Honeypot vs Deception Xello näitel

Habré lehel on juba mitu artiklit Honeypoti ja Deceptioni tehnoloogiate kohta (1 artikkel, 2 artikkel). Siiski on meil endiselt puudulik arusaam nende kaitsevahendite klasside erinevusest. Selle eest meie kolleegid alates Tere Pettus (esimene vene arendaja Platvormi pettus) otsustas üksikasjalikult kirjeldada nende lahenduste erinevusi, eeliseid ja arhitektuurilisi iseärasusi.

Mõelgem välja, mis on "meepotid" ja "pettused":

"Petustehnoloogiad" ilmusid infoturbesüsteemide turule suhteliselt hiljuti. Mõned eksperdid peavad siiski Turvapettust lihtsalt arenenumateks meepottideks.

Selles artiklis püüame välja tuua nii nende kahe lahenduse sarnasused kui ka põhimõttelised erinevused. Esimeses osas räägime meepotist, kuidas see tehnoloogia arenes ning millised on selle plussid ja miinused. Ja teises osas peatume üksikasjalikult peibutustaristu (inglise keeles, Distributed Deception Platform - DDP) loomise platvormide tööpõhimõtetel.

Meepottide põhiprintsiip on luua häkkeritele püüniseid. Esimesed Deceptioni lahendused töötati välja samal põhimõttel. Kuid kaasaegsed DDP-d on meepottidest oluliselt paremad nii funktsionaalsuse kui ka tõhususe poolest. Pettusplatvormide hulka kuuluvad: peibutusvahendid, püünised, peibutised, rakendused, andmed, andmebaasid, Active Directory. Kaasaegsed DDP-d võivad pakkuda võimsaid võimalusi ohtude tuvastamiseks, rünnakute analüüsiks ja reageerimise automatiseerimiseks.

Seega on pettus meetod ettevõtte IT-infrastruktuuri simuleerimiseks ja häkkerite eksitamiseks. Tänu sellele võimaldavad sellised platvormid rünnakud peatada enne, kui ettevõtte varadele märkimisväärset kahju tekitatakse. Meepottidel muidugi nii lai funktsionaalsus ja selline automatiseerituse tase puudub, mistõttu nende kasutamine nõuab infoturbe osakondade töötajatelt rohkem kvalifikatsiooni.

1. Honeypots, Honeynets ja Sandboxing: mis need on ja kuidas neid kasutatakse

Mõistet "meepotid" kasutati esmakordselt 1989. aastal Clifford Stolli raamatus "The Cuckoo's Egg", mis kirjeldab häkkeri jälitamise sündmusi Lawrence Berkeley riiklikus laboris (USA). Selle idee viis 1999. aastal ellu Sun Microsystemsi infoturbespetsialist Lance Spitzner, kes pani aluse Honeyneti projekti uurimisprojektile. Esimesed meepotid olid väga ressursimahukad, neid oli raske üles seada ja hooldada.

Vaatame lähemalt, mis see on honeypots и meevõrgud. Honeypotid on üksikud hostid, mille eesmärk on meelitada ründajaid ettevõtte võrku tungima ja varastada väärtuslikke andmeid, samuti laiendada võrgu leviala. Honeypot (sõna-sõnalt tõlgitud kui "meetünn") on spetsiaalne server, mis sisaldab mitmesuguseid võrguteenuseid ja protokolle, nagu HTTP, FTP jne. (vt joonis 1).

Kui kombineerida mitu honeypots võrku, siis saame tõhusama süsteemi honeynet, mis on ettevõtte ettevõtte võrgu (veebiserver, failiserver ja muud võrgukomponendid) emulatsioon. See lahendus võimaldab mõista ründajate strateegiat ja neid eksitada. Tüüpiline honeynet töötab reeglina paralleelselt töövõrguga ja on sellest täiesti sõltumatu. Sellist “võrku” saab avaldada Internetis eraldi kanali kaudu, sellele saab eraldada ka eraldi IP-aadresside vahemiku (vt joonis 2).

Honeyneti kasutamise mõte on näidata häkkerile, et ta on väidetavalt tunginud organisatsiooni korporatiivsesse võrku; tegelikult on ründaja "isoleeritud keskkonnas" ja infoturbespetsialistide hoolika järelevalve all (vt joonis 3).

Siin peame mainima ka sellist tööriista nagu "liivakasti"(Inglise, liivakast), mis võimaldab ründajatel installida ja käitada pahavara isoleeritud keskkonnas, kus IT saab jälgida nende tegevust, et tuvastada võimalikud riskid ja võtta asjakohaseid vastumeetmeid. Praegu rakendatakse liivakasti tavaliselt spetsiaalsetes virtuaalmasinates virtuaalses hostis. Siiski tuleb märkida, et liivakast näitab ainult seda, kuidas ohtlikud ja pahatahtlikud programmid käituvad, samas kui honeynet aitab spetsialistil analüüsida "ohtlike mängijate" käitumist.

Meevõrkude ilmne eelis on see, et nad eksitavad ründajaid, raiskades nende energiat, ressursse ja aega. Selle tulemusena ründavad nad tegelike sihtmärkide asemel valesid ja võivad võrgu ründamise lõpetada ilma midagi saavutamata. Kõige sagedamini kasutatakse honeynetsi tehnoloogiaid valitsusasutustes ja suurkorporatsioonides, finantsorganisatsioonides, kuna need on struktuurid, mis osutuvad suurte küberrünnakute sihtmärgiks. Väike- ja keskmise suurusega ettevõtted (VKEd) vajavad aga tõhusaid tööriistu ka infoturbeintsidentide ärahoidmiseks, kuid SMB sektori meevõrke ei ole nii keerukaks tööks kvalifitseeritud personali puudumise tõttu nii lihtne kasutada.

Honeypotsi ja Honeynetsi lahenduste piirangud

Miks ei ole meepotid ja meevõrgud tänapäeval parimad lahendused rünnakute vastu võitlemiseks? Tuleb märkida, et ründed muutuvad järjest suuremahulisteks, tehniliselt keerukamaks ja organisatsiooni IT-infrastruktuurile tõsist kahju tekitada suutelisemaks ning küberkuritegevus on jõudnud hoopis teisele tasemele ning esindab kõrgelt organiseeritud variäri struktuure, mis on varustatud kõigi vajalike ressurssidega. Sellele tuleb lisada veel “inimfaktor” (tarkvara- ja riistvara seadistusvead, siseringi inimeste tegevused jne), mistõttu ei piisa hetkel enam ainult tehnoloogia kasutamisest rünnakute ennetamiseks.

Allpool loetleme meepottide (meevõrkude) peamised piirangud ja puudused:

1. Honeypots töötati algselt välja selleks, et tuvastada ohud, mis on väljaspool ettevõtte võrku, mõeldud pigem ründajate käitumise analüüsimiseks ega ole mõeldud ohtudele kiireks reageerimiseks.

2. Ründajad on reeglina juba õppinud emuleeritud süsteeme ära tundma ja meepotte vältima.

3. Honeynetid (honeypots) on äärmiselt madala interaktiivsuse ja interaktsiooni tasemega teiste turvasüsteemidega, mistõttu on meepotte kasutades raske saada üksikasjalikku teavet rünnete ja ründajate kohta ning seetõttu infoturbeintsidentidele tõhusalt ja kiiresti reageerida. . Lisaks saavad infoturbe spetsialistid suure hulga valeohuhoiatusi.

4. Mõnel juhul võivad häkkerid kasutada rünnata organisatsiooni võrgu vastu lähtepunktina ohustatud meepotti.

5. Sageli tekivad probleemid meepottide mastaapsuse, suure töökoormuse ja selliste süsteemide konfiguratsiooniga (need nõuavad kõrgelt kvalifitseeritud spetsialiste, neil puudub mugav haldusliides jne). Spetsiaalsetes keskkondades, nagu IoT, POS, pilvesüsteemid jne, on meepottide juurutamisel suuri raskusi.

2. Pettuse tehnoloogia: eelised ja põhilised tööpõhimõtted

Olles uurinud meepottide kõiki eeliseid ja puudusi, jõuame järeldusele, et ründajate tegevusele kiire ja adekvaatse reageerimise arendamiseks on vaja täiesti uut lähenemist infoturbeintsidentidele reageerimisel. Ja selline lahendus on tehnoloogia Küberpettus (turvapettus).

Terminoloogia "Küberpettus", "Turvapetus", "Petustehnoloogia", "Distributed Deception Platform" (DDP) on suhteliselt uus ja ilmus mitte nii kaua aega tagasi. Tegelikult tähendavad kõik need terminid "pettustehnoloogiate" või "IT-infrastruktuuri ja ründajate desinformatsiooni simuleerimise tehnikate" kasutamist. Kõige lihtsamad Deceptioni lahendused on meepottide ideede arendus, ainult tehnoloogiliselt arenenum, mis hõlmab ohtude tuvastamise ja neile reageerimise suuremat automatiseerimist. Siiski on turul juba tõsiseid DDP-klassi lahendusi, mida on lihtne juurutada ja skaleerida ning millel on ka tõsine arsenal ründajatele mõeldud “lõksu” ja “sööta”. Näiteks võimaldab Deception emuleerida IT-infrastruktuuri objekte, nagu andmebaasid, tööjaamad, ruuterid, kommutaatorid, sularahaautomaadid, serverid ja SCADA, meditsiiniseadmed ja asjade internet.

Kuidas hajutatud pettuse platvorm töötab? Pärast DDP kasutuselevõttu ehitatakse organisatsiooni IT infrastruktuur üles justkui kahest kihist: esimene kiht on ettevõtte tegelik infrastruktuur ja teine ​​keskkond, mis koosneb peibutusvahenditest ja söötadest. landid), mis paiknevad. reaalsetel füüsilistel võrguseadmetel (vt joonis 4).

Näiteks võib ründaja avastada valeandmebaase „konfidentsiaalsete dokumentidega”, väidetavalt „privilegeeritud kasutajate” võltsitud mandaatidega – kõik need on peibutusvahendid, mis võivad rikkujaid huvitada, suunates seeläbi nende tähelepanu ettevõtte tegelikelt teabevaradelt (vt joonis 5).

DDP on uus toode infoturbetoodete turul, need lahendused on vaid paar aastat vanad ja seni saab neid endale lubada vaid ettevõtete sektor. Kuid ka väikesed ja keskmise suurusega ettevõtted saavad peagi pettust ära kasutada, rentides DDP-d spetsialiseeritud pakkujatelt "teenusena". See valik on veelgi mugavam, kuna pole vaja oma kõrgelt kvalifitseeritud töötajaid.

Pettustehnoloogia peamised eelised on näidatud allpool:

• Autentsus (autentsus). Pettustehnoloogia on võimeline reprodutseerima ettevõtte täiesti autentset IT-keskkonda, emuleerides kvalitatiivselt operatsioonisüsteeme, IoT-d, POS-i, spetsiaalseid süsteeme (meditsiiniline, tööstuslik jne), teenuseid, rakendusi, mandaate jne. Peibutusvahendid segatakse hoolikalt töökeskkonnaga ja ründaja ei suuda neid meepottidena tuvastada.

• Rakendamine. DDP-d kasutavad oma töös masinõpet (ML). ML-i abil on tagatud Deceptioni lihtsus, paindlikkus seadistustes ja tõhusus. “Püünised” ja “peibutusvahendid” uuenevad väga kiiresti, meelitades ründaja ettevõtte “vale” IT-taristusse ning seni suudavad tehisintellektil põhinevad täiustatud analüüsisüsteemid tuvastada häkkerite aktiivset tegevust ja neid ennetada (näiteks proovige pääseda ligi Active Directory-põhistele petturlikele kontodele).

• Töö lihtsus. Kaasaegseid hajutatud pettusplatvorme on lihtne hooldada ja hallata. Tavaliselt hallatakse neid kohaliku või pilvekonsooli kaudu, millel on API kaudu integreerimisvõimalused ettevõtte SOC-iga (turvaoperatsioonide keskus) ja paljude olemasolevate turvakontrollidega. DDP hooldus ja käitamine ei vaja kõrgelt kvalifitseeritud infoturbeekspertide teenuseid.

• Skaalautuvus. Turvapettust saab kasutada füüsilises, virtuaalses ja pilvekeskkonnas. DDP-d töötavad edukalt ka spetsiaalsete keskkondadega, nagu IoT, ICS, POS, SWIFT jne. Täiustatud pettusplatvormid võivad projitseerida "pettustehnoloogiaid" kaugkontoritesse ja eraldatud keskkondadesse, ilma et oleks vaja täiendavat täielikku platvormi juurutamist.

• Koostoime. Kasutades võimsaid ja atraktiivseid peibutusvahendeid, mis põhinevad tõelistel operatsioonisüsteemidel ja on nutikalt paigutatud tõelise IT-infrastruktuuri hulka, kogub Deceptioni platvorm ründaja kohta ulatuslikku teavet. Seejärel tagab DDP ohuhoiatuste edastamise, aruannete genereerimise ja infoturbeintsidentidele automaatse reageerimise.

• Rünnaku alguspunkt. Kaasaegses Deceptionis asetatakse püünised ja söödad võrgu levialasse, mitte sellest väljapoole (nagu meepottide puhul). See peibutusmudel takistab ründajal kasutamast neid võimenduspunktina, et rünnata ettevõtte tegelikku IT-infrastruktuuri. Deception klassi täiustatud lahendustel on liikluse suunamise võimalused, nii et saate kogu ründaja liiklust suunata spetsiaalselt selleks ette nähtud ühenduse kaudu. See võimaldab analüüsida ründajate tegevust, riskimata ettevõtte väärtusliku varaga.

• "Petustehnoloogiate" veenvus. Rünnaku algfaasis koguvad ja analüüsivad ründajad IT-infrastruktuuri andmeid, seejärel kasutavad neid horisontaalselt läbi ettevõtte võrgu liikumiseks. "Petustehnoloogiate" abil satub ründaja kindlasti "lõksudesse", mis juhivad ta organisatsiooni tegelikest varadest eemale. DDP analüüsib potentsiaalseid teid ettevõtte võrgus mandaatidele juurdepääsuks ja pakub ründajale tõeliste mandaatide asemel "peibutussihtmärke". Need võimalused olid meepotitehnoloogiates väga puudu. (Vt joonis 6).

Pettus VS Honeypot

Ja lõpuks jõuame oma uurimistöö kõige huvitavama hetkeni. Püüame välja tuua peamised erinevused Deceptioni ja Honeypoti tehnoloogiate vahel. Vaatamata mõningatele sarnasustele on need kaks tehnoloogiat siiski väga erinevad, alates põhiideest kuni toimimise efektiivsuseni.

1. Erinevad põhiideed. Nagu eespool kirjutasime, paigaldatakse meepotid ettevõtte väärtuslike varade ümber (väljaspool ettevõtte võrku) "peibutusvahenditena", püüdes seeläbi ründajate tähelepanu kõrvale juhtida. Honeypoti tehnoloogia põhineb arusaamal organisatsiooni infrastruktuurist, kuid meepottidest võib saada lähtepunkt ettevõtte võrgu vastu suunatud rünnaku alustamiseks. Pettustehnoloogia on välja töötatud ründaja vaatenurka arvestades ja võimaldab rünnaku varakult tuvastada, seega saavad infoturbe spetsialistid ründajate ees olulise eelise ja võidavad aega.

2. "Atraktsioon" vs "segadus". Meepottide kasutamisel sõltub edu ründajate tähelepanu tõmbamisest ja nende edasisest motiveerimisest meepotis oleva sihtmärgi poole liikuma. See tähendab, et ründaja peab ikkagi meepotti jõudma, enne kui saate teda peatada. Seega võib ründajate viibimine võrgus kesta mitu kuud või kauem ning see toob kaasa andmete lekke ja kahjustumise. DDP-d jäljendavad kvalitatiivselt ettevõtte tegelikku IT-taristut, nende rakendamise eesmärk ei ole lihtsalt äratada ründaja tähelepanu, vaid ajada teda segadusse, et ta raiskaks aega ja ressursse, kuid ei pääseks ligi ettevõtte tegelikele varadele. ettevõte.

3. "Piiratud skaleeritavus" VS "automaatne skaleeritavus". Nagu varem märgitud, on meepottidel ja meevõrkudel skaleerimisega probleeme. See on keeruline ja kulukas ning ettevõtte süsteemis meepottide arvu suurendamiseks peate lisama uusi arvuteid, OS-i, ostma litsentse ja eraldama IP. Lisaks on selliste süsteemide haldamiseks vaja kvalifitseeritud töötajaid. Pettusplatvormid rakenduvad automaatselt, kui teie infrastruktuur laieneb, ilma märkimisväärsete lisakuludeta.

4. "Suur hulk valepositiivseid tulemusi" VS "valepositiivseid tulemusi pole". Probleemi olemus seisneb selles, et ka lihtkasutaja võib meepotiga kokku puutuda, seega on selle tehnoloogia “miinuspooleks” suur hulk valepositiivseid tulemusi, mis juhivad infoturbespetsialistide tähelepanu nende töölt kõrvale. DDP "söödad" ja "lõksud" on tavakasutaja eest hoolikalt peidetud ja mõeldud ainult ründajale, nii et iga sellise süsteemi signaal on tõelise ohu teade, mitte valepositiivne.

Järeldus

Meie arvates on Deceptioni tehnoloogia vanema Honeypotsi tehnoloogiaga võrreldes tohutu edasiminek. Sisuliselt on DDP-st saanud terviklik turvaplatvorm, mida on lihtne juurutada ja hallata.

Selle klassi kaasaegsed platvormid mängivad olulist rolli võrguohtude täpsel tuvastamisel ja neile tõhusal reageerimisel ning nende integreerimine turvapinu teiste komponentidega tõstab automatiseerituse taset, suurendab intsidentidele reageerimise efektiivsust ja tulemuslikkust. Pettusplatvormid põhinevad autentsusel, mastaapsusel, haldamise lihtsusel ja integreerimisel teiste süsteemidega. Kõik see annab olulise eelise infoturbeintsidentidele reageerimise kiiruses.

Samuti võime Xello Deceptioni platvormi juurutatud või katsetatud ettevõtete pentestide vaatluste põhjal teha järeldused, et isegi kogenud pentestijad ei suuda sageli ettevõtte võrgus olevat sööta ära tunda ja ebaõnnestuvad, kui langevad seatud lõksudesse. See fakt kinnitab veel kord Deceptioni tõhusust ja suuri väljavaateid, mis sellele tehnoloogiale tulevikus avanevad.

Toote testimine

Kui tunned huvi Deceptioni platvormi vastu, siis oleme valmis teha ühiseid katseid.

Olge kursis meie kanalite uudistega (Telegramm, Facebook, VK, TS lahenduste ajaveeb)!

Allikas: www.habr.com