Honeypot vs Deception med Xello som eksempel

Der er allerede flere artikler på Habré om Honeypot og Deception-teknologier (1 artikel, 2 artikel). Men vi står stadig over for en manglende forståelse af forskellen mellem disse klasser af beskyttelsesudstyr. Hertil har vores kolleger fra Hej Deception (første russiske udvikler Platform bedrag) besluttede i detaljer at beskrive forskellene, fordelene og arkitektoniske træk ved disse løsninger.

Lad os finde ud af, hvad "honeypots" og "bedrag" er:

"Deception-teknologier" dukkede op på markedet for informationssikkerhedssystemer relativt for nylig. Nogle eksperter anser dog stadig Security Deception for bare at være mere avancerede honeypots.

I denne artikel vil vi forsøge at fremhæve både lighederne og grundlæggende forskelle mellem disse to løsninger. I den første del vil vi tale om honeypot, hvordan denne teknologi udviklede sig, og hvad er dens fordele og ulemper. Og i den anden del vil vi dvæle i detaljer ved principperne for drift af platforme til at skabe en distribueret infrastruktur af lokkefugle (engelsk, Distributed Deception Platform - DDP).

Det grundlæggende princip bag honeypots er at skabe fælder for hackere. De allerførste Deception-løsninger blev udviklet efter samme princip. Men moderne DDP'er er betydeligt bedre end honeypots, både i funktionalitet og effektivitet. Deception platforme omfatter: lokkefugle, fælder, lokker, applikationer, data, databaser, Active Directory. Moderne DDP'er kan levere kraftfulde funktioner til trusselsdetektion, angrebsanalyse og responsautomatisering.

Således er Deception en teknik til at simulere en virksomheds it-infrastruktur og vildlede hackere. Som følge heraf gør sådanne platforme det muligt at stoppe angreb, før de forårsager væsentlig skade på virksomhedens aktiver. Honeypots har selvfølgelig ikke så bred funktionalitet og et sådant automatiseringsniveau, så deres brug kræver flere kvalifikationer fra medarbejdere i informationssikkerhedsafdelinger.

1. Honeypots, Honeynets og Sandboxing: hvad de er, og hvordan de bruges

Udtrykket "honeypots" blev første gang brugt i 1989 i Clifford Stolls bog "The Cuckoo's Egg", som beskriver begivenhederne med at opspore en hacker på Lawrence Berkeley National Laboratory (USA). Denne idé blev ført ud i livet i 1999 af Lance Spitzner, en informationssikkerhedsspecialist hos Sun Microsystems, som grundlagde forskningsprojektet Honeynet Project. De første honningkrukker var meget ressourcekrævende, svære at sætte op og vedligeholde.

Lad os se nærmere på, hvad det er honeypots и honningnets. Honeypots er individuelle værter, hvis formål er at tiltrække angribere til at trænge ind i en virksomheds netværk og forsøge at stjæle værdifulde data, samt udvide netværkets dækningsområde. Honeypot (bogstaveligt oversat som "tønde honning") er en speciel server med et sæt forskellige netværkstjenester og protokoller, såsom HTTP, FTP osv. (se fig. 1).

Hvis du kombinerer flere honeypots ind i netværket, så får vi et mere effektivt system honningnet, som er en emulering af en virksomheds virksomhedsnetværk (webserver, filserver og andre netværkskomponenter). Denne løsning giver dig mulighed for at forstå angribernes strategi og vildlede dem. Et typisk honningnet fungerer som regel parallelt med arbejdsnetværket og er fuldstændig uafhængigt af det. Et sådant "netværk" kan publiceres på internettet via en separat kanal, og der kan også tildeles en separat række IP-adresser (se fig. 2).

Pointen med at bruge honeynet er at vise hackeren, at han angiveligt har trængt ind i organisationens virksomhedsnetværk, faktisk er angriberen i et "isoleret miljø" og under tæt opsyn af informationssikkerhedsspecialister (se fig. 3).

Her skal vi også nævne et sådant værktøj som "sandkasse"(Engelsk, sandkasse), som gør det muligt for angribere at installere og køre malware i et isoleret miljø, hvor it kan overvåge deres aktiviteter for at identificere potentielle risici og træffe passende modforanstaltninger. I øjeblikket implementeres sandboxing typisk på dedikerede virtuelle maskiner på en virtuel vært. Det skal dog bemærkes, at sandboxing kun viser, hvordan farlige og ondsindede programmer opfører sig, mens honeynet hjælper en specialist med at analysere adfærden hos "farlige spillere."

Den åbenlyse fordel ved honeynets er, at de vildleder angribere og spilder deres energi, ressourcer og tid. Som et resultat, i stedet for rigtige mål, angriber de falske og kan stoppe med at angribe netværket uden at opnå noget. Oftest bruges honeynet-teknologier i offentlige myndigheder og store virksomheder, finansielle organisationer, da det er de strukturer, der viser sig at være mål for større cyberangreb. Små og mellemstore virksomheder (SMB'er) har dog også brug for effektive værktøjer til at forhindre informationssikkerhedshændelser, men honeynets i SMB-sektoren er ikke så nemme at bruge på grund af manglen på kvalificeret personale til så komplekst arbejde.

Begrænsninger af Honeypots og Honeynets Solutions

Hvorfor er honeypots og honeynets ikke de bedste løsninger til at modvirke angreb i dag? Det skal bemærkes, at angreb bliver stadig mere omfattende, teknisk komplekse og i stand til at forårsage alvorlig skade på en organisations it-infrastruktur, og cyberkriminalitet har nået et helt andet niveau og repræsenterer højt organiserede skyggeforretningsstrukturer udstyret med alle de nødvendige ressourcer. Hertil skal lægges den "menneskelige faktor" (fejl i software- og hardwareindstillinger, insiders handlinger osv.), så det er ikke længere tilstrækkeligt at bruge teknologi til at forhindre angreb i øjeblikket.

Nedenfor lister vi de vigtigste begrænsninger og ulemper ved honningpotter (honningnet):

1. Honeypots blev oprindeligt udviklet til at identificere trusler, der er uden for virksomhedens netværk, snarere beregnet til at analysere angribernes adfærd og er ikke designet til hurtigt at reagere på trusler.

2. Angribere har som regel allerede lært at genkende emulerede systemer og undgå honningpotter.

3. Honeynets (honeypots) har et ekstremt lavt niveau af interaktivitet og interaktion med andre sikkerhedssystemer, som et resultat af, at det ved hjælp af honeypots er vanskeligt at få detaljeret information om angreb og angribere, og derfor at reagere effektivt og hurtigt på informationssikkerhedshændelser . Desuden modtager informationssikkerhedsspecialister et stort antal falske trusselsadvarsler.

4. I nogle tilfælde kan hackere bruge en kompromitteret honeypot som udgangspunkt for at fortsætte deres angreb på en organisations netværk.

5. Der opstår ofte problemer med skalerbarheden af ​​honeypots, høj driftsbelastning og konfiguration af sådanne systemer (de kræver højt kvalificerede specialister, har ikke en bekvem administrationsgrænseflade osv.). Der er store vanskeligheder med at implementere honeypots i specialiserede miljøer som IoT, POS, cloud-systemer osv.

2. Bedragerteknologi: fordele og grundlæggende driftsprincipper

Efter at have studeret alle fordele og ulemper ved honeypots, kommer vi til den konklusion, at en helt ny tilgang til at reagere på informationssikkerhedshændelser er nødvendig for at udvikle en hurtig og passende reaktion på angribernes handlinger. Og sådan en løsning er teknologi Cyberbedrag (sikkerhedsbedrag).

Terminologien "Cyberbedrag", "Sikkerhedsbedrag", "Bedragsteknologi", "Distributed Deception Platform" (DDP) er relativt ny og dukkede op for ikke så længe siden. Faktisk betyder alle disse udtryk brugen af ​​"bedragsteknologier" eller "teknikker til simulering af it-infrastruktur og desinformation fra angribere." De enkleste Deception-løsninger er en udvikling af ideerne om honeypots, kun på et mere teknologisk avanceret niveau, som involverer større automatisering af trusselsdetektion og reaktion på dem. Der er dog allerede seriøse DDP-klasse løsninger på markedet, som er nemme at implementere og skalere, og som også har et seriøst arsenal af "fælder" og "lokkemad" til angribere. For eksempel giver Deception dig mulighed for at efterligne it-infrastrukturobjekter såsom databaser, arbejdsstationer, routere, switches, pengeautomater, servere og SCADA, medicinsk udstyr og IoT.

Hvordan fungerer Distributed Deception Platform? Efter at DDP er implementeret, vil organisationens IT-infrastruktur blive bygget som om fra to lag: Det første lag er virksomhedens reelle infrastruktur, og det andet er et "emuleret" miljø bestående af lokkemidler og lokkemidler, som er placeret. på rigtige fysiske netværksenheder (se fig. 4).

For eksempel kan en angriber opdage falske databaser med "fortrolige dokumenter", falske legitimationsoplysninger for angiveligt "privilegerede brugere" - alle disse er lokkemidler, der kan interessere krænkere og derved aflede deres opmærksomhed fra virksomhedens sande informationsaktiver (se figur 5).

DDP er et nyt produkt på produktmarkedet for informationssikkerhed; disse løsninger er kun få år gamle, og indtil videre er det kun erhvervslivet, der har råd til dem. Men små og mellemstore virksomheder vil snart også være i stand til at drage fordel af Deception ved at leje DDP fra specialiserede udbydere "som en service." Denne mulighed er endnu mere praktisk, da der ikke er behov for dit eget højt kvalificerede personale.

De vigtigste fordele ved Deception-teknologi er vist nedenfor:

• Autenticitet (ægthed). Deception-teknologi er i stand til at reproducere et helt autentisk it-miljø i en virksomhed, kvalitativt emulere operativsystemer, IoT, POS, specialiserede systemer (medicinsk, industrielt osv.), tjenester, applikationer, legitimationsoplysninger osv. Lokkefugle blandes omhyggeligt med arbejdsmiljøet, og en angriber vil ikke være i stand til at identificere dem som honeypots.

• indførelsen af. DDP'er bruger maskinlæring (ML) i deres arbejde. Ved hjælp af ML sikres enkelhed, fleksibilitet i indstillinger og effektivitet ved implementering af Deception. "Fælder" og "lokkefugle" opdateres meget hurtigt, hvilket lokker en angriber ind i virksomhedens "falske" it-infrastruktur, og i mellemtiden kan avancerede analysesystemer baseret på kunstig intelligens registrere aktive handlinger fra hackere og forhindre dem (f.eks. forsøg på at få adgang til Active Directory-baserede svigagtige konti).

• Nem betjening. Moderne Distributed Deception Platforms er nemme at vedligeholde og administrere. De administreres typisk via en lokal eller cloud-konsol, med integrationsmuligheder med virksomhedens SOC (Security Operations Center) via API og med mange eksisterende sikkerhedskontroller. Vedligeholdelse og drift af DDP kræver ikke tjenester fra højt kvalificerede informationssikkerhedseksperter.

• Skalerbarhed. Sikkerhedsbedrag kan implementeres i fysiske, virtuelle og cloud-miljøer. DDP'er arbejder også med succes med specialiserede miljøer såsom IoT, ICS, POS, SWIFT osv. Avancerede Deception-platforme kan projicere "bedragsteknologier" ind i fjerntliggende kontorer og isolerede miljøer uden behov for yderligere fuld platformsimplementering.

• Interaktion. Ved at bruge kraftfulde og attraktive lokkefugle, der er baseret på rigtige operativsystemer og smart placeret blandt ægte it-infrastruktur, indsamler Deception-platformen omfattende information om angriberen. DDP sikrer derefter, at trusselsalarmer transmitteres, rapporter genereres, og informationssikkerhedshændelser reageres automatisk på.

• Startpunkt for angreb. I moderne Deception placeres fælder og lokkemad inden for netværkets rækkevidde, snarere end uden for det (som det er tilfældet med honeypots). Denne lokkedeployeringsmodel forhindrer en hacker i at bruge dem som et løftestangspunkt til at angribe virksomhedens reelle it-infrastruktur. Mere avancerede løsninger af Deception-klassen har trafikrouting-funktioner, så du kan dirigere al hackertrafik gennem en specielt dedikeret forbindelse. Dette giver dig mulighed for at analysere angribernes aktivitet uden at risikere værdifulde virksomhedsaktiver.

• Overtalelsesevnen ved "bedragsteknologier". I den indledende fase af angrebet indsamler og analyserer angribere data om it-infrastrukturen og bruger dem derefter til at bevæge sig horisontalt gennem virksomhedens netværk. Ved hjælp af "bedragsteknologier" vil angriberen helt sikkert falde i "fælder", der vil føre ham væk fra organisationens reelle aktiver. DDP vil analysere potentielle veje til at få adgang til legitimationsoplysninger på et virksomhedsnetværk og give angriberen "lokkemål" i stedet for rigtige legitimationsoplysninger. Disse kapaciteter manglede i høj grad i honeypot-teknologier. (Se figur 6).

Bedrag vs Honeypot

Og endelig kommer vi til det mest interessante øjeblik i vores forskning. Vi vil forsøge at fremhæve de vigtigste forskelle mellem Deception og Honeypot-teknologier. På trods af nogle ligheder er disse to teknologier stadig meget forskellige, fra den grundlæggende idé til operationel effektivitet.

1. Forskellige grundideer. Som vi skrev ovenfor, er honeypots installeret som "lokkere" omkring værdifulde virksomhedsaktiver (uden for virksomhedens netværk), og forsøger således at distrahere angribere. Honeypot-teknologi er baseret på en forståelse af en organisations infrastruktur, men honeypots kan blive et udgangspunkt for at lancere et angreb på en virksomheds netværk. Deception-teknologi er udviklet under hensyntagen til angriberens synspunkt og giver dig mulighed for at identificere et angreb på et tidligt tidspunkt, således får informationssikkerhedsspecialister en betydelig fordel i forhold til angribere og vinder tid.

2. "Attraktion" VS "Forvirring". Når du bruger honeypots, afhænger succes af at tiltrække angribernes opmærksomhed og yderligere motivere dem til at flytte til målet i honeypotten. Det betyder, at angriberen stadig skal nå honningpotten, før du kan stoppe ham. Således kan tilstedeværelsen af ​​angribere på netværket vare i flere måneder eller mere, og dette vil føre til datalækage og skader. DDP'er imiterer kvalitativt en virksomheds reelle it-infrastruktur; formålet med deres implementering er ikke blot at tiltrække en angribers opmærksomhed, men at forvirre ham, så han spilder tid og ressourcer, men ikke får adgang til de reelle aktiver i Selskab.

3. "Begrænset skalerbarhed" VS "automatisk skalerbarhed". Som tidligere nævnt har honeypots og honeynets problemer med skalering. Dette er svært og dyrt, og for at øge antallet af honeypots i et virksomhedssystem, bliver du nødt til at tilføje nye computere, OS, købe licenser og allokere IP. Desuden er det også nødvendigt at have kvalificeret personale til at styre sådanne systemer. Deception-platforme implementeres automatisk, efterhånden som din infrastruktur skalerer, uden væsentlige omkostninger.

4. "Et stort antal falske positive" VS "ingen falske positive". Essensen af ​​problemet er, at selv en simpel bruger kan støde på en honeypot, så "ulempen" ved denne teknologi er et stort antal falske positiver, som distraherer informationssikkerhedsspecialister fra deres arbejde. "Baits" og "fælder" i DDP er omhyggeligt skjult for den gennemsnitlige bruger og er kun designet til en angriber, så hvert signal fra et sådant system er en meddelelse om en reel trussel og ikke en falsk positiv.

Konklusion

Efter vores mening er Deception-teknologien en kæmpe forbedring i forhold til den ældre Honeypots-teknologi. I bund og grund er DDP blevet en omfattende sikkerhedsplatform, der er nem at implementere og administrere.

Moderne platforme af denne klasse spiller en vigtig rolle i nøjagtigt at detektere og effektivt reagere på netværkstrusler, og deres integration med andre komponenter i sikkerhedsstakken øger automatiseringsniveauet, øger effektiviteten og effektiviteten af ​​hændelsesrespons. Deception-platforme er baseret på autenticitet, skalerbarhed, nem administration og integration med andre systemer. Alt dette giver en betydelig fordel med hensyn til hurtig reaktion på informationssikkerhedshændelser.

Baseret på observationer af pentests af virksomheder, hvor Xello Deception-platformen blev implementeret eller piloteret, kan vi drage konklusioner om, at selv erfarne pentestere ofte ikke kan genkende lokkemad i virksomhedens netværk og fejler, når de falder for fælderne. Dette faktum bekræfter endnu en gang effektiviteten af ​​Deception og de store perspektiver, der åbner op for denne teknologi i fremtiden.

Produkt test

Hvis du er interesseret i Deception platformen, så er vi klar gennemføre fælles test.

Følg med for opdateringer i vores kanaler (Telegram, Facebook, VK, TS Solution Blog)!

Kilde: www.habr.com