ProHoster > Блог > Administrado > Honeypot vs Trompo sur la ekzemplo de Xello

Honeypot vs Trompo sur la ekzemplo de Xello

Honeypot vs Trompo sur la ekzemplo de Xello

Jam ekzistas pluraj artikoloj pri Habré pri teknologioj Honeypot kaj Deception (1 artikolo, 2 artikolo). Tamen, ni ankoraŭ alfrontas mankon de kompreno pri la diferenco inter ĉi tiuj klasoj de protekta ekipaĵo. Por tio, niaj kolegoj de Saluton Trompo (unua rusa programisto Platforma Trompo) decidis detale priskribi la diferencojn, avantaĝojn kaj arkitekturajn trajtojn de tiuj solvoj.

Ni eltrovu, kio estas "mielpotoj" kaj "trompoj":

"Trompaj teknologioj" aperis relative lastatempe sur la merkato de informaj sekurecaj sistemoj. Tamen iuj spertuloj ankoraŭ konsideras Sekurecan Trompon kiel nur pli altnivelaj mielpotoj.

En ĉi tiu artikolo ni provos reliefigi ambaŭ la similecojn kaj fundamentajn diferencojn inter ĉi tiuj du solvoj. En la unua parto, ni parolos pri mielpoto, kiel ĉi tiu teknologio evoluis kaj kiaj estas ĝiaj avantaĝoj kaj malavantaĝoj. Kaj en la dua parto, ni detale detenos pri la principoj de funkciado de platformoj por krei distribuitan infrastrukturon de forlogaĵoj (angle, Distributed Deception Platform - DDP).

La baza principo sub mielpotoj estas krei kaptilojn por retpiratoj. La plej unuaj Trompsolvoj estis evoluigitaj laŭ la sama principo. Sed modernaj DDP-oj estas signife pli bonaj ol mielpotoj, kaj en funkcieco kaj efikeco. Trompplatformoj inkluzivas: forlogaĵojn, kaptilojn, logaĵojn, aplikojn, datumojn, datumbazojn, Aktivan Dosierujon. Modernaj DDP-oj povas disponigi potencajn kapablojn por minaca detekto, atakanalizo kaj respondaŭtomatigo.

Tiel, Trompo estas tekniko por simuli la IT-infrastrukturon de entrepreno kaj trompi piratojn. Kiel rezulto, tiaj platformoj ebligas ĉesigi atakojn antaŭ ol kaŭzi gravan damaĝon al kompanio-aktivoj. Honeypots, kompreneble, ne havas tiom larĝan funkciecon kaj tian nivelon de aŭtomatigo, do ilia uzo postulas pli da kvalifikoj de dungitoj de informasekurecaj fakoj.

1. Honeypots, Honeynets kaj Sandboxing: kio ili estas kaj kiel ili estas uzataj

La esprimo "mielpotoj" unue estis uzita en 1989 en la libro de Clifford Stoll "The Cuckoo's Egg", kiu priskribas la okazaĵojn de elspurado de retpirato ĉe la Lawrence Berkeley National Laboratory (Usono). Tiu ĉi ideo estis praktikita en 1999 de Lance Spitzner, specialisto pri informa sekureco ĉe Sun Microsystems, kiu fondis la esplorprojekton Honeynet Project. La unuaj mielpotoj estis tre rimedintensaj, malfacile instaleblaj kaj prizorgeblaj.

Ni rigardu pli detale kio ĝi estas mielpotoj и mielretoj. Honeypots estas individuaj gastigantoj, kies celo estas altiri atakantojn por penetri la reton de kompanio kaj provi ŝteli valorajn datumojn, kaj ankaŭ vastigi la kovradon de la reto. Honeypot (laŭvorte tradukita kiel "barelo da mielo") estas speciala servilo kun aro de diversaj retaj servoj kaj protokoloj, kiel HTTP, FTP, ktp. (vidu Fig. 1).

Honeypot vs Trompo sur la ekzemplo de Xello

Se vi kombinas plurajn mielpotoj en la reton, tiam ni ricevos pli efikan sistemon honeynet, kiu estas kopiado de la kompania reto de kompanio (retservilo, dosierservilo kaj aliaj retaj komponantoj). Ĉi tiu solvo permesas kompreni la strategion de atakantoj kaj trompi ilin. Tipa honeynet, kiel regulo, funkcias paralele kun la laborreto kaj estas tute sendependa de ĝi. Tia "reto" povas esti eldonita en la Interreto per aparta kanalo; aparta gamo de IP-adresoj ankaŭ povas esti asignita por ĝi (vidu Fig. 2).

Honeypot vs Trompo sur la ekzemplo de Xello

La celo uzi honeynet estas montri al la retpirato, ke li supozeble penetris la kompanian reton de la organizo; fakte, la atakanto estas en "izolita medio" kaj sub la proksima superrigardo de informsekurecaj specialistoj (vidu Fig. 3).

Honeypot vs Trompo sur la ekzemplo de Xello

Ĉi tie ni ankaŭ devas mencii tian ilon kiel "sablokesto"(angla, sandbox), kiu permesas al atakantoj instali kaj ruli malware en izolita medio kie IT povas monitori iliajn agadojn por identigi eblajn riskojn kaj preni taŭgajn kontraŭiniciatojn. Nuntempe, sandboxing estas tipe efektivigita sur diligentaj virtualaj maŝinoj sur virtuala gastiganto. Tamen, oni devas rimarki, ke sandboxing nur montras kiom danĝeraj kaj malicaj programoj kondutas, dum honeynet helpas specialiston analizi la konduton de "danĝeraj ludantoj".

La evidenta avantaĝo de mielretoj estas, ke ili erarigas atakantojn, malŝparante sian energion, rimedojn kaj tempon. Kiel rezulto, anstataŭ veraj celoj, ili atakas falsajn kaj povas ĉesi ataki la reton sen atingi ion ajn. Plej ofte, honeynets teknologioj estas uzataj en registaraj agentejoj kaj grandaj korporacioj, financaj organizoj, ĉar ĉi tiuj estas la strukturoj kiuj rezultas esti celoj por gravaj ciberatakoj. Tamen, malgrandaj kaj mezgrandaj entreprenoj (SMB) ankaŭ bezonas efikajn ilojn por malhelpi informsekurecajn okazaĵojn, sed mielretoj en la SMB-sektoro ne estas tiel facile uzeblaj pro la manko de kvalifikita dungitaro por tia kompleksa laboro.

Limigoj de Honeypots kaj Honeynets Solutions

Kial mielpotoj kaj mielretoj ne estas la plej bonaj solvoj por kontraŭbatali atakojn hodiaŭ? Oni devas rimarki, ke atakoj fariĝas ĉiam pli grandskalaj, teknike kompleksaj kaj kapablaj kaŭzi gravan damaĝon al la IT-infrastrukturo de organizo, kaj ciberkrimo atingis tute alian nivelon kaj reprezentas tre organizitajn ombrajn komercajn strukturojn ekipitajn per ĉiuj necesaj rimedoj. Al tio oni devas aldoni la "homan faktoron" (eraroj en programaro kaj aparataro, agoj de internuloj, ktp.), do uzi nur teknologion por malhelpi atakojn ne plu sufiĉas nuntempe.

Malsupre ni listigas la ĉefajn limojn kaj malavantaĝojn de mielpotoj (honeynets):

  1. Honeypots estis origine evoluigitaj por identigi minacojn kiuj estas ekster la kompania reto, estas celitaj prefere analizi la konduton de atakantoj kaj ne estas dizajnitaj por rapide respondi al minacoj.

  2. Atakantoj, kiel regulo, jam lernis rekoni kopiitajn sistemojn kaj eviti mielpotojn.

  3. Mielretoj (mielpotoj) havas ekstreme malaltan nivelon de interagado kaj interago kun aliaj sekurecaj sistemoj, pro tio, uzante mielpotojn, estas malfacile akiri detalajn informojn pri atakoj kaj atakantoj, kaj tial respondi efike kaj rapide al informsekurecaj okazaĵoj. . Krome, specialistoj pri informa sekureco ricevas grandan nombron da falsaj minacaj atentigoj.

  4. En iuj kazoj, retpiratoj povas uzi kompromititan mielpoton kiel deirpunkto por daŭrigi sian atakon sur la reto de organizo.

  5. Problemoj ofte aperas kun la skalebleco de mielpotoj, alta funkcia ŝarĝo kaj agordo de tiaj sistemoj (ili postulas altkvalifikitajn specialistojn, ne havas oportunan administran interfacon, ktp.). Estas grandaj malfacilaĵoj en deplojado de mielpotoj en specialigitaj medioj kiel ekzemple IoT, POS, nubaj sistemoj, ktp.

2. Trompa teknologio: avantaĝoj kaj bazaj funkciaj principoj

Studinte ĉiujn avantaĝojn kaj malavantaĝojn de mielpotoj, ni venas al la konkludo, ke necesas tute nova aliro por respondi al informaj sekurecaj okazaĵoj por disvolvi rapidan kaj taŭgan respondon al la agoj de atakantoj. Kaj tia solvo estas teknologio Cibertrompo (Trompo pri sekureco).

La terminologio "Cyber ​​​​trompo", "Sekurectrompo", "Trompo-teknologio", "Distribuita Trompo Platformo" (DDP) estas relative nova kaj aperis antaŭ ne longe. Fakte, ĉiuj ĉi tiuj terminoj signifas la uzon de "trompoteknologioj" aŭ "teknikoj por simulado de IT-infrastrukturo kaj misinformado de atakantoj." La plej simplaj Trompsolvoj estas evoluo de la ideoj de mielpotoj, nur je pli teknologie progresinta nivelo, kiu implikas pli grandan aŭtomatigon de minaco-detekto kaj respondo al ili. Tamen, ekzistas jam seriozaj DDP-klasaj solvoj sur la merkato, kiuj estas facile disfaldeblaj kaj skalaj, kaj ankaŭ havas seriozan arsenalon de "kaptiloj" kaj "logiloj" por atakantoj. Ekzemple, Deception ebligas al vi kopii IT-infrastrukturajn objektojn kiel datumbazojn, laborstaciojn, enkursigilojn, ŝaltilojn, ATM-ojn, servilojn kaj SCADA, medicinajn ekipaĵojn kaj IoT.

Kiel funkcias la Distribuita Trompo-Platformo? Post kiam DDP estas deplojita, la IT-infrastrukturo de la organizo estos konstruita kvazaŭ el du tavoloj: la unua tavolo estas la reala infrastrukturo de la firmao, kaj la dua estas "imita" medio konsistanta el forlogaĵoj kaj logiloj), kiuj situas. sur realaj fizikaj retaj aparatoj (vidu Fig. 4).

Honeypot vs Trompo sur la ekzemplo de Xello

Ekzemple, atakanto povas malkovri falsajn datumbazojn kun "konfidencaj dokumentoj", falsaj akreditaĵoj de supozeble "privilegiaj uzantoj" - ĉio ĉi estas forlogaĵoj kiuj povas interesi malobservantojn, tiel deturnante ilian atenton de la veraj informaj aktivoj de la firmao (vidu Figuro 5).

Honeypot vs Trompo sur la ekzemplo de Xello

DDP estas nova produkto sur la informsekureca produktomerkato; ĉi tiuj solvoj aĝas nur kelkajn jarojn kaj ĝis nun nur la kompania sektoro povas pagi ilin. Sed malgrandaj kaj mezgrandaj entreprenoj baldaŭ ankaŭ povos utiligi Trompon luante DDP de specialigitaj provizantoj "kiel servo". Ĉi tiu opcio estas eĉ pli oportuna, ĉar ne necesas via propra tre kvalifikita dungitaro.

La ĉefaj avantaĝoj de Deception-teknologio estas montritaj sube:

  • Aŭtentikeco (aŭtenteco). Trompa teknologio kapablas reprodukti tute aŭtentan IT-medion de firmao, kvalite imitante operaciumojn, IoT, POS, specialajn sistemojn (medicinaj, industriaj, ktp.), servojn, aplikojn, akreditaĵojn, ktp. Forlogaĵoj estas zorge miksitaj kun la labormedio, kaj atakanto ne povos identigi ilin kiel mielpotojn.

  • Efektivigo. DDPoj uzas maŝinlernadon (ML) en sia laboro. Kun la helpo de ML, simpleco, fleksebleco en agordoj kaj efikeco de efektivigo de Deception estas certigitaj. "Kaptiloj" kaj "forlogaĵoj" estas ĝisdatigitaj tre rapide, allogante atakanton en la "falsan" IT-infrastrukturon de la firmao, kaj intertempe, altnivelaj analizsistemoj bazitaj sur artefarita inteligenteco povas detekti aktivajn agojn de retpiratoj kaj malhelpi ilin (ekzemple, provo aliri fraŭdajn kontojn bazitajn en Aktiva Dosierujo).

  • Facileco de funkciado. Modernaj Distribuitaj Trompaj Platformoj estas facile konservi kaj administri. Ili estas kutime administritaj per loka aŭ nuba konzolo, kun integriĝkapabloj kun la kompania SOC (Security Operations Center) per API kaj kun multaj ekzistantaj sekureckontroloj. Prizorgado kaj operacio de DDP ne postulas la servojn de tre kvalifikitaj informsekurecaj fakuloj.

  • Skalebleco. Sekureca trompo povas esti deplojita en fizikaj, virtualaj kaj nubaj medioj. DDP-oj ankaŭ funkcias sukcese kun specialigitaj medioj kiel ekzemple IoT, ICS, POS, SWIFT, ktp. Altnivelaj Trompo-platformoj povas projekcii "trompoteknologiojn" en malproksimajn oficejojn kaj izolitajn mediojn, sen la bezono de plia plena platformdeplojo.

  • Interago. Uzante potencajn kaj allogajn forlogaĵojn, kiuj baziĝas sur realaj operaciumoj kaj lerte metitaj inter reala IT-infrastrukturo, la platformo Deception kolektas ampleksajn informojn pri la atakanto. DDP tiam certigas, ke minacaj alarmoj estas elsenditaj, raportoj estas generitaj, kaj informsekurecaj okazaĵoj estas aŭtomate responditaj.

  • Komenca punkto de atako. En moderna Trompo, kaptiloj kaj logiloj estas metitaj ene de la intervalo de la reto, prefere ol ekster ĝi (kiel estas la kazo kun mielpotoj). Ĉi tiu deploja deplojmodelo malhelpas atakanton uzi ilin kiel levilpunkton por ataki la realan IT-infrastrukturon de la firmao. Pli altnivelaj solvoj de la Deception-klaso havas trafikvojajn kapablojn, do vi povas direkti la tutan atakan trafikon per speciale dediĉita konekto. Ĉi tio permesos al vi analizi la agadon de atakantoj sen riski valorajn kompaniojn.

  • La persvado de "trompoteknologioj". En la komenca stadio de la atako, atakantoj kolektas kaj analizas datumojn pri la IT-infrastrukturo, poste uzas ĝin por moviĝi horizontale tra la kompania reto. Kun la helpo de "trompo teknologioj", la atakanto certe falos en "kaptilojn", kiuj forkondukos lin de la realaj aktivoj de la organizo. DDP analizos eblajn vojojn por aliri akreditaĵojn en kompania reto kaj provizos la atakanton per "delokaj celoj" anstataŭ veraj akreditaĵoj. Ĉi tiuj kapabloj ege mankis en mielpotaj teknologioj. (Vidu figuron 6).

Honeypot vs Trompo sur la ekzemplo de Xello

Trompo VS Honeypot

Kaj fine, ni venas al la plej interesa momento de nia esplorado. Ni provos reliefigi la ĉefajn diferencojn inter Trompo kaj Honeypot teknologioj. Malgraŭ iuj similecoj, ĉi tiuj du teknologioj ankoraŭ estas tre malsamaj, de la fundamenta ideo ĝis la operacia efikeco.

  1. Malsamaj bazaj ideoj. Kiel ni skribis supre, mielpotoj estas instalitaj kiel "forlogaĵoj" ĉirkaŭ valoraj firmaaj aktivoj (ekster la kompania reto), tiel provante distri atakantojn. Honeypot-teknologio baziĝas sur kompreno de la infrastrukturo de organizo, sed mielpotoj povas iĝi deirpunkto por lanĉi atakon kontraŭ la reto de firmao. Trompa teknologio estas evoluigita konsiderante la vidpunkton de la atakanto kaj permesas vin identigi atakon en frua etapo, tiel, informsekurecaj specialistoj akiras gravan avantaĝon super atakantoj kaj akiras tempon.

  2. "Alogaĵo" VS "Konfuzo". Kiam vi uzas mielpotojn, sukceso dependas de altiri la atenton de atakantoj kaj plue instigi ilin moviĝi al la celo en la mielpoto. Ĉi tio signifas, ke la atakanto ankoraŭ devas atingi la mielpoton antaŭ ol vi povas haltigi lin. Tiel, la ĉeesto de atakantoj en la reto povas daŭri plurajn monatojn aŭ pli, kaj ĉi tio kondukos al datumfluo kaj damaĝo. DDP-oj kvalite imitas la realan IT-infrastrukturon de firmao; la celo de ilia efektivigo estas ne nur altiri la atenton de atakanto, sed konfuzi lin tiel ke li malŝparu tempon kaj rimedojn, sed ne akiru aliron al la realaj aktivoj de la. kompanio.

  3. "Limigita skaleblo" VS "aŭtomata skaleblo". Kiel notite antaŭe, mielpotoj kaj mielretoj havas skalajn problemojn. Ĉi tio estas malfacila kaj multekosta, kaj por pliigi la nombron da mielpotoj en kompania sistemo, vi devos aldoni novajn komputilojn, OS, aĉeti licencojn kaj asigni IP. Krome, ankaŭ necesas havi kvalifikitan dungitaron por administri tiajn sistemojn. Trompaj platformoj aŭtomate disvastiĝas laŭ via infrastrukturo, sen signifa superkosto.

  4. "Granda nombro da falsaj pozitivoj" VS "neniu falsaj pozitivoj". La esenco de la problemo estas, ke eĉ simpla uzanto povas renkonti mielpoton, do la "malavantaĝo" de ĉi tiu teknologio estas granda nombro da falsaj pozitivoj, kiuj distras specialistojn pri informa sekureco de sia laboro. "Logiloj" kaj "kaptiloj" en DDP estas zorge kaŝitaj de la averaĝa uzanto kaj estas dezajnitaj nur por atakanto, do ĉiu signalo de tia sistemo estas sciigo pri vera minaco, kaj ne falsa pozitivo.

konkludo

Laŭ nia opinio, Deception-teknologio estas grandega plibonigo super la pli malnova Honeypots-teknologio. Esence, DDP fariĝis ampleksa sekureca platformo, kiu estas facile deplojebla kaj administrebla.

Modernaj platformoj de ĉi tiu klaso ludas gravan rolon en precize detektado kaj efike respondado al retaj minacoj, kaj ilia integriĝo kun aliaj komponentoj de la sekureca stako pliigas la nivelon de aŭtomatigo, pliigas la efikecon kaj efikecon de incidenta respondo. Trompplatformoj baziĝas sur aŭtenteco, skaleblo, facileco de administrado kaj integriĝo kun aliaj sistemoj. Ĉio ĉi donas gravan avantaĝon en la rapideco de respondo al informaj sekurecaj okazaĵoj.

Ankaŭ, surbaze de observoj de pentestoj de kompanioj, kie la platformo Xello Deception estis efektivigita aŭ pilotata, ni povas tiri konkludojn, ke eĉ spertaj pentesteroj ofte ne povas rekoni la logilon en la kompania reto kaj malsukcesas kiam ili falas por la kaptiloj starigitaj. Ĉi tiu fakto denove konfirmas la efikecon de Deception kaj la grandajn perspektivojn, kiuj malfermiĝas por ĉi tiu teknologio en la estonteco.

Produkta testado

Se vi interesiĝas pri la platformo Deception, tiam ni pretas fari komunajn provojn.

Restu agordita por ĝisdatigoj en niaj kanaloj (TelegramoFacebookVKTS Solva Blogo)!

fonto: www.habr.com

Aldoni komenton