Auf Habré gibt es bereits mehrere Artikel über Honeypot- und Deception-Technologien (, ). Allerdings mangelt es uns immer noch an Verständnis für den Unterschied zwischen diesen Schutzausrüstungsklassen. Dafür haben unsere Kollegen von (der erste russische Entwickler ) hat beschlossen, die Unterschiede, Vorteile und architektonischen Merkmale dieser Lösungen im Detail zu beschreiben.
Lassen Sie uns herausfinden, was „Honeypots“ und „Täuschungen“ sind:
„Technologies of Deception“ (dt. Täuschungstechnologie) ist erst vor relativ kurzer Zeit auf dem Markt für Informationssicherheitssysteme erschienen. Einige Experten halten Security Deception jedoch immer noch für einen fortgeschritteneren Honeypot.
In diesem Artikel werden wir versuchen, sowohl die Gemeinsamkeiten als auch die grundlegenden Unterschiede zwischen diesen beiden Lösungen hervorzuheben. Im ersten Teil sprechen wir über den „Honeypot“, wie sich diese Technologie entwickelt hat und welche Vor- und Nachteile sie hat. Und im zweiten Teil werden wir uns ausführlich mit den Funktionsprinzipien von Plattformen zum Aufbau einer verteilten Täuschungsinfrastruktur (englisch Distributed Deception Platform – DDP) befassen.
Das Grundprinzip von Honeypots besteht darin, Fallen für Hacker zu schaffen. Die allerersten Deception-Lösungen wurden nach dem gleichen Prinzip entwickelt. Allerdings sind moderne DDPs Honeypots sowohl in ihrer Funktionalität als auch in ihrer Effizienz deutlich überlegen. Zu den Täuschungsplattformen gehören: Fallen (englisch, Lockvögel, Fallen), Köder (englisch, Köder), Anwendungen, Daten, Datenbanken, Active Directory. Moderne DDPs können leistungsstarke Funktionen zur Bedrohungserkennung, Angriffsanalyse und Reaktionsautomatisierung bereitstellen.
Unter Deception versteht man also Techniken, um die IT-Infrastruktur eines Unternehmens nachzuahmen und Hacker in die Irre zu führen. Dadurch ist es mit solchen Plattformen möglich, Angriffe zu stoppen, bevor erhebliche Schäden an den Vermögenswerten des Unternehmens entstehen. Honeypots verfügen natürlich nicht über einen so großen Funktionsumfang und keinen so hohen Automatisierungsgrad, sodass ihr Einsatz eine höhere Qualifikation der Mitarbeiter der Informationssicherheitsabteilungen erfordert.
1. Honeypots, Honeynets und Sandboxing: Was ist das und wie wird es angewendet?
Erstmals wurde der Begriff „Honeypots“ 1989 in dem Buch „The Cuckoo's Egg“ von Clifford Stoll verwendet, das die Ereignisse bei der Aufspürung eines Hackers im Lawrence Berkeley National Laboratory (USA) beschreibt. Diese Idee wurde 1999 von Lance Spitzner, einem Informationssicherheitsspezialisten bei Sun Microsystems, in die Tat umgesetzt, der das Forschungsprojekt Honeynet Project gründete. Die ersten Honeypots waren sehr ressourcenintensiv und schwierig einzurichten und zu warten.
Schauen wir uns genauer an, was ist Honeypots и Honignetze. Honeypots sind separate Hosts, deren Zweck darin besteht, Angreifer dazu zu verleiten, in das Netzwerk des Unternehmens einzudringen und zu versuchen, wertvolle Daten zu stehlen, sowie die Abdeckung des Netzwerks zu erweitern. Honeypot (wörtlich übersetzt „ein Fass Honig“) ist ein spezieller Server mit einer Reihe verschiedener Netzwerkdienste und Protokolle wie HTTP, FTP usw. (siehe Abb. 1).
Wenn Sie mehrere kombinieren Honeypots in das Netzwerk, dann erhalten wir ein effizienteres System Honignetz, eine Emulation des Unternehmensnetzwerks eines Unternehmens (Webserver, Dateiserver und andere Netzwerkkomponenten). Mit dieser Lösung können Sie die Strategie der Angreifer verstehen und sie in die Irre führen. Ein typisches Honeynet läuft in der Regel parallel zum Produktionsnetzwerk und ist von diesem völlig unabhängig. Ein solches „Netzwerk“ kann über einen separaten Kanal im Internet veröffentlicht werden und ihm kann auch ein eigener IP-Adressbereich zugewiesen werden (siehe Abb. 2).
Der Zweck des Einsatzes von Honeynet besteht darin, dem Hacker zu zeigen, dass er angeblich in das Unternehmensnetzwerk der Organisation eingedrungen ist; tatsächlich befindet sich der Angreifer in einer „isolierten Umgebung“ und unter der strengen Aufsicht von Informationssicherheitsspezialisten (siehe Abbildung 3).
Auch hier ist es notwendig, ein solches Tool zu erwähnen wie „Sandkasten"(Englisch, Sandkasten), die es Angreifern ermöglicht, Malware in einer isolierten Umgebung zu installieren und auszuführen, in der IT-Experten ihre Aktivitäten überwachen können, um potenzielle Risiken zu erkennen und die notwendigen Gegenmaßnahmen zu ergreifen. Derzeit wird Sandboxing typischerweise auf dedizierten virtuellen Maschinen auf einem virtuellen Host implementiert. Es ist jedoch zu beachten, dass Sandboxing nur zeigt, wie sich gefährliche und bösartige Programme verhalten, während Honeynet einem Spezialisten hilft, das Verhalten „gefährlicher Spieler“ zu analysieren.
Der offensichtliche Vorteil von Honeynets besteht darin, dass sie Angreifer in die Irre führen und ihre Energie, Ressourcen und Zeit verschwenden. Dadurch greifen sie statt echter Ziele falsche an und können den Angriff auf das Netzwerk einstellen, ohne etwas zu erreichen. Am häufigsten werden Honeynets-Technologien in Regierungsbehörden und großen Unternehmen und Finanzorganisationen eingesetzt, da diese Strukturen das Ziel großer Cyberangriffe sind. Allerdings benötigen auch kleine und mittlere Unternehmen (KMU) wirksame Tools zur Verhinderung von Informationssicherheitsvorfällen. Allerdings sind Honeynets im KMU-Bereich aufgrund des Mangels an qualifiziertem Personal für solch komplexe Arbeiten nicht so einfach zu nutzen.
Einschränkungen von Honeypots- und Honeynets-Lösungen
Warum sind Honeypots und Honeynets heute nicht die besten Lösungen zur Angriffsabwehr? Es ist zu beachten, dass Angriffe immer umfangreicher, technisch komplexer und in der Lage sind, der IT-Infrastruktur des Unternehmens ernsthaften Schaden zuzufügen, während die Cyberkriminalität ein völlig anderes Niveau erreicht hat und eine hochorganisierte Schattenunternehmensstruktur darstellt, die mit allem Notwendigen ausgestattet ist Ressourcen. Hinzu kommt der „menschliche Faktor“ (Fehler in Soft- und Hardwareeinstellungen, Insider-Aktionen etc.), so dass der alleinige Einsatz von Technologie zur Abwehr von Angriffen derzeit nicht mehr ausreicht.
Nachfolgend listen wir die wichtigsten Einschränkungen und Nachteile von Honeypots (Honeynets) auf:
-
Honeypots wurden ursprünglich zur Identifizierung von Bedrohungen außerhalb des Unternehmensnetzwerks entwickelt, dienen eher der Analyse des Verhaltens von Eindringlingen und sind nicht darauf ausgelegt, schnell auf Bedrohungen zu reagieren.
-
Übeltäter haben in der Regel bereits gelernt, die emulierten Systeme zu erkennen und Honeypots zu vermeiden.
-
Honeynets (Honeypots) weisen ein äußerst geringes Maß an Interaktivität und Interaktion mit anderen Sicherheitssystemen auf, weshalb es mithilfe von Honeypots schwierig ist, detaillierte Informationen über Angriffe und Angreifer zu erhalten und somit effektiv und schnell auf Informationssicherheitsvorfälle zu reagieren. Darüber hinaus erhalten Informationssicherheitsspezialisten eine große Anzahl falscher Bedrohungswarnungen.
-
In manchen Fällen nutzen Hacker einen kompromittierten Honeypot als Ausgangspunkt für weitere Angriffe auf das Netzwerk einer Organisation.
-
Probleme treten häufig mit der Skalierbarkeit von Honeypots, der hohen Betriebslast und der Konfiguration solcher Systeme auf (sie erfordern hochqualifizierte Spezialisten, verfügen nicht über eine komfortable Verwaltungsschnittstelle usw.). Es gibt große Schwierigkeiten bei der Bereitstellung von Honeypots in speziellen Umgebungen wie IoT, POS, Cloud-Systemen usw.
2. Täuschungstechnologie: Vorteile und Grundprinzipien der Funktionsweise
Nachdem wir alle Vor- und Nachteile von Honeypots untersucht haben, kommen wir zu dem Schluss, dass ein völlig neuer Ansatz zur Reaktion auf Informationssicherheitsvorfälle erforderlich ist, um eine schnelle und angemessene Reaktion auf die Aktionen von Angreifern zu entwickeln. Und eine solche Lösung ist Technologie Cyber-Täuschung (Sicherheitstäuschung).
Die Terminologie „Cyber-Deception“, „Security-Deception“, „Deception-Technologie“, „Distributed Deception Platform“ (DDP) ist relativ neu und tauchte vor nicht allzu langer Zeit auf. Tatsächlich bedeuten alle diese Begriffe den Einsatz von „Täuschungstechnologien“ oder „Techniken zur Nachahmung der IT-Infrastruktur und zur Fehlinformation von Angreifern“. Die einfachsten Deception-Lösungen sind die Entwicklung von Honeypot-Ideen, jedoch auf einem technologisch fortgeschritteneren Niveau, das eine stärkere Automatisierung der Bedrohungserkennung und -reaktion beinhaltet. Es gibt jedoch bereits seriöse Lösungen der DDP-Klasse auf dem Markt, die eine einfache Bereitstellung und Skalierbarkeit sowie ein umfangreiches Arsenal an „Fallen“ und „Ködern“ für Angreifer bieten. Mit Deception können Sie beispielsweise IT-Infrastrukturobjekte wie Datenbanken, Workstations, Router, Switches, Geldautomaten, Server und SCADA, medizinische Geräte und IoT emulieren.
Wie funktioniert die Distributed Deception Platform? Nach der Bereitstellung von DDP wird die IT-Infrastruktur der Organisation wie aus zwei Schichten aufgebaut: Die erste Schicht ist die reale Infrastruktur des Unternehmens und die zweite ist eine „emulierte“ Umgebung, die aus Fallen (englisch: decoys, traps) besteht ) und Köder (englisch, lures), die sich auf realen physischen Netzwerkgeräten befinden (siehe Abbildung 4).
Beispielsweise kann ein Angreifer falsche Datenbanken mit „vertraulichen Dokumenten“ oder falschen Anmeldeinformationen vermeintlich „privilegierter Benutzer“ entdecken – all dies sind falsche Ziele, sie können Eindringlinge interessieren und so ihre Aufmerksamkeit von den wahren Informationsbeständen des Unternehmens ablenken (siehe Abbildung 5). .
DDP ist ein neues Produkt auf dem Markt für Informationssicherheitsprodukte; diese Lösungen sind erst wenige Jahre alt und bisher nur für den Unternehmensbereich erschwinglich. Aber auch kleine und mittelständische Unternehmen können bald die Vorteile von Deception nutzen, indem sie DDP bei spezialisierten Anbietern „as a Service“ mieten. Diese Option ist noch komfortabler, da kein eigenes hochqualifiziertes Personal erforderlich ist.
Die Hauptvorteile der Deception-Technologie sind im Folgenden aufgeführt:
-
Authentizität (Authentizität). Die Deception-Technologie ist in der Lage, eine völlig authentische IT-Umgebung eines Unternehmens zu reproduzieren und Betriebssysteme, IoT, POS, spezialisierte Systeme (medizinisch, industriell usw.), Dienste, Anwendungen, Anmeldeinformationen usw. in hoher Qualität zu emulieren. Fallen (Köder) werden sorgfältig in die Produktionsumgebung eingemischt und können von einem Angreifer nicht als Honeypots identifiziert werden.
-
Внедрение. DDPs nutzen bei ihrer Arbeit maschinelles Lernen (ML). Mit Hilfe von ML werden Einfachheit, Flexibilität bei den Einstellungen und Effizienz der Implementierung von Deception gewährleistet. „Fallen“ und „Honeypots“ werden sehr schnell aktualisiert und locken einen Angreifer in die „falsche“ IT-Infrastruktur des Unternehmens, und in der Zwischenzeit können fortschrittliche Analysesysteme auf Basis künstlicher Intelligenz aktive Aktionen von Hackern erkennen und verhindern (z. B. eine Versuch, auf betrügerische Active Directory-basierte Konten zuzugreifen).
-
Einfache Bedienung. Die moderne „Distributed Deception Platform“ ist einfach zu warten und zu verwalten. Sie werden in der Regel über eine lokale oder Cloud-Konsole verwaltet, es bestehen Möglichkeiten zur Integration mit dem Unternehmens-SOC (Security Operations Center) über die API und mit vielen bestehenden Sicherheitskontrollen. Für die Wartung und den Betrieb von DDP sind die Dienste hochqualifizierter Informationssicherheitsexperten nicht erforderlich.
-
Skalierbarkeit. Sicherheitsbetrug kann in physischen, virtuellen und Cloud-Umgebungen eingesetzt werden. DDPs arbeiten auch erfolgreich mit spezialisierten Umgebungen wie IoT, ICS, POS, SWIFT usw. zusammen. Erweiterte Deception-Plattformen können „Täuschungstechnologien“ in entfernte Büros und isolierte Umgebungen projizieren, ohne dass eine zusätzliche vollständige Plattformbereitstellung erforderlich ist.
-
Interaktion. Mithilfe effektiver und attraktiver Lockvögel, die auf einem echten Betriebssystem basieren und geschickt in der realen IT-Infrastruktur platziert werden, sammelt die Deception-Plattform umfangreiche Informationen über den Angreifer. DDP stellt dann Bedrohungswarnungen bereit, es werden Berichte erstellt und es erfolgt eine automatische Reaktion auf Informationssicherheitsvorfälle.
-
Ausgangspunkt des Angriffs. Bei der modernen Täuschung werden Fallen und Köder innerhalb der Reichweite des Netzwerks platziert und nicht außerhalb (wie es bei Honeypots der Fall ist). Dieses Einsatzmodell von Fallen verhindert, dass ein Angreifer sie als Basis für Angriffe auf die reale IT-Infrastruktur eines Unternehmens nutzt. In fortgeschritteneren Lösungen der Deception-Klasse gibt es Traffic-Routing-Funktionen, sodass Sie den gesamten Angreifer-Traffic über eine dedizierte Verbindung leiten können. Dadurch können Sie die Aktivitäten von Eindringlingen analysieren, ohne wertvolle Unternehmenswerte zu gefährden.
-
Die Überzeugungskraft von „Täuschungstechnologien“. In der Anfangsphase des Angriffs sammeln und analysieren Angreifer Daten über die IT-Infrastruktur und bewegen sich dann damit horizontal durch das Unternehmensnetzwerk. Mit Hilfe von „Täuschungstechnologien“ wird der Angreifer definitiv in „Fallen“ tappen, die ihn von den wahren Vermögenswerten der Organisation wegführen. DDP analysiert potenzielle Wege zum Zugriff auf Anmeldeinformationen in einem Unternehmensnetzwerk und stellt dem Angreifer „Täuschungsziele“ anstelle echter Anmeldeinformationen zur Verfügung. Diese Fähigkeiten fehlten den Honeypot-Technologien schmerzlich. (Siehe Abbildung 6).
Täuschung gegen Honeypot
Und schließlich kommen wir zum interessantesten Punkt unserer Studie. Wir werden versuchen, die Hauptunterschiede zwischen den Deception- und Honeypot-Technologien hervorzuheben. Trotz einiger Ähnlichkeiten unterscheiden sich diese beiden Technologien dennoch stark, von der Grundidee bis zur Arbeitseffizienz.
-
Verschiedene Grundideen. Wie wir oben geschrieben haben, werden Honeypots als „Köder“ rund um die wertvollen Vermögenswerte des Unternehmens (außerhalb des Unternehmensnetzwerks) installiert und versuchen so, Eindringlinge abzulenken. Während die Honeypot-Technologie auf einem Verständnis der Infrastruktur einer Organisation basiert, können Honeypots ein Ausgangspunkt für Angriffe auf das Netzwerk eines Unternehmens sein. Die Täuschungstechnologie wird unter Berücksichtigung der Sichtweise des Angreifers entwickelt und ermöglicht es Ihnen, einen Angriff in einem frühen Stadium zu erkennen, wodurch Informationssicherheitsspezialisten einen erheblichen Vorteil gegenüber Angreifern erhalten und Zeit gewinnen.
-
„Anziehung“ vs. „Verstrickung“. Beim Einsatz von Honeypots hängt der Erfolg davon ab, die Aufmerksamkeit der Angreifer zu erregen und sie zusätzlich zu motivieren, sich dem Ziel im Honeypot zuzuwenden. Das bedeutet, dass der Angreifer noch an den Honeypot gelangen muss, bevor Sie ihn stoppen können. Daher kann die Präsenz von Eindringlingen im Netzwerk mehrere Monate oder länger andauern, was zu Datenlecks und Schäden führen kann. DDP imitieren qualitativ die reale IT-Infrastruktur des Unternehmens. Der Zweck ihrer Implementierung besteht nicht nur darin, die Aufmerksamkeit eines Angreifers zu erregen, sondern ihn zu verwirren, sodass er Zeit und Ressourcen verschwendet, aber keinen Zugriff auf die tatsächlichen Vermögenswerte des Unternehmens erhält.
-
„eingeschränkte Skalierbarkeit“ vs. „automatische Skalierbarkeit“. Wie bereits erwähnt, gibt es bei Honeypots und Honeynets Skalierungsprobleme. Es ist schwierig und teuer, und um die Anzahl der Honeypots in einem Unternehmenssystem zu erhöhen, müssen Sie neue Computer und Betriebssysteme hinzufügen, Lizenzen kaufen und IP zuweisen. Darüber hinaus ist für die Verwaltung solcher Systeme auch qualifiziertes Personal erforderlich. Deception-Plattformen werden bei der Skalierung der Infrastruktur automatisch und ohne nennenswerten Mehraufwand bereitgestellt.
-
„Hohe Anzahl falsch positiver Ergebnisse“ VS „keine falsch positiven Ergebnisse“. Der Kern des Problems besteht darin, dass selbst ein einfacher Benutzer auf einen Honeypot stoßen kann. Der „Nachteil“ dieser Technologie ist daher eine große Anzahl falsch positiver Ergebnisse, die Informationssicherheitsspezialisten von ihrer Arbeit ablenkt. „Köder“ und „Fallen“ in DDP werden sorgfältig vor dem Durchschnittsbenutzer verborgen und sind nur für einen Angreifer konzipiert. Daher ist jedes Signal von einem solchen System eine Benachrichtigung über eine echte Bedrohung und kein Fehlalarm.
Abschluss
Unserer Meinung nach ist die Deception-Technologie eine enorme Verbesserung gegenüber der älteren Honeypots-Technologie. Im Wesentlichen ist DDP zu einer umfassenden Sicherheitsplattform geworden, die einfach bereitzustellen und zu verwalten ist.
Moderne Plattformen dieser Klasse spielen eine wichtige Rolle bei der genauen Erkennung und effektiven Reaktion auf Netzwerkbedrohungen. Ihre Integration mit anderen Komponenten des Sicherheitsstapels erhöht den Automatisierungsgrad und erhöht die Effizienz und Effektivität der Reaktion auf Vorfälle. Täuschungsplattformen basieren auf Authentizität, Skalierbarkeit, einfacher Verwaltung und Integration mit anderen Systemen. All dies führt zu einem erheblichen Vorteil bei der Reaktionsgeschwindigkeit auf Vorfälle im Bereich der Informationssicherheit.
Basierend auf Beobachtungen von Pentests von Unternehmen, bei denen die Xello Deception-Plattform implementiert oder pilotiert wurde, können wir außerdem den Schluss ziehen, dass selbst erfahrene Pentester häufig Köder im Unternehmensnetzwerk nicht erkennen und scheitern und in Fallen tappen. Diese Tatsache bestätigt einmal mehr die Wirksamkeit von Deception und die großen Zukunftsaussichten, die sich dieser Technologie eröffnen.
Produkttest
Wenn Sie sich für Platform Deception interessieren, dann sind wir bereit .
Bleiben Sie dran für Updates in unseren Kanälen (, , , )!
Source: habr.com