot vs Twyll ar esiampl Xello

Twyll VS Honeypot

Ac yn olaf, rydym yn dod at bwynt mwyaf diddorol ein hastudiaeth. Byddwn yn ceisio tynnu sylw at y prif wahaniaethau rhwng technolegau Twyll a Honeypot. Er gwaethaf rhai tebygrwydd, i gyd yr un fath, mae'r ddau dechnoleg hon yn wahanol iawn, yn amrywio o'r syniad sylfaenol ac yn gorffen gydag effeithlonrwydd gwaith.

  1. Syniadau sylfaenol amrywiol. Fel y gwnaethom ysgrifennu uchod, mae potiau mêl yn cael eu gosod fel “decoys” o amgylch asedau cwmni gwerthfawr (y tu allan i'r rhwydwaith corfforaethol), gan geisio tynnu sylw ymosodwyr. Mae technoleg Honeypot yn seiliedig ar ddealltwriaeth o seilwaith sefydliad, ond gall potiau mêl ddod yn fan cychwyn ar gyfer lansio ymosodiad ar rwydwaith cwmni. Mae technoleg twyll yn cael ei ddatblygu gan ystyried safbwynt yr ymosodwr ac yn caniatáu ichi nodi ymosodiad yn gynnar, felly, mae arbenigwyr diogelwch gwybodaeth yn cael mantais sylweddol dros ymosodwyr ac yn ennill amser.

  2. "Atyniad" VS "Cysylltiad". Wrth ddefnyddio potiau mêl, mae llwyddiant yn dibynnu ar ddenu sylw ymosodwyr a'u cymell ymhellach i symud i'r targed yn y pot mêl. Mae hyn yn golygu bod yn rhaid i'r ymosodwr gyrraedd y pot mêl o hyd cyn y gallwch chi ei atal. Felly, gall presenoldeb ymosodwyr ar y rhwydwaith bara am sawl mis neu fwy, a bydd hyn yn arwain at ollwng data a difrod. Mae DDPs yn dynwared gwir seilwaith TG cwmni yn ansoddol; nid denu sylw ymosodwr yn unig yw pwrpas eu gweithredu, ond ei ddrysu fel ei fod yn gwastraffu amser ac adnoddau, ond nid yw'n cael mynediad at asedau gwirioneddol y cwmni. cwmni.

  3. “Galadwyedd cyfyngedig” VS “scalability awtomatig”. Fel y nodwyd yn gynharach, mae gan botiau mêl a rhwydi mêl broblemau graddio. Mae'n anodd ac yn ddrud, ac er mwyn cynyddu nifer y potiau mêl mewn system gorfforaethol, bydd yn rhaid i chi ychwanegu cyfrifiaduron newydd, OS, prynu trwyddedau, dyrannu IP. Ar ben hynny, mae hefyd yn angenrheidiol i gael personél cymwys i reoli systemau o'r fath. Mae llwyfannau twyll yn cael eu defnyddio'n awtomatig fel graddfeydd seilwaith, heb unrhyw orbenion sylweddol.

  4. "Nifer uchel o bethau positif ffug" VS "dim positifau ffug". Hanfod y broblem yw y gall hyd yn oed defnyddiwr syml ddod ar draws pot mêl, felly "anfantais" y dechnoleg hon yw nifer fawr o bethau cadarnhaol ffug, sy'n tynnu sylw arbenigwyr diogelwch gwybodaeth oddi wrth eu gwaith. Mae “abwydau” a “trapiau” yn DDP wedi'u cuddio'n ofalus oddi wrth y defnyddiwr cyffredin ac wedi'u cynllunio ar gyfer ymosodwr yn unig, felly mae pob signal o system o'r fath yn hysbysiad o fygythiad gwirioneddol, ac nid yn bositif ffug.

Casgliad

Yn ein barn ni, mae technoleg twyll yn welliant enfawr o gymharu â'r dechnoleg Honeypots hŷn. Yn ei hanfod, mae DDP wedi dod yn blatfform diogelwch cynhwysfawr sy'n hawdd ei ddefnyddio a'i reoli.

Mae llwyfannau modern o'r dosbarth hwn yn chwarae rhan bwysig mewn canfod cywir ac ymateb effeithiol i fygythiadau rhwydwaith, ac mae eu hintegreiddio â chydrannau eraill o'r pentwr diogelwch yn cynyddu lefel yr awtomeiddio, yn cynyddu effeithlonrwydd ac effeithiolrwydd ymateb i ddigwyddiadau. Mae llwyfannau twyll yn seiliedig ar ddilysrwydd, scalability, rhwyddineb rheoli ac integreiddio â systemau eraill. Mae hyn oll yn rhoi mantais sylweddol o ran cyflymder ymateb i ddigwyddiadau diogelwch gwybodaeth.

Hefyd, yn seiliedig ar arsylwadau o gornestau cwmnïau lle gweithredwyd neu dreialwyd platfform Xello Deception, gallwn ddod i'r casgliad na all hyd yn oed pentestwyr profiadol adnabod llithiau yn y rhwydwaith corfforaethol ac yn methu, gan syrthio i faglau. Mae'r ffaith hon unwaith eto yn cadarnhau effeithiolrwydd Twyll a'r rhagolygon gwych sy'n agor ar gyfer y dechnoleg hon yn y dyfodol.

Profi cynnyrch

Os oes gennych ddiddordeb yn y llwyfan Twyll, yna rydym yn barod cynnal profion ar y cyd.

Cadwch lygad am ddiweddariadau yn ein sianeli (TelegramFacebookVKBlog Ateb TS)!

Ffynhonnell: hab.com

Ychwanegu sylw