Habris on juba mitu artiklit meepoti ja pettusetehnoloogiate kohta (, ). Siiski kohtame endiselt arusaamatust nende kaitsevahendite klasside erinevusest. Selleks on meie kolleegid (esimene vene arendaja ) otsustas üksikasjalikult kirjeldada nende lahenduste erinevusi, eeliseid ja arhitektuurilisi iseärasusi.
Mõelgem välja, mis on "meepotid" ja "pettused":
„Pettusetehnoloogiad” (inglise keeles Deception technology) ilmusid infoturbesüsteemide turule suhteliselt hiljuti. Siiski peavad mõned eksperdid Security Deceptionit lihtsalt keerukamaks „meepotiks”.
Selles artiklis püüame esile tuua nii nende kahe lahenduse sarnasusi kui ka põhimõttelisi erinevusi. Esimeses osas räägime "meepotist", sellest, kuidas see tehnoloogia arenes ning millised on selle eelised ja puudused. Teises osas käsitleme üksikasjalikumalt valede sihtmärkide hajutatud infrastruktuuri loomise platvormide (inglise keeles Distributed Deception Platform - DDP) toimimise põhimõtteid.
Meepotipõhiste rünnakute põhiprintsiip on häkkeritele lõksude loomine. Esimesed petulahendused töötati välja samal põhimõttel. Kuid tänapäevased andmetöötlusplatvormid ületavad meepotipõhist rünnakut nii funktsionaalsuse kui ka tõhususe poolest. Petuplatvormid hõlmavad peibutisi, lante, rakendusi, andmeid, andmebaase ja Active Directoryt. Kaasaegsed andmetöötlusplatvormid pakuvad laiaulatuslikke võimalusi ohtude tuvastamiseks, rünnakute analüüsimiseks ja reageerimismeetmete automatiseerimiseks.
Seega on pettus tehnika ettevõtte IT-infrastruktuuri simuleerimiseks ja häkkerite eksitamiseks. Selle tulemusena võimaldavad sellised platvormid rünnakud peatada enne, kui ettevõtte varadele tekitatakse olulist kahju. Meepottidel pole muidugi nii laia funktsionaalsust ja automatiseerituse taset, seega nõuab nende kasutamine infoturbe osakonna töötajatelt kõrgemat kvalifikatsiooni.
1. Meepoti-, meevõrgu- ja liivakastitehnoloogiad: mis need on ja kuidas neid kasutatakse?
Mõistet „meepotid“ kasutati esmakordselt 1989. aastal Clifford Stolli raamatus „Kägu-muna“, mis kirjeldab häkkeri jälgimise sündmusi Lawrence Berkeley riiklikus laboris (USA). Praktikas kehastas seda ideed 1999. aastal Sun Microsystemsi infoturbespetsialist Lance Spitzner, kes asutas uurimisprojekti „Honeynet Project“. Esimesed meepotid olid väga ressursimahukad, neid oli keeruline seadistada ja hooldada.
Vaatame lähemalt, mis see on honeypots и meevõrgudMeepotid on eraldi hostid, mille eesmärk on meelitada ründajaid ettevõtte võrku tungima ja väärtuslikke andmeid varastama, samuti laiendada võrgu leviala. Meepott (sõna-sõnalt tõlgituna "mee-tünn") on spetsiaalne server, mis sisaldab mitmesuguseid võrguteenuseid ja protokolle, näiteks HTTP, FTP jne (vt joonis 1).
Kui ühendate mitu honeypots võrku, siis saame tõhusama süsteemi meevõrk, mis on ettevõtte korporatiivvõrgu (veebiserveri, failiserveri ja muude võrgukomponentide) emuleerimine. See lahendus võimaldab teil mõista ründajate strateegiat ja neid eksitada. Tüüpiline meevõrk töötab reeglina paralleelselt töötava võrguga ja on sellest täiesti sõltumatu. Sellist "võrku" saab internetis avaldada eraldi kanali kaudu ja sellele saab eraldada ka eraldi IP-aadresside vahemiku (vt joonis 2).
Meevõrgu kasutamise eesmärk on näidata häkkerile, et ta on väidetavalt tunginud organisatsiooni ettevõttevõrku; tegelikult on ründaja „isoleeritud keskkonnas“ ja infoturbespetsialistide hoolika järelevalve all (vt joonis 3).
Siinkohal on vaja mainida ka sellist tööriista nagu "liivakasti» (inglise keeles, liivakast), mis võimaldab ründajatel pahavara installida ja käitada isoleeritud keskkonnas, kus IT-spetsialistid saavad jälgida nende tegevust, et tuvastada võimalikke riske ja võtta vajalikke vastumeetmeid. Praegu rakendatakse liivakastitehnoloogiat tavaliselt spetsiaalsetel virtuaalmasinatel virtuaalsel hostil. Siiski tuleb märkida, et liivakastitehnoloogia näitab ainult seda, kuidas ohtlikud ja pahatahtlikud programmid käituvad, samas kui meevõrk aitab spetsialistil analüüsida "ohtlike mängijate" käitumist.
Honeyneti ilmselge eelis on see, et need eksitavad ründajaid, raiskades nende pingutusi, ressursse ja aega. Selle tulemusel ründavad nad tegelike sihtmärkide asemel valesid sihtmärke ja võivad võrgu ründamise lõpetada ilma midagi saavutamata. Honeyneti tehnoloogiaid kasutatakse kõige sagedamini valitsusasutustes ja suurettevõtetes, finantsorganisatsioonides, kuna need struktuurid on suurte küberrünnakute sihtmärgid. Siiski vajavad ka väikesed ja keskmise suurusega ettevõtted (VKEd) tõhusaid tööriistu infoturbeintsidentide ennetamiseks, kuid VKEde sektoris pole Honeyneti nii lihtne kasutada, kuna sellise keeruka töö jaoks puudub kvalifitseeritud personal.
Meepottide ja meevõrkude piirangud
Miks pole meepoti ja meevõrgu tehnoloogia tänapäeval rünnakute vastu võitlemiseks parim lahendus? Tuleb märkida, et rünnakud muutuvad üha ulatuslikumaks, tehniliselt keerukamaks ja võimeliseks tekitama tõsist kahju organisatsiooni IT-infrastruktuurile ning küberkuritegevus on jõudnud täiesti teisele tasemele ja seda esindavad kõrgelt organiseeritud variettevõtted, mis on varustatud kõigi vajalike ressurssidega. Sellele tuleb lisada ka "inimfaktor" (vead tark- ja riistvaraseadetes, siseringi isikute tegevus jne), seega ei piisa rünnakute ennetamiseks enam ainult tehnoloogia kasutamisest.
Allpool loetleme meepoti (meevõrkude) peamised piirangud ja puudused:
Meepoti robotid olid algselt loodud ettevõtte võrgust väljaspool asuvate ohtude tuvastamiseks, need on mõeldud pigem ründajate käitumise analüüsimiseks ega ole mõeldud ohtudele kiireks reageerimiseks.
Ründajad on üldiselt juba õppinud emuleeritud süsteeme ära tundma ja meepotisid vältima.
Meevõrkudel (meepottidel) on äärmiselt madal interaktiivsuse ja suhtluse tase teiste turvasüsteemidega, mistõttu on meepottide abil keeruline saada rünnakute ja ründajate kohta üksikasjalikku teavet ning seetõttu infoturbeintsidentidele tõhusalt ja kiiresti reageerida. Lisaks saavad infoturbespetsialistid ohtude kohta palju valehäireid.
Mõnel juhul võivad häkkerid kasutada kompromiteeritud meepoti lähtepunktina, et jätkata rünnakut organisatsiooni võrgu vastu.
Sageli on probleeme meepotisüsteemide skaleeritavuse, suure operatiivkoormuse ja selliste süsteemide konfigureerimisega (need nõuavad kõrgelt kvalifitseeritud spetsialiste, neil puudub mugav haldusliides jne). Spetsialiseeritud keskkondades, nagu asjade internet, müügikohad, pilvesüsteemid jne, on meepotisüsteemide juurutamine väga keeruline.
2. Pettuse tehnoloogia: eelised ja tööpõhimõtted
Olles uurinud kõiki meepottide eeliseid ja puudusi, jõuame järeldusele, et ründajate tegevusele kiire ja piisava reageerimise väljatöötamiseks on vaja täiesti uut lähenemisviisi infoturbeintsidentidele reageerimiseks. Ja selline lahendus on tehnoloogiad Küberpettus (turvapettus).
Terminid „küberpettus“, „turvapettus“, „pettusetehnoloogia“, „hajutatud pettuseplatvorm“ (DDP) on suhteliselt uued ja ilmusid mitte nii kaua aega tagasi. Tegelikult tähistavad kõik need terminid „pettusetehnoloogiate“ või „IT-taristu ja ründajate desinformatsiooni simuleerimise tehnikate“ kasutamist. Lihtsamad pettuselahendused on meepoti ideede arendamine, ainult tehnoloogiliselt arenenumal tasemel, mis hõlmab ohtude tuvastamise ja neile reageerimise suuremat automatiseerimist. Turul on aga juba tõsiseid DDP-klassi lahendusi, mida on lihtne juurutada ja skaleerida ning millel on ka tõsine „lõksude“ ja „söötade“ arsenal ründajatele. Näiteks võimaldab pettus jäljendada selliseid IT-taristu objekte nagu andmebaasid, tööjaamad, ruuterid, lülitid, sularahaautomaadid, serverid ja SCADA, meditsiiniseadmed ja asjade internet.
Kuidas hajutatud pettuseplatvorm töötab? Pärast hajutatud pettuseplatvormi juurutamist ehitatakse organisatsiooni IT-taristu justkui kahest kihist: esimene kiht on ettevõtte tegelik taristu ja teine on "emuleeritud" keskkond, mis koosneb peibutistest ja söötadest, mis asuvad reaalsetes füüsilistes võrguseadmetes (vt joonis 4).
Näiteks võib ründaja avastada võltsitud andmebaase, mis sisaldavad „konfidentsiaalseid dokumente” või väidetavalt „privilegeeritud kasutajate” võltsitud volitusi – kõik need on peibutis, mis võib sissetungijaid huvitada, juhtides seeläbi nende tähelepanu ettevõtte tegelikelt teabevaradelt kõrvale (vt joonis 5).
DDP on infoturbe turul uus toode, need lahendused on vaid paar aastat vanad ja seni saab neid endale lubada vaid ettevõtlussektor. Kuid peagi saavad ka väikesed ja keskmise suurusega ettevõtted Deceptioni kasutada, rentides DDP-d spetsialiseerunud pakkujatelt "teenusena". See variant on veelgi mugavam, kuna pole vaja oma kõrgelt kvalifitseeritud personali.
Allpool on toodud pettusetehnoloogia peamised eelised:
AutentsusPettusetehnoloogia on võimeline taastootma ettevõtte täiesti autentset IT-keskkonda, jäljendades kvalitatiivselt operatsioonisüsteeme, asjade internetti, müügikohta, spetsialiseeritud süsteeme (meditsiinilisi, tööstuslikke jne), teenuseid, rakendusi, volitusi jne. Peibutised on töökeskkonda põhjalikult segatud ja ründaja ei suuda neid meepottidena tuvastada.
RakendamineDDP-d kasutavad oma töös masinõpet (ML). ML tagab pettuste rakendamise lihtsuse, paindlikkuse ja tõhususe. „Lõksud“ ja „söödad“ uuenevad väga kiiresti, kaasates ründaja ettevõtte „valesse“ IT-taristusse, ning samal ajal suudavad tehisintellektil põhinevad täiustatud analüüsisüsteemid tuvastada häkkerite aktiivseid tegevusi ja neid ennetada (näiteks katse pääseda ligi Active Directoryle petturlike kontode põhjal).
Töö lihtsusKaasaegseid „hajutatud pettuseplatvorme“ on lihtne hooldada ja hallata. Reeglina hallatakse neid kohaliku või pilvekonsooli kaudu, API kaudu on võimalik integreerida ettevõtte SOC-ga (turvaoperatsioonide keskus) ja paljude olemasolevate turvakontrolli tööriistadega. DDP hooldamiseks ja käitamiseks pole vaja kõrgelt kvalifitseeritud infoturbeekspertide teenuseid.
SkaalautuvusTurvapettust saab rakendada füüsilises, virtuaalses ja pilvekeskkonnas. Andmehaldusplatvormid (DDP-d) töötavad edukalt ka spetsialiseeritud keskkondades, nagu asjade internet, integratsioonisüsteemid, müügikohad, SWIFT jne. Täiustatud pettuseplatvormid suudavad projitseerida „pettusetehnoloogiaid” kaugkontoritesse ja isoleeritud keskkondadesse ilma täiendava platvormi täieliku juurutamiseta.
KoostoimeKasutades tõhusaid ja atraktiivseid peibutisi, mis põhinevad reaalsetel operatsioonisüsteemidel ja on nutikalt paigutatud reaalsesse IT-taristusse, kogub Deception platvorm ründaja kohta ulatuslikku teavet. Seejärel tagab DDP ohuhoiatuste edastamise, aruannete genereerimise ja automaatse reageerimise infoturbeintsidentidele.
Rünnaku alguspunktKaasaegses Deceptionis paigutatakse lõksud ja söödad võrgu leviala sisse, mitte väljapoole (nagu meepottide puhul). See lõksude paigutusmudel ei võimalda ründajal neid kasutada ettevõtte tegeliku IT-infrastruktuuri ründamiseks. Deceptioni klassi täiustatumad lahendused omavad liikluse suunamise võimalusi, nii et saate suunata kogu ründaja liikluse spetsiaalselt selleks ette nähtud ühenduse kaudu. See võimaldab teil analüüsida ründajate tegevust, riskimata ettevõtte väärtuslike varadega.
"Pettusetehnoloogiate" veenvusRünnaku algfaasis koguvad ja analüüsivad ründajad andmeid IT-infrastruktuuri kohta ning kasutavad neid seejärel horisontaalseks liikumiseks ettevõtte võrgus. Kasutades „pettusetehnoloogiaid“, langeb ründaja paratamatult „lõksudesse“, mis juhivad ta organisatsiooni tegelikest varadest eemale. DDP analüüsib ettevõtte võrgus olevate volituste potentsiaalseid juurdepääsuteid ja pakub ründajale tegelike volituste asemel „valesid sihtmärke“. Need võimalused olid meepotitehnoloogiates väga puudulikud. (Vt joonis 6).
Pettus vs meepott
Ja lõpuks jõuame oma uurimistöö kõige huvitavama punktini. Püüame välja tuua peamised erinevused pettuse ja meepoti tehnoloogiate vahel. Vaatamata mõningatele sarnasustele on need kaks tehnoloogiat siiski väga erinevad, alates põhiideest kuni töö efektiivsuseni.
Erinevad põhiideedNagu me juba eespool kirjutasime, paigaldatakse meepotisid "söödaks" ettevõtte väärtuslike varade ümber (väljaspool ettevõtte võrku), püüdes seega ründajate tähelepanu kõrvale juhtida. Meepoti tehnoloogia põhineb organisatsiooni infrastruktuuri ideel, kuid meepotidest võib saada tugipunkt rünnaku algatamiseks ettevõtte võrgule. Pettuse tehnoloogia väljatöötamisel võetakse arvesse ründaja vaatenurka ja see võimaldab rünnakut varajases staadiumis tuvastada, seega saavad infoturbe spetsialistid ründajate ees olulise eelise ja võidavad aega.
"Läbitõmme" vs. "segadus"Meepoti kasutamisel sõltub edu ründajate tähelepanu köitmisest ja seejärel nende motiveerimisest meepoti sihtmärgi juurde liikuma. See tähendab, et ründaja peab ikkagi meepoti juurde jõudma ja alles siis saab teda peatada. Seega võib ründajate kohalolek võrgus kesta mitu kuud või kauem ning see viib andmete lekke ja kahjustumiseni. Andmete väljatöötamisprojektid (DDP-d) jäljendavad kvalitatiivselt ettevõtte tegelikku IT-infrastruktuuri, nende rakendamise eesmärk ei ole mitte ainult ründaja tähelepanu köitmine, vaid ka tema segadusse ajamine, et ta raiskaks asjatult aega ja ressursse, kuid ei saaks juurdepääsu ettevõtte tegelikele varadele.
"Piiratud skaleeritavus" vs "Automaatne skaleeritavus"Nagu varem mainitud, on meepotitel ja meevõrkudel probleeme skaleerimisega. See on keeruline ja kulukas ning ettevõtte süsteemis meepotitest koosneva süsteemi arvu suurendamiseks tuleb lisada uusi arvuteid ja operatsioonisüsteeme, osta litsentse ja eraldada IP-aadresse. Lisaks on selliste süsteemide haldamiseks vaja kvalifitseeritud personali. Petuplatvormid juurutatakse automaatselt infrastruktuuri skaleerudes ilma oluliste üldkuludeta.
"Suur hulk valepositiivseid tulemusi" VS "valepositiivseid tulemusi pole"Probleemi olemus seisneb selles, et isegi lihtne kasutaja võib sattuda meepoti otsa, seega on selle tehnoloogia "miinuseks" suur hulk valepositiivseid tulemusi, mis juhivad infoturbespetsialistide tähelepanu kõrvale. DDP-s on "söödad" ja "lõksud" lihtsa kasutaja eest hoolikalt peidetud ning mõeldud ainult sissetungija jaoks, seega on iga sellise süsteemi signaal teade reaalsest ohust, mitte valepositiivne.
Järeldus
Meie arvates on Deceptioni tehnoloogia tohutu samm edasi vanemast Honeypoti tehnoloogiast. Sisuliselt on DDP-st saanud terviklik turvaplatvorm, mida on lihtne juurutada ja hallata.
Selle klassi kaasaegsed platvormid mängivad olulist rolli võrguohtude täpses tuvastamises ja neile tõhusas reageerimises ning nende integreerimine teiste turvapaketi komponentidega suurendab automatiseerimise taset, suurendab intsidentidele reageerimise tõhusust ja tulemuslikkust. Pettuseplatvormid põhinevad autentsusel, skaleeritavusel, haldamise lihtsusel ja integreerimisel teiste süsteemidega. Kõik see annab olulise eelise infoturbeintsidentidele reageerimise kiiruses.
Samuti võime Xello Deceptioni platvormi juurutanud või piloteerinud ettevõtete penetratsioonitestide vaatluste põhjal järeldada, et isegi kogenud penetratsioonitestijad ei suuda sageli ettevõtte võrgus olevaid söötasid ära tunda ja ebaõnnestuvad, langedes seatud lõksude õnge. See asjaolu kinnitab taas Deceptioni tõhusust ja selle tehnoloogia suuri väljavaateid tulevikus.
Toote testimine
Kui olete huvitatud pettuseplatvormidest, oleme valmis .
Olge kursis meie kanalite uudistega (, , , )!
Allikas: www.habr.com
