ProHoster > Blog > διαχείριση > Honeypot vs Deception στο παράδειγμα του Xello

Honeypot vs Deception στο παράδειγμα του Xello

Honeypot vs Deception στο παράδειγμα του Xello

Υπάρχουν ήδη αρκετά άρθρα στο Habré σχετικά με τις τεχνολογίες Honeypot και Deception (1 άρθρο, 2 άρθρο). Ωστόσο, εξακολουθούμε να αντιμετωπίζουμε έλλειψη κατανόησης της διαφοράς μεταξύ αυτών των κατηγοριών προστατευτικού εξοπλισμού. Για αυτό, οι συνάδελφοί μας από Γεια σου Παραπλάνηση (πρώτος Ρώσος προγραμματιστής Εξαπάτηση πλατφόρμας) αποφάσισε να περιγράψει λεπτομερώς τις διαφορές, τα πλεονεκτήματα και τα αρχιτεκτονικά χαρακτηριστικά αυτών των λύσεων.

Ας μάθουμε τι είναι οι «honeypots» και οι «παραπλανήσεις»:

Οι «τεχνολογίες εξαπάτησης» εμφανίστηκαν στην αγορά συστημάτων ασφάλειας πληροφοριών σχετικά πρόσφατα. Ωστόσο, ορισμένοι ειδικοί εξακολουθούν να θεωρούν ότι το Security Deception είναι απλώς πιο προηγμένα honeypot.

Σε αυτό το άρθρο θα προσπαθήσουμε να επισημάνουμε τόσο τις ομοιότητες όσο και τις θεμελιώδεις διαφορές μεταξύ αυτών των δύο λύσεων. Στο πρώτο μέρος, θα μιλήσουμε για το honeypot, πώς αναπτύχθηκε αυτή η τεχνολογία και ποια είναι τα πλεονεκτήματα και τα μειονεκτήματά της. Και στο δεύτερο μέρος, θα σταθούμε αναλυτικά στις αρχές λειτουργίας των πλατφορμών για τη δημιουργία μιας κατανεμημένης υποδομής δολωμάτων (Αγγλικά, Distributed Deception Platform - DDP).

Η βασική αρχή που διέπει τα honeypots είναι η δημιουργία παγίδων για τους χάκερ. Οι πρώτες λύσεις Deception αναπτύχθηκαν με την ίδια αρχή. Αλλά τα σύγχρονα DDP υπερτερούν σημαντικά από τα honeypot, τόσο σε λειτουργικότητα όσο και σε αποτελεσματικότητα. Οι πλατφόρμες εξαπάτησης περιλαμβάνουν: δολώματα, παγίδες, θέλγητρα, εφαρμογές, δεδομένα, βάσεις δεδομένων, Active Directory. Τα σύγχρονα DDP μπορούν να παρέχουν ισχυρές δυνατότητες για ανίχνευση απειλών, ανάλυση επιθέσεων και αυτοματοποίηση απόκρισης.

Έτσι, η εξαπάτηση είναι μια τεχνική για την προσομοίωση της υποδομής πληροφορικής μιας επιχείρησης και την παραπλάνηση των χάκερ. Ως αποτέλεσμα, τέτοιες πλατφόρμες καθιστούν δυνατό τον τερματισμό των επιθέσεων πριν προκληθεί σημαντική ζημιά στα περιουσιακά στοιχεία της εταιρείας. Τα Honeypot, φυσικά, δεν έχουν τόσο ευρεία λειτουργικότητα και τέτοιο επίπεδο αυτοματισμού, επομένως η χρήση τους απαιτεί περισσότερα προσόντα από τους υπαλλήλους των τμημάτων ασφάλειας πληροφοριών.

1. Honeypots, Honeynets και Sandboxing: τι είναι και πώς χρησιμοποιούνται

Ο όρος "honeypots" χρησιμοποιήθηκε για πρώτη φορά το 1989 στο βιβλίο του Clifford Stoll "The Cuckoo's Egg", το οποίο περιγράφει τα γεγονότα εντοπισμού ενός χάκερ στο Εθνικό Εργαστήριο Lawrence Berkeley (ΗΠΑ). Αυτή η ιδέα εφαρμόστηκε το 1999 από τον Lance Spitzner, ειδικό σε θέματα ασφάλειας πληροφοριών στη Sun Microsystems, ο οποίος ίδρυσε το ερευνητικό πρόγραμμα Honeynet Project. Τα πρώτα honeypots ήταν πολύ εντάσεως πόρων, δύσκολα στην εγκατάσταση και τη συντήρηση.

Ας ρίξουμε μια πιο προσεκτική ματιά σε τι είναι honeypots и honeynets. Τα Honeypots είναι μεμονωμένοι οικοδεσπότες των οποίων ο σκοπός είναι να προσελκύσουν επιτιθέμενους να διεισδύσουν στο δίκτυο μιας εταιρείας και να προσπαθήσουν να κλέψουν πολύτιμα δεδομένα, καθώς και να επεκτείνουν την περιοχή κάλυψης του δικτύου. Το Honeypot (κυριολεκτικά μεταφράζεται ως «βαρέλι με μέλι») είναι ένας ειδικός διακομιστής με ένα σύνολο από διάφορες υπηρεσίες δικτύου και πρωτόκολλα, όπως HTTP, FTP κ.λπ. (βλ. Εικ. 1).

Honeypot vs Deception στο παράδειγμα του Xello

Αν συνδυάσετε πολλά honeypots στο δίκτυο, τότε θα έχουμε ένα πιο αποτελεσματικό σύστημα honeynet, το οποίο είναι μια προσομοίωση του εταιρικού δικτύου μιας εταιρείας (διακομιστής Ιστού, διακομιστής αρχείων και άλλα στοιχεία δικτύου). Αυτή η λύση σάς επιτρέπει να κατανοήσετε τη στρατηγική των επιτιθέμενων και να τους παραπλανήσετε. Ένα τυπικό honeynet, κατά κανόνα, λειτουργεί παράλληλα με το δίκτυο εργασίας και είναι εντελώς ανεξάρτητο από αυτό. Ένα τέτοιο «δίκτυο» μπορεί να δημοσιευτεί στο Διαδίκτυο μέσω ενός ξεχωριστού καναλιού· μπορεί επίσης να εκχωρηθεί μια ξεχωριστή σειρά διευθύνσεων IP για αυτό (βλ. Εικ. 2).

Honeypot vs Deception στο παράδειγμα του Xello

Ο σκοπός της χρήσης του honeynet είναι να δείξει στον χάκερ ότι υποτίθεται ότι έχει διεισδύσει στο εταιρικό δίκτυο του οργανισμού· στην πραγματικότητα, ο εισβολέας βρίσκεται σε ένα «απομονωμένο περιβάλλον» και υπό τη στενή επίβλεψη ειδικών ασφάλειας πληροφοριών (βλ. Εικ. 3).

Honeypot vs Deception στο παράδειγμα του Xello

Εδώ πρέπει επίσης να αναφέρουμε ένα τέτοιο εργαλείο όπως "sandbox"(Αγγλικά, sandbox), το οποίο επιτρέπει στους εισβολείς να εγκαταστήσουν και να εκτελούν κακόβουλο λογισμικό σε ένα απομονωμένο περιβάλλον όπου το IT μπορεί να παρακολουθεί τις δραστηριότητές τους για να εντοπίσει πιθανούς κινδύνους και να λάβει τα κατάλληλα αντίμετρα. Επί του παρόντος, το sandboxing εφαρμόζεται συνήθως σε αποκλειστικές εικονικές μηχανές σε έναν εικονικό κεντρικό υπολογιστή. Ωστόσο, πρέπει να σημειωθεί ότι το sandboxing δείχνει μόνο πόσο επικίνδυνα και κακόβουλα προγράμματα συμπεριφέρονται, ενώ το honeynet βοηθά έναν ειδικό να αναλύσει τη συμπεριφορά των «επικίνδυνων παικτών».

Το προφανές όφελος των honeynets είναι ότι παραπλανούν τους επιτιθέμενους, σπαταλώντας την ενέργεια, τους πόρους και τον χρόνο τους. Ως αποτέλεσμα, αντί για πραγματικούς στόχους, επιτίθενται σε ψευδείς και μπορούν να σταματήσουν να επιτίθενται στο δίκτυο χωρίς να επιτύχουν τίποτα. Τις περισσότερες φορές, οι τεχνολογίες honeynets χρησιμοποιούνται σε κυβερνητικούς φορείς και μεγάλες εταιρείες, χρηματοπιστωτικούς οργανισμούς, καθώς αυτές είναι οι δομές που αποδεικνύονται στόχοι για μεγάλες επιθέσεις στον κυβερνοχώρο. Ωστόσο, οι μικρές και μεσαίες επιχειρήσεις (ΜΜΒ) χρειάζονται επίσης αποτελεσματικά εργαλεία για την πρόληψη περιστατικών ασφάλειας πληροφοριών, αλλά τα honeynets στον τομέα των μικρομεσαίων επιχειρήσεων δεν είναι τόσο εύχρηστα λόγω της έλλειψης ειδικευμένου προσωπικού για τέτοιες πολύπλοκες εργασίες.

Περιορισμοί Honeypots και Honeynets Solutions

Γιατί τα honeypots και τα honeynets δεν είναι οι καλύτερες λύσεις για την αντιμετώπιση επιθέσεων σήμερα; Πρέπει να σημειωθεί ότι οι επιθέσεις γίνονται όλο και πιο μεγάλης κλίμακας, τεχνικά πολύπλοκες και ικανές να προκαλέσουν σοβαρή ζημιά στην υποδομή πληροφορικής ενός οργανισμού και το έγκλημα στον κυβερνοχώρο έχει φτάσει σε εντελώς διαφορετικό επίπεδο και αντιπροσωπεύει άκρως οργανωμένες σκιώδεις επιχειρηματικές δομές εξοπλισμένες με όλους τους απαραίτητους πόρους. Σε αυτό πρέπει να προστεθεί ο «ανθρώπινος παράγοντας» (λάθη στις ρυθμίσεις λογισμικού και υλικού, ενέργειες εμπιστευτικών πληροφοριών, κ.λπ.), επομένως η χρήση μόνο τεχνολογίας για την πρόληψη επιθέσεων δεν αρκεί πλέον αυτή τη στιγμή.

Παρακάτω παραθέτουμε τους κύριους περιορισμούς και μειονεκτήματα των honeypots (honeynets):

  1. Τα Honeypots αναπτύχθηκαν αρχικά για τον εντοπισμό απειλών που βρίσκονται εκτός του εταιρικού δικτύου, προορίζονται μάλλον για την ανάλυση της συμπεριφοράς των εισβολέων και δεν έχουν σχεδιαστεί για να ανταποκρίνονται γρήγορα σε απειλές.

  2. Οι επιτιθέμενοι, κατά κανόνα, έχουν ήδη μάθει να αναγνωρίζουν συστήματα εξομοίωσης και να αποφεύγουν τα honeypot.

  3. Τα Honeynets (honeypots) έχουν εξαιρετικά χαμηλό επίπεδο αλληλεπίδρασης και αλληλεπίδρασης με άλλα συστήματα ασφαλείας, με αποτέλεσμα, χρησιμοποιώντας τα honeypots, να είναι δύσκολο να ληφθούν λεπτομερείς πληροφορίες σχετικά με επιθέσεις και επιτιθέμενους και επομένως να ανταποκριθούν αποτελεσματικά και γρήγορα σε συμβάντα ασφάλειας πληροφοριών . Επιπλέον, οι ειδικοί στην ασφάλεια πληροφοριών λαμβάνουν μεγάλο αριθμό ψευδών ειδοποιήσεων απειλών.

  4. Σε ορισμένες περιπτώσεις, οι χάκερ μπορεί να χρησιμοποιήσουν ένα παραβιασμένο honeypot ως σημείο εκκίνησης για να συνεχίσουν την επίθεσή τους στο δίκτυο ενός οργανισμού.

  5. Συχνά προκύπτουν προβλήματα με την επεκτασιμότητα των honeypot, το υψηλό λειτουργικό φορτίο και τη διαμόρφωση τέτοιων συστημάτων (απαιτούν υψηλά καταρτισμένους ειδικούς, δεν διαθέτουν βολική διεπαφή διαχείρισης κ.λπ.). Υπάρχουν μεγάλες δυσκολίες στην ανάπτυξη των honeypots σε εξειδικευμένα περιβάλλοντα όπως IoT, POS, συστήματα cloud κ.λπ.

2. Τεχνολογία εξαπάτησης: πλεονεκτήματα και βασικές αρχές λειτουργίας

Έχοντας μελετήσει όλα τα πλεονεκτήματα και τα μειονεκτήματα των honeypots, καταλήγουμε στο συμπέρασμα ότι απαιτείται μια εντελώς νέα προσέγγιση για την αντιμετώπιση περιστατικών ασφάλειας πληροφοριών προκειμένου να αναπτυχθεί μια γρήγορη και επαρκής απάντηση στις ενέργειες των επιτιθέμενων. Και μια τέτοια λύση είναι η τεχνολογία Κυβερνοαπάτη (απάτη ασφαλείας).

Η ορολογία "Cyber ​​Deception", "Security Deception", "Deception Technology", "Distributed Deception Platform" (DDP) είναι σχετικά νέα και εμφανίστηκε όχι πολύ καιρό πριν. Στην πραγματικότητα, όλοι αυτοί οι όροι σημαίνουν τη χρήση «τεχνολογιών εξαπάτησης» ή «τεχνικών προσομοίωσης υποδομής πληροφορικής και παραπληροφόρησης των εισβολέων». Οι απλούστερες λύσεις εξαπάτησης είναι μια ανάπτυξη των ιδεών των honeypots, μόνο σε ένα πιο προηγμένο τεχνολογικά επίπεδο, το οποίο περιλαμβάνει μεγαλύτερη αυτοματοποίηση της ανίχνευσης απειλών και της απόκρισης σε αυτά. Ωστόσο, υπάρχουν ήδη σοβαρές λύσεις κατηγορίας DDP στην αγορά που είναι εύκολο να αναπτυχθούν και να κλιμακωθούν, και έχουν επίσης ένα σοβαρό οπλοστάσιο «παγίδων» και «δολωμάτων» για τους επιτιθέμενους. Για παράδειγμα, το Deception σάς επιτρέπει να μιμείτε αντικείμενα υποδομής πληροφορικής όπως βάσεις δεδομένων, σταθμούς εργασίας, δρομολογητές, μεταγωγείς, ATM, διακομιστές και SCADA, ιατρικό εξοπλισμό και IoT.

Πώς λειτουργεί η πλατφόρμα κατανεμημένης εξαπάτησης; Μετά την ανάπτυξη του DDP, η υποδομή πληροφορικής του οργανισμού θα κατασκευαστεί σαν από δύο επίπεδα: το πρώτο επίπεδο είναι η πραγματική υποδομή της εταιρείας και το δεύτερο είναι ένα περιβάλλον «εξομοιούμενου» που αποτελείται από δολώματα και δολώματα. σε πραγματικές φυσικές συσκευές δικτύου (βλ. Εικ. 4).

Honeypot vs Deception στο παράδειγμα του Xello

Για παράδειγμα, ένας εισβολέας μπορεί να ανακαλύψει ψευδείς βάσεις δεδομένων με «εμπιστευτικά έγγραφα», πλαστά διαπιστευτήρια υποτιθέμενων «προνομιούχων χρηστών» - όλα αυτά είναι δόλωμα που μπορεί να ενδιαφέρουν τους παραβάτες, αποσπώντας έτσι την προσοχή τους από τα αληθινά περιουσιακά στοιχεία της εταιρείας (βλ. Εικόνα 5).

Honeypot vs Deception στο παράδειγμα του Xello

Το DDP είναι ένα νέο προϊόν στην αγορά προϊόντων ασφάλειας πληροφοριών· αυτές οι λύσεις είναι μόλις λίγα χρόνια παλιά και μέχρι στιγμής μόνο ο εταιρικός τομέας μπορεί να τις αντέξει οικονομικά. Ωστόσο, οι μικρές και μεσαίες επιχειρήσεις θα μπορούν σύντομα να επωφεληθούν από το Deception ενοικιάζοντας το DDP από εξειδικευμένους παρόχους «ως υπηρεσία». Αυτή η επιλογή είναι ακόμη πιο βολική, καθώς δεν υπάρχει ανάγκη για το δικό σας προσωπικό υψηλής εξειδίκευσης.

Τα κύρια πλεονεκτήματα της τεχνολογίας Deception φαίνονται παρακάτω:

  • Αυθεντικότητα (αυθεντικότητα). Η τεχνολογία παραπλάνησης είναι ικανή να αναπαράγει ένα εντελώς αυθεντικό περιβάλλον πληροφορικής μιας εταιρείας, μιμούμενο ποιοτικά λειτουργικά συστήματα, IoT, POS, εξειδικευμένα συστήματα (ιατρικά, βιομηχανικά κ.λπ.), υπηρεσίες, εφαρμογές, διαπιστευτήρια κ.λπ. Τα δόλώματα αναμιγνύονται προσεκτικά με το εργασιακό περιβάλλον και ένας εισβολέας δεν θα μπορεί να τα αναγνωρίσει ως honeypot.

  • Εφαρμογή. Οι DDP χρησιμοποιούν μηχανική μάθηση (ML) στην εργασία τους. Με τη βοήθεια του ML εξασφαλίζεται η απλότητα, η ευελιξία στις ρυθμίσεις και η αποτελεσματικότητα υλοποίησης του Deception. Οι «παγίδες» και οι «δόλωμα» ενημερώνονται πολύ γρήγορα, παρασύροντας έναν εισβολέα στην «ψευδή» υποδομή πληροφορικής της εταιρείας, και εν τω μεταξύ, προηγμένα συστήματα ανάλυσης που βασίζονται στην τεχνητή νοημοσύνη μπορούν να ανιχνεύσουν ενεργές ενέργειες χάκερ και να τις αποτρέψουν (για παράδειγμα, απόπειρα πρόσβασης σε δόλιους λογαριασμούς που βασίζονται στην υπηρεσία καταλόγου Active Directory).

  • Εύκολη λειτουργία. Οι σύγχρονες πλατφόρμες κατανεμημένης εξαπάτησης είναι εύκολες στη συντήρηση και τη διαχείριση. Η διαχείρισή τους γίνεται συνήθως μέσω τοπικής κονσόλας ή cloud, με δυνατότητες ενοποίησης με το εταιρικό SOC (Security Operations Center) μέσω API και με πολλούς υπάρχοντες ελέγχους ασφαλείας. Η συντήρηση και η λειτουργία του DDP δεν απαιτεί τις υπηρεσίες υψηλά καταρτισμένων ειδικών σε θέματα ασφάλειας πληροφοριών.

  • Επεκτασιμότητα. Η εξαπάτηση ασφαλείας μπορεί να αναπτυχθεί σε φυσικά, εικονικά περιβάλλοντα και περιβάλλοντα cloud. Τα DDP συνεργάζονται επίσης με επιτυχία με εξειδικευμένα περιβάλλοντα όπως IoT, ICS, POS, SWIFT κ.λπ. Οι προηγμένες πλατφόρμες εξαπάτησης μπορούν να προβάλλουν «τεχνολογίες εξαπάτησης» σε απομακρυσμένα γραφεία και απομονωμένα περιβάλλοντα, χωρίς να απαιτείται πρόσθετη πλήρης ανάπτυξη πλατφόρμας.

  • Αλληλεπίδραση. Χρησιμοποιώντας ισχυρά και ελκυστικά δόλώματα που βασίζονται σε πραγματικά λειτουργικά συστήματα και τοποθετούνται έξυπνα ανάμεσα σε πραγματικές υποδομές πληροφορικής, η πλατφόρμα Deception συλλέγει εκτενείς πληροφορίες για τον εισβολέα. Στη συνέχεια, το DDP διασφαλίζει ότι οι ειδοποιήσεις απειλής μεταδίδονται, δημιουργούνται αναφορές και ανταποκρίνονται αυτόματα σε συμβάντα ασφάλειας πληροφοριών.

  • Σημείο έναρξης επίθεσης. Στο σύγχρονο Deception, οι παγίδες και τα δολώματα τοποθετούνται εντός της εμβέλειας του δικτύου, παρά έξω από αυτό (όπως συμβαίνει με τα honeypots). Αυτό το μοντέλο ανάπτυξης δόλωμα εμποδίζει έναν εισβολέα να τα χρησιμοποιήσει ως σημείο μόχλευσης για να επιτεθεί στην πραγματική υποδομή πληροφορικής της εταιρείας. Οι πιο προηγμένες λύσεις της κατηγορίας Deception διαθέτουν δυνατότητες δρομολόγησης κυκλοφορίας, ώστε να μπορείτε να κατευθύνετε όλη την κίνηση εισβολέων μέσω μιας ειδικά αποκλειστικής σύνδεσης. Αυτό θα σας επιτρέψει να αναλύσετε τη δραστηριότητα των εισβολέων χωρίς να διακινδυνεύσετε πολύτιμα περιουσιακά στοιχεία της εταιρείας.

  • Η πειστικότητα των «τεχνολογιών εξαπάτησης». Στο αρχικό στάδιο της επίθεσης, οι επιτιθέμενοι συλλέγουν και αναλύουν δεδομένα σχετικά με την υποδομή πληροφορικής και στη συνέχεια τα χρησιμοποιούν για να μετακινηθούν οριζόντια μέσω του εταιρικού δικτύου. Με τη βοήθεια των «τεχνολογιών εξαπάτησης», ο εισβολέας θα πέσει σίγουρα σε «παγίδες» που θα τον οδηγήσουν μακριά από τα πραγματικά περιουσιακά στοιχεία του οργανισμού. Το DDP θα αναλύσει πιθανές διαδρομές για πρόσβαση σε διαπιστευτήρια σε ένα εταιρικό δίκτυο και θα παρέχει στον εισβολέα «στόχους παραπλάνησης» αντί για πραγματικά διαπιστευτήρια. Αυτές οι δυνατότητες έλειπαν πολύ στις τεχνολογίες honeypot. (Βλ. Εικόνα 6).

Honeypot vs Deception στο παράδειγμα του Xello

Παραπλάνηση VS Honeypot

Και τέλος, φτάνουμε στην πιο ενδιαφέρουσα στιγμή της έρευνάς μας. Θα προσπαθήσουμε να επισημάνουμε τις κύριες διαφορές μεταξύ των τεχνολογιών Deception και Honeypot. Παρά ορισμένες ομοιότητες, αυτές οι δύο τεχνολογίες εξακολουθούν να είναι πολύ διαφορετικές, από τη θεμελιώδη ιδέα μέχρι την αποδοτικότητα λειτουργίας.

  1. Διαφορετικές βασικές ιδέες. Όπως γράψαμε παραπάνω, τα honeypots εγκαθίστανται ως «δόλωμα» γύρω από πολύτιμα περιουσιακά στοιχεία της εταιρείας (εκτός του εταιρικού δικτύου), προσπαθώντας έτσι να αποσπάσουν την προσοχή των επιτιθέμενων. Η τεχνολογία Honeypot βασίζεται στην κατανόηση της υποδομής ενός οργανισμού, αλλά τα honeypots μπορούν να γίνουν αφετηρία για την επίθεση στο δίκτυο μιας εταιρείας. Η τεχνολογία εξαπάτησης αναπτύσσεται λαμβάνοντας υπόψη την άποψη του εισβολέα και σας επιτρέπει να προσδιορίσετε μια επίθεση σε πρώιμο στάδιο, έτσι, οι ειδικοί στην ασφάλεια πληροφοριών αποκτούν σημαντικό πλεονέκτημα έναντι των εισβολέων και κερδίζουν χρόνο.

  2. "Έλξη" VS "Σύγχυση". Όταν χρησιμοποιείτε honeypot, η επιτυχία εξαρτάται από την προσέλκυση της προσοχής των επιτιθέμενων και το περαιτέρω κίνητρό τους να κινηθούν προς τον στόχο στο honeypot. Αυτό σημαίνει ότι ο εισβολέας πρέπει ακόμα να φτάσει στο honeypot για να μπορέσετε να τον σταματήσετε. Έτσι, η παρουσία εισβολέων στο δίκτυο μπορεί να διαρκέσει για αρκετούς μήνες ή περισσότερο, και αυτό θα οδηγήσει σε διαρροή δεδομένων και ζημιά. Τα DDP μιμούνται ποιοτικά την πραγματική υποδομή πληροφορικής μιας εταιρείας· σκοπός της υλοποίησής τους δεν είναι απλώς να προσελκύσουν την προσοχή ενός εισβολέα, αλλά να τον μπερδέψουν ώστε να σπαταλά χρόνο και πόρους, αλλά να μην έχει πρόσβαση στα πραγματικά περιουσιακά στοιχεία του Εταιρία.

  3. "Περιορισμένη επεκτασιμότητα" VS "αυτόματη επεκτασιμότητα". Όπως σημειώθηκε νωρίτερα, τα honeypots και τα honeynets έχουν προβλήματα κλιμάκωσης. Αυτό είναι δύσκολο και ακριβό, και για να αυξήσετε τον αριθμό των honeypot σε ένα εταιρικό σύστημα, θα πρέπει να προσθέσετε νέους υπολογιστές, λειτουργικό σύστημα, να αγοράσετε άδειες χρήσης και να εκχωρήσετε IP. Επιπλέον, είναι επίσης απαραίτητο να υπάρχει εξειδικευμένο προσωπικό για τη διαχείριση τέτοιων συστημάτων. Οι πλατφόρμες εξαπάτησης αναπτύσσονται αυτόματα καθώς κλιμακώνεται η υποδομή σας, χωρίς σημαντικά έξοδα.

  4. "Ένας μεγάλος αριθμός ψευδών θετικών" VS "όχι ψευδώς θετικά". Η ουσία του προβλήματος είναι ότι ακόμη και ένας απλός χρήστης μπορεί να συναντήσει ένα honeypot, επομένως το "μειονέκτημα" αυτής της τεχνολογίας είναι ένας μεγάλος αριθμός ψευδών θετικών στοιχείων, τα οποία αποσπούν την προσοχή των ειδικών ασφάλειας πληροφοριών από την εργασία τους. Τα "δολώματα" και οι "παγίδες" στο DDP είναι προσεκτικά κρυμμένα από τον μέσο χρήστη και έχουν σχεδιαστεί μόνο για έναν εισβολέα, επομένως κάθε σήμα από ένα τέτοιο σύστημα είναι μια ειδοποίηση πραγματικής απειλής και όχι ένα ψευδές θετικό.

Συμπέρασμα

Κατά τη γνώμη μας, η τεχνολογία Deception είναι μια τεράστια βελτίωση σε σχέση με την παλαιότερη τεχνολογία Honeypots. Στην ουσία, το DDP έχει γίνει μια ολοκληρωμένη πλατφόρμα ασφαλείας που είναι εύκολο να αναπτυχθεί και να διαχειριστεί.

Οι σύγχρονες πλατφόρμες αυτής της κατηγορίας διαδραματίζουν σημαντικό ρόλο στον ακριβή εντοπισμό και την αποτελεσματική απόκριση σε απειλές δικτύου και η ενσωμάτωσή τους με άλλα στοιχεία της στοίβας ασφαλείας αυξάνει το επίπεδο αυτοματισμού, αυξάνει την αποδοτικότητα και την αποτελεσματικότητα της απόκρισης συμβάντων. Οι πλατφόρμες εξαπάτησης βασίζονται στην αυθεντικότητα, την επεκτασιμότητα, την ευκολία διαχείρισης και την ενοποίηση με άλλα συστήματα. Όλα αυτά δίνουν ένα σημαντικό πλεονέκτημα στην ταχύτητα απόκρισης σε συμβάντα ασφάλειας πληροφοριών.

Επίσης, με βάση τις παρατηρήσεις των pentest εταιρειών όπου εφαρμόστηκε ή πιλοτικά η πλατφόρμα Xello Deception, μπορούμε να βγάλουμε συμπεράσματα ότι ακόμη και έμπειροι pentesters συχνά δεν μπορούν να αναγνωρίσουν το δόλωμα στο εταιρικό δίκτυο και αποτυγχάνουν όταν πέφτουν στις παγίδες που έχουν στηθεί. Το γεγονός αυτό επιβεβαιώνει για άλλη μια φορά την αποτελεσματικότητα του Deception και τις μεγάλες προοπτικές που ανοίγονται για αυτήν την τεχνολογία στο μέλλον.

Δοκιμή προϊόντος

Αν σας ενδιαφέρει η πλατφόρμα Deception, τότε είμαστε έτοιμοι διεξαγωγή κοινών δοκιμών.

Μείνετε συντονισμένοι για ενημερώσεις στα κανάλια μας (TelegramFacebookVKΙστολόγιο TS Solution)!

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο