Ya existen varios artículos en Habré sobre las tecnologías Honeypot y Deception (, ). Sin embargo, todavía nos enfrentamos a una falta de comprensión de la diferencia entre estas clases de equipos de protección. Para ello, nuestros compañeros de (primer desarrollador ruso ) decidió describir en detalle las diferencias, ventajas y características arquitectónicas de estas soluciones.
Averigüemos qué son los “honeypots” y los “engaños”:
Las “tecnologías de engaño” aparecieron en el mercado de sistemas de seguridad de la información hace relativamente poco tiempo. Sin embargo, algunos expertos todavía consideran que Security Deception son simplemente trampas más avanzadas.
En este artículo intentaremos resaltar tanto las similitudes como las diferencias fundamentales entre estas dos soluciones. En la primera parte hablaremos del honeypot, cómo se desarrolló esta tecnología y cuáles son sus ventajas y desventajas. Y en la segunda parte, nos detendremos en los principios de funcionamiento de las plataformas para crear una infraestructura distribuida de señuelos (inglés, Distributed Deception Platform - DDP).
El principio básico de los honeypots es crear trampas para los piratas informáticos. Las primeras soluciones de Deception se desarrollaron según el mismo principio. Pero los DDP modernos son significativamente superiores a los honeypots, tanto en funcionalidad como en eficiencia. Las plataformas de engaño incluyen: señuelos, trampas, señuelos, aplicaciones, datos, bases de datos, Active Directory. Los DDP modernos pueden proporcionar potentes capacidades para la detección de amenazas, el análisis de ataques y la automatización de respuestas.
Por lo tanto, el engaño es una técnica para simular la infraestructura de TI de una empresa y engañar a los piratas informáticos. Como resultado, estas plataformas permiten detener los ataques antes de causar daños importantes a los activos de la empresa. Los Honeypots, por supuesto, no tienen una funcionalidad tan amplia ni tal nivel de automatización, por lo que su uso requiere más calificaciones por parte de los empleados de los departamentos de seguridad de la información.
1. Honeypots, Honeynets y Sandboxing: qué son y cómo se utilizan
El término "honeypots" se utilizó por primera vez en 1989 en el libro de Clifford Stoll "El huevo del cuco", que describe los acontecimientos de la búsqueda de un hacker en el Laboratorio Nacional Lawrence Berkeley (EE. UU.). Esta idea fue puesta en práctica en 1999 por Lance Spitzner, un especialista en seguridad de la información de Sun Microsystems, quien fundó el proyecto de investigación Honeynet Project. Los primeros honeypots requerían muchos recursos y eran difíciles de configurar y mantener.
Echemos un vistazo más de cerca a qué es. honeypots и redes de miel. Los Honeypots son hosts individuales cuyo propósito es atraer atacantes para que penetren en la red de una empresa e intenten robar datos valiosos, así como ampliar el área de cobertura de la red. Honeypot (traducido literalmente como "barril de miel") es un servidor especial con un conjunto de varios servicios y protocolos de red, como HTTP, FTP, etc. (ver figura 1).
Si combinas varios honeypots en la red, entonces obtendremos un sistema más eficiente Honeynet, que es una emulación de la red corporativa de una empresa (servidor web, servidor de archivos y otros componentes de la red). Esta solución le permite comprender la estrategia de los atacantes y engañarlos. Una Honeynet típica suele funcionar en paralelo con la red de trabajo y es completamente independiente de ella. Una “red” de este tipo se puede publicar en Internet a través de un canal separado y también se le puede asignar un rango separado de direcciones IP (ver Fig. 2).
El objetivo de utilizar Honeynet es mostrarle al hacker que supuestamente ha penetrado la red corporativa de la organización, pero en realidad el atacante se encuentra en un "entorno aislado" y bajo la estrecha supervisión de especialistas en seguridad de la información (ver Fig. 3).
Aquí también debemos mencionar una herramienta como "arenero"(Inglés, arenero), que permite a los atacantes instalar y ejecutar malware en un entorno aislado donde TI puede monitorear sus actividades para identificar riesgos potenciales y tomar las contramedidas necesarias. Actualmente, el sandboxing normalmente se implementa en máquinas virtuales dedicadas en un host virtual. Sin embargo, cabe señalar que el sandboxing sólo muestra cómo se comportan los programas peligrosos y maliciosos, mientras que la honeynet ayuda a un especialista a analizar el comportamiento de los "jugadores peligrosos".
El beneficio obvio de las redes trampa es que engañan a los atacantes, desperdiciando su energía, recursos y tiempo. Como resultado, en lugar de objetivos reales, atacan a objetivos falsos y pueden dejar de atacar la red sin lograr nada. La mayoría de las veces, las tecnologías Honeynet se utilizan en agencias gubernamentales, grandes corporaciones y organizaciones financieras, ya que estas son las estructuras que resultan ser el objetivo de los principales ataques cibernéticos. Sin embargo, las pequeñas y medianas empresas (PYMES) también necesitan herramientas efectivas para prevenir incidentes de seguridad de la información, pero las redes trampa en el sector de las PYMES no son tan fáciles de usar debido a la falta de personal calificado para un trabajo tan complejo.
Limitaciones de las soluciones Honeypots y Honeynets
¿Por qué los honeypots y las honeynets no son hoy en día las mejores soluciones para contrarrestar los ataques? Cabe señalar que los ataques son cada vez más a gran escala, técnicamente complejos y capaces de causar graves daños a la infraestructura de TI de una organización, y el cibercrimen ha alcanzado un nivel completamente diferente y representa estructuras empresariales en la sombra altamente organizadas y equipadas con todos los recursos necesarios. A esto hay que sumarle el “factor humano” (errores en la configuración del software y hardware, acciones de insiders, etc.), por lo que utilizar únicamente la tecnología para prevenir ataques ya no es suficiente por el momento.
A continuación enumeramos las principales limitaciones y desventajas de los honeypots (honeynets):
-
Los Honeypots se desarrollaron originalmente para identificar amenazas que se encuentran fuera de la red corporativa, más bien están destinados a analizar el comportamiento de los atacantes y no están diseñados para responder rápidamente a las amenazas.
-
Los atacantes, por regla general, ya han aprendido a reconocer los sistemas emulados y a evitar los honeypots.
-
Las Honeynets (honeypots) tienen un nivel extremadamente bajo de interactividad e interacción con otros sistemas de seguridad, por lo que, utilizando honeypots, es difícil obtener información detallada sobre ataques y atacantes y, por tanto, responder de forma eficaz y rápida a incidentes de seguridad de la información. . Además, los especialistas en seguridad de la información reciben una gran cantidad de alertas de amenazas falsas.
-
En algunos casos, los piratas informáticos pueden utilizar un honeypot comprometido como punto de partida para continuar su ataque a la red de una organización.
-
A menudo surgen problemas con la escalabilidad de los honeypots, la alta carga operativa y la configuración de dichos sistemas (requieren especialistas altamente calificados, no tienen una interfaz de administración conveniente, etc.). Existen grandes dificultades para implementar honeypots en entornos especializados como IoT, POS, sistemas en la nube, etc.
2. Tecnología del engaño: ventajas y principios básicos de funcionamiento
Habiendo estudiado todas las ventajas y desventajas de los honeypots, llegamos a la conclusión de que se necesita un enfoque completamente nuevo para responder a los incidentes de seguridad de la información para poder desarrollar una respuesta rápida y adecuada a las acciones de los atacantes. Y esa solución es la tecnología. Engaño Cibernético (Engaño de Seguridad).
La terminología "ciberengaño", "engaño de seguridad", "tecnología de engaño", "plataforma de engaño distribuido" (DDP) es relativamente nueva y apareció no hace mucho. De hecho, todos estos términos significan el uso de "tecnologías de engaño" o "técnicas para simular la infraestructura de TI y desinformar a los atacantes". Las soluciones más simples de Deception son un desarrollo de las ideas de los honeypots, solo que a un nivel tecnológicamente más avanzado, lo que implica una mayor automatización de la detección de amenazas y la respuesta a ellas. Sin embargo, ya existen en el mercado soluciones serias de clase DDP que son fáciles de implementar y escalar, y que también tienen un importante arsenal de "trampas" y "cebos" para los atacantes. Por ejemplo, Deception le permite emular objetos de infraestructura de TI, como bases de datos, estaciones de trabajo, enrutadores, conmutadores, cajeros automáticos, servidores y SCADA, equipos médicos e IoT.
¿Cómo funciona la Plataforma de Engaño Distribuido? Una vez implementado DDP, la infraestructura de TI de la organización se construirá como a partir de dos capas: la primera capa es la infraestructura real de la empresa y la segunda es un entorno "emulado" que consta de señuelos y señuelos), que se encuentran en dispositivos de red físicos reales (ver Fig. 4).
Por ejemplo, un atacante puede descubrir bases de datos falsas con "documentos confidenciales", credenciales falsas de supuestamente "usuarios privilegiados"; todos estos son señuelos que pueden interesar a los infractores, desviando así su atención de los verdaderos activos de información de la empresa (ver Figura 5).
DDP es un producto nuevo en el mercado de productos de seguridad de la información; estas soluciones tienen solo unos pocos años y hasta ahora solo el sector empresarial puede permitírselas. Pero las pequeñas y medianas empresas pronto también podrán aprovechar Deception alquilando DDP a proveedores especializados "como servicio". Esta opción es aún más cómoda, ya que no es necesario contar con personal propio altamente cualificado.
Las principales ventajas de la tecnología Deception se muestran a continuación:
-
Autenticidad (autenticidad). La tecnología Deception es capaz de reproducir un entorno informático completamente auténtico de una empresa, emulando cualitativamente sistemas operativos, IoT, POS, sistemas especializados (médicos, industriales, etc.), servicios, aplicaciones, credenciales, etc. Los señuelos se mezclan cuidadosamente con el entorno de trabajo y un atacante no podrá identificarlos como honeypots.
-
Incrustar. Los DDP utilizan el aprendizaje automático (ML) en su trabajo. Con la ayuda de ML, se garantiza la simplicidad, la flexibilidad en la configuración y la eficiencia de la implementación de Deception. Las "trampas" y los "honeypots" se actualizan muy rápidamente, atrayendo al atacante a la infraestructura de TI "falsa" de la empresa y, mientras tanto, los sistemas de análisis avanzados basados en inteligencia artificial pueden detectar acciones activas de los piratas informáticos y prevenirlas (por ejemplo, un intentar acceder a cuentas fraudulentas basadas en Active Directory).
-
Operación fácil. Las plataformas de engaño distribuidas modernas son fáciles de mantener y gestionar. Normalmente se gestionan a través de una consola local o en la nube, con capacidades de integración con el SOC (Centro de Operaciones de Seguridad) corporativo vía API y con muchos controles de seguridad existentes. El mantenimiento y operación de DDP no requiere los servicios de expertos en seguridad de la información altamente calificados.
-
Escalabilidad. El engaño de seguridad se puede implementar en entornos físicos, virtuales y en la nube. Los DDP también funcionan con éxito con entornos especializados como IoT, ICS, POS, SWIFT, etc. Las plataformas de engaño avanzado pueden proyectar “tecnologías de engaño” en oficinas remotas y entornos aislados, sin la necesidad de una implementación adicional de la plataforma completa.
-
Interacción. Utilizando señuelos potentes y atractivos basados en sistemas operativos reales y colocados inteligentemente en infraestructuras de TI reales, la plataforma Deception recopila amplia información sobre el atacante. Luego, DDP garantiza que se transmitan alertas de amenazas, se generen informes y se responda automáticamente a los incidentes de seguridad de la información.
-
Punto de inicio del ataque. En el engaño moderno, las trampas y los cebos se colocan dentro del alcance de la red, en lugar de fuera de ella (como es el caso de los honeypots). Este modelo de implementación de señuelos evita que un atacante los utilice como punto de apoyo para atacar la infraestructura de TI real de la empresa. Las soluciones más avanzadas de la clase Deception tienen capacidades de enrutamiento de tráfico, por lo que puede dirigir todo el tráfico del atacante a través de una conexión especialmente dedicada. Esto le permitirá analizar la actividad de los atacantes sin poner en riesgo activos valiosos de la empresa.
-
La capacidad de persuasión de las “tecnologías de engaño”. En la etapa inicial del ataque, los atacantes recopilan y analizan datos sobre la infraestructura de TI y luego los utilizan para moverse horizontalmente a través de la red corporativa. Con la ayuda de "tecnologías de engaño", el atacante definitivamente caerá en "trampas" que lo alejarán de los activos reales de la organización. DDP analizará posibles rutas para acceder a las credenciales en una red corporativa y proporcionará al atacante "objetivos señuelo" en lugar de credenciales reales. Estas capacidades faltaban gravemente en las tecnologías de honeypot. (Ver Figura 6).
Engaño VS Honeypot
Y finalmente llegamos al momento más interesante de nuestra investigación. Intentaremos resaltar las principales diferencias entre las tecnologías Deception y Honeypot. A pesar de algunas similitudes, estas dos tecnologías siguen siendo muy diferentes, desde la idea fundamental hasta la eficiencia operativa.
-
Diferentes ideas básicas. Como escribimos anteriormente, los honeypots se instalan como "señuelos" alrededor de activos valiosos de la empresa (fuera de la red corporativa), tratando así de distraer a los atacantes. La tecnología Honeypot se basa en la comprensión de la infraestructura de una organización, pero los honeypots pueden convertirse en un punto de partida para lanzar un ataque a la red de una empresa. La tecnología de engaño se desarrolla teniendo en cuenta el punto de vista del atacante y permite identificar un ataque en una etapa temprana, por lo que los especialistas en seguridad de la información obtienen una ventaja significativa sobre los atacantes y ganan tiempo.
-
"Atracción" VS "Confusión". Cuando se utilizan honeypots, el éxito depende de atraer la atención de los atacantes y motivarlos aún más a moverse hacia el objetivo en el honeypot. Esto significa que el atacante aún debe llegar al honeypot antes de que puedas detenerlo. Por lo tanto, la presencia de atacantes en la red puede durar varios meses o más, lo que provocará fugas y daños a los datos. Los DDP imitan cualitativamente la infraestructura TI real de una empresa; el propósito de su implementación no es solo atraer la atención de un atacante, sino confundirlo para que pierda tiempo y recursos, pero no obtenga acceso a los activos reales de la empresa. compañía.
-
“Escalabilidad limitada” versus “escalabilidad automática”. Como se señaló anteriormente, los honeypots y honeynets tienen problemas de escala. Esto es difícil y costoso, y para aumentar la cantidad de honeypots en un sistema corporativo, tendrá que agregar nuevas computadoras, sistemas operativos, comprar licencias y asignar IP. Además, también es necesario contar con personal cualificado para gestionar dichos sistemas. Las plataformas de engaño se implementan automáticamente a medida que su infraestructura escala, sin gastos generales significativos.
-
“Un gran número de falsos positivos” versus “ningún falso positivo”. La esencia del problema es que incluso un simple usuario puede encontrar un honeypot, por lo que la "desventaja" de esta tecnología es una gran cantidad de falsos positivos, lo que distrae a los especialistas en seguridad de la información de su trabajo. Los "cebos" y las "trampas" en DDP están cuidadosamente ocultos para el usuario promedio y están diseñados solo para un atacante, por lo que cada señal de dicho sistema es una notificación de una amenaza real y no un falso positivo.
Conclusión
En nuestra opinión, la tecnología Deception es una gran mejora con respecto a la antigua tecnología Honeypots. En esencia, DDP se ha convertido en una plataforma de seguridad integral que es fácil de implementar y administrar.
Las plataformas modernas de esta clase desempeñan un papel importante en la detección precisa y la respuesta eficaz a las amenazas de la red, y su integración con otros componentes de la pila de seguridad aumenta el nivel de automatización, aumenta la eficiencia y eficacia de la respuesta a incidentes. Las plataformas de engaño se basan en la autenticidad, la escalabilidad, la facilidad de gestión y la integración con otros sistemas. Todo esto otorga una ventaja significativa en la velocidad de respuesta ante incidentes de seguridad de la información.
Además, basándose en observaciones de pentests de empresas donde se implementó o puso a prueba la plataforma Xello Deception, podemos sacar conclusiones de que incluso los pentesters experimentados a menudo no pueden reconocer el cebo en la red corporativa y fallan cuando caen en las trampas tendidas. Este hecho confirma una vez más la eficacia de Deception y las grandes perspectivas que se abren para esta tecnología en el futuro.
Pruebas de producto
Si estás interesado en la plataforma Deception, entonces estamos listos. .
Estén atentos a las actualizaciones en nuestros canales (, , , )!
Fuente: habr.com