Honeypot vs Deception Xelloren adibidean

Dagoeneko badaude Habré-ri buruzko hainbat artikulu Honeypot eta Deception teknologiei buruz (1 artikulu, 2 artikulu). Hala ere, babes-ekipamenduen klase hauen arteko desberdintasunaren ulermen faltaren aurrean gaude oraindik. Horretarako, gure lankideek Kaixo Deception (Errusiar lehen garatzailea Plataforma Engainua) irtenbide horien desberdintasunak, abantailak eta ezaugarri arkitektonikoak zehatz deskribatzea erabaki zuen.

Ikus dezagun zer diren "honeypots" eta "iruzur":

"Iruzur-teknologiak" informazio-segurtasun sistemen merkatuan duela gutxi agertu ziren. Hala ere, aditu batzuek oraindik Segurtasun-iruzurra jotzen dute honeypot aurreratuagoak direla.

Artikulu honetan bi irtenbide hauen arteko antzekotasunak eta funtsezko desberdintasunak nabarmentzen saiatuko gara. Lehenengo zatian, honeypot buruz hitz egingo dugu, teknologia hau nola garatu zen eta zeintzuk diren bere abantailak eta desabantailak. Eta bigarren zatian, decoy-en azpiegitura banatu bat sortzeko plataformen funtzionamendu-printzipioetan sakonduko dugu (ingelesez, Distributed Deception Platform - DDP).

Honeypot-en azpian dagoen oinarrizko printzipioa hackerrentzako tranpak sortzea da. Deception lehen irtenbideak printzipio berdinean garatu ziren. Baina DDP modernoak honeypot baino nabarmen hobeak dira, bai funtzionalitatean bai eraginkortasunean. Deception plataformak honako hauek dira: decoy, tranpak, lures, aplikazioak, datuak, datu-baseak, Active Directory. DDP modernoek mehatxuak detektatzeko, erasoak aztertzeko eta erantzunen automatizaziorako gaitasun indartsuak eman ditzakete.

Horrela, Deception enpresa baten IT azpiegitura simulatzeko eta hackerrak engainatzeko teknika bat da. Ondorioz, horrelako plataformek posible egiten dute erasoak geldiaraztea konpainiaren aktiboei kalte handiak eragin aurretik. Honeypot-ek, noski, ez dute hain funtzionaltasun zabalik eta halako automatizazio mailarik, beraz, haien erabilerak informazio-segurtasun sailetako langileen kualifikazio gehiago eskatzen du.

1. Honeypots, Honeynets eta Sandboxing: zer diren eta nola erabiltzen diren

"Honeypots" terminoa 1989an erabili zen lehen aldiz Clifford Stoll-en "The Cuckoo's Egg" liburuan, Lawrence Berkeley National Laboratory-n (AEB) hacker baten jarraipenaren gertakariak deskribatzen dituena. Ideia hori 1999an jarri zuen praktikan Lance Spitznerrek, Sun Microsystems-eko informazio-segurtasuneko espezialistak, Honeynet Project ikerketa proiektua sortu zuenak. Lehen ezti-ontziak baliabide asko erabiltzen zituzten, ezartzeko eta mantentzeko zailak ziren.

Ikus dezagun zer den hurbilagotik arrotzentzako amarruak и ezti-sareak. Honeypot-ak ostalari indibidualak dira, eta haien helburua da erasotzaileak erakartzea enpresa baten sarean sar daitezen eta datu baliotsuak lapurtzen saiatzea, baita sarearen estaldura-eremua zabaltzea ere. Honeypot (literalki "barrel of honey" gisa itzulia) zerbitzari berezi bat da, hainbat sareko zerbitzu eta protokolo multzo batekin, hala nola HTTP, FTP, etab. (ikus 1. irudia).

Hainbat konbinatzen badituzu arrotzentzako amarruak sarean sartu, orduan sistema eraginkorragoa lortuko dugu honeynet, hau da, enpresa baten sare korporatiboaren emulazioa (web zerbitzaria, fitxategi zerbitzaria eta sareko beste osagai batzuk). Irtenbide honek erasotzaileen estrategia ulertzeko eta haiek engainatzeko aukera ematen du. Honeynet tipiko batek, normalean, lan sarearekin paraleloan funtzionatzen du eta guztiz independentea da. Halako "sare" bat Interneten argitaratu daiteke beste kanal baten bidez, eta horretarako IP helbide sorta bereizi bat ere esleitu daiteke (ikus 2. irudia).

Honeynet erabiltzearen helburua hackerri ustez erakundearen sare korporatiboan sartu dela erakustea da; izan ere, erasotzailea "ingurune isolatu" batean dago eta informazioaren segurtasuneko espezialisten zaintza estuan dago (ikus 3. irudia).

Hemen ere tresna bat aipatu behar dugu "sandbox"(Ingelesa, sandbox), horri esker, erasotzaileek malwarea instalatu eta exekutatu dezakete ingurune isolatu batean, non IT-ak beren jarduerak kontrola ditzaketen arrisku potentzialak identifikatzeko eta kontraneurri egokiak hartzeko. Gaur egun, sandboxing ostalari birtualeko makina birtualetan inplementatzen da normalean. Hala ere, kontuan izan behar da sandboxing-ak programa arriskutsu eta maltzurren portaera besterik ez duela erakusten, eta honeynet-ek espezialista bati "jokalari arriskutsuen" portaera aztertzen laguntzen dion bitartean.

Honeynets-en onura nabaria da erasotzaileak engainatzen dituztela, energia, baliabideak eta denbora xahutuz. Ondorioz, benetako helburuen ordez, faltsuak erasotzen dituzte eta sareari erasotzeari utz diezaiokete ezer lortu gabe. Gehienetan, honeynets teknologiak gobernu-agentzietan eta korporazio handietan erabiltzen dira, finantza-erakundeetan, ziber-eraso handien xede bihurtzen diren egiturak baitira. Dena den, enpresa txiki eta ertainek (ETE) ere tresna eraginkorrak behar dituzte informazioaren segurtasuneko gorabeherak saihesteko, baina ETEen sektoreko honeynet-ak ez dira hain erraz erabiltzeko, hain lan konplexuetarako langile kualifikaturik ez dagoelako.

Honeypots eta Honeynets Solutions-en mugak

Zergatik ez dira honeypots eta honeynets gaur egun erasoei aurre egiteko irtenbide onenak? Kontuan izan behar da erasoak gero eta handiagoak direla, teknikoki konplexuagoak eta erakunde baten IT azpiegituran kalte larriak eragiteko gai direla, eta ziberdelituak guztiz beste maila batera iritsi direla eta behar diren baliabide guztiekin hornitutako itzaleko negozio egitura oso antolatuak ordezkatzen dituztela. Horri “giza faktorea” gehitu behar zaio (software eta hardware konfigurazio akatsak, barnekoen ekintzak, etab.), beraz, erasoak saihesteko teknologia soilik erabiltzea ez da nahikoa momentu honetan.

Jarraian honeypot-en (honeynets) muga eta desabantaila nagusiak zerrendatzen ditugu:

1. Honeypot-ak hasiera batean sare korporatibotik kanpo dauden mehatxuak identifikatzeko garatu ziren, erasotzaileen jokabidea aztertzeko eta ez daude mehatxuei azkar erantzuteko diseinatuta.

2. Erasotzaileek, oro har, sistema emulatuak ezagutzen eta honeypot-ak saihesten ikasi dute dagoeneko.

3. Honeynet-ek (honeypot-ek) beste segurtasun-sistemekiko interaktibitate eta elkarrekintza maila oso baxua dute, eta ondorioz, honeypot-ak erabiliz, zaila da erasoei eta erasotzaileei buruzko informazio zehatza lortzea, eta, beraz, informazio-segurtasuneko gorabeherak eraginkortasunez eta azkar erantzutea. . Gainera, informazioaren segurtasuneko espezialistek mehatxu faltsuen alerta ugari jasotzen dituzte.

4. Zenbait kasutan, hacker-ek honeypot arriskutsu bat erabil dezakete abiapuntu gisa erakunde baten sarean erasotzen jarraitzeko.

5. Honeypot-en eskalagarritasunarekin, karga operatibo altuarekin eta horrelako sistemen konfigurazioarekin arazoak sortzen dira sarritan (espezialistak oso kualifikatuak behar dituzte, ez dute kudeaketa-interfaze erosorik, etab.). Zailtasun handiak daude honeypot-ak ingurune espezializatuetan, hala nola IoT, POS, hodeiko sistemak, etab.

2. Deception teknologia: abantailak eta oinarrizko funtzionamendu-printzipioak

Honeypot-en abantaila eta desabantaila guztiak aztertuta, ondorioztatu dugu informazio-segurtasuneko gertakariei erantzuteko ikuspegi guztiz berria behar dela erasotzaileen ekintzei erantzun azkar eta egoki bat garatzeko. Eta halako irtenbide bat teknologia da Cyber ​​​​deception (Segurtasun iruzurra).

"Cyber ​​​​deception", "Segurtasun iruzurra", "Deception teknologia", "Distributed Deception Platform" (DDP) terminologia nahiko berria da eta duela gutxi agertu zen. Izan ere, termino hauek guztiek "iruzur-teknologiak" edo "IT azpiegiturak eta erasotzaileen desinformazioa simulatzeko teknikak" erabiltzea esan nahi dute. Deception soluzio errazenak honeypot-en ideien garapena dira, maila teknologikoki aurreratuagoan soilik, eta horrek mehatxuak hautemateko eta haiei erantzuteko automatizazio handiagoa dakar. Hala ere, dagoeneko badaude merkatuan DDP klaseko soluzio serioak, hedatzeko eta eskalatzeko errazak direnak, eta erasotzaileentzako "tranpa" eta "beita" arsenal serioa ere badute. Esate baterako, Deception-ek IT azpiegiturako objektuak emulatzeko aukera ematen du, hala nola datu-baseak, lan-estazioak, bideratzaileak, etengailuak, kutxazainak, zerbitzariak eta SCADA, ekipamendu medikoak eta IoT.

Nola funtzionatzen du Distributed Deception Plataformak? DDP hedatu ondoren, erakundearen informatika-azpiegitura bi geruza izango balitz bezala eraikiko da: lehenengo geruza enpresaren benetako azpiegitura da, eta bigarrena "emulatua" den ingurune bat da, amuz eta beitaz osatutako ingurunea. benetako sare fisikoko gailuetan (ikus 4. irudia).

Esaterako, erasotzaileak datu-base faltsuak aurki ditzake "isilpeko dokumentuekin", ustez "erabiltzaile pribilegiatuen" kredentzial faltsuekin; horiek guztiak urratzaileak interesa ditzaketen engainuak dira, eta, horrela, haien arreta konpainiaren benetako informazio-aktiboetatik desbideratuz (ikus 5. irudia).

DDP produktu berria da informazio-segurtasun produktuen merkatuan; irtenbide hauek urte batzuk baino ez dituzte eta orain arte sektore korporatiboek soilik ordaindu ditzakete. Baina enpresa txiki eta ertainek laster ere Deception aprobetxatu ahal izango dute DDP hornitzaile espezializatuei "zerbitzu gisa" alokatuz. Aukera hau are erosoagoa da, ez baitago zure kualifikazio handiko langilerik behar.

Deception teknologiaren abantaila nagusiak jarraian erakusten dira:

• Benetakotasuna (benetakotasuna). Deception teknologia enpresa baten ingurune informatiko guztiz benetakoa erreproduzitzeko gai da, sistema eragileak, IoT, POS, sistema espezializatuak (medikuntza, industria, etab.), zerbitzuak, aplikazioak, kredentzialak, etab. Decoy-ak arreta handiz nahasten dira lan-ingurunearekin, eta erasotzaileak ezin izango ditu honeypot gisa identifikatu.

• Ezarpena. DDPek ikaskuntza automatikoa (ML) erabiltzen dute beren lanean. ML-ren laguntzarekin, soiltasuna, ezarpenen malgutasuna eta Deception-en ezarpenaren eraginkortasuna bermatzen dira. "Tranpak" eta "dekoiak" oso azkar eguneratzen dira, erasotzailea konpainiaren "faltsu" azpiegitura informatikora erakarri, eta, bitartean, adimen artifizialean oinarritutako analisi sistema aurreratuek hackerren ekintza aktiboak hauteman ditzakete eta horiek saihestu (adibidez, Active Directory oinarritutako iruzurrezko kontuetara sartzen saiatu).

• Eragiketa erraza. Banatutako Deception Plataforma modernoak mantentzen eta kudeatzen errazak dira. Normalean, tokiko edo hodeiko kontsola baten bidez kudeatzen dira, SOC korporatiboarekin (Segurtasun Operazio Zentroa) API bidez integratzeko gaitasunekin eta lehendik dauden segurtasun kontrol askorekin. DDPren mantentze-lanak eta funtzionamenduak ez du informazio-segurtasun handiko adituen zerbitzuak behar.

• Eskalagarritasuna. Segurtasun iruzurra ingurune fisikoetan, birtualetan eta hodeian zabaldu daiteke. DDPek ere arrakastaz lan egiten dute ingurune espezializatuekin, hala nola IoT, ICS, POS, SWIFT, etab. Deception aurreratu plataformek "iruzur-teknologiak" proiekta ditzakete urruneko bulegoetan eta ingurune isolatuetan, plataforma osoa inplementatu beharrik gabe.

• Elkarrekintza. Sistema eragile errealetan oinarritutako eta benetako IT azpiegituren artean modu egokian kokatutako dekoi indartsu eta erakargarriak erabiliz, Deception plataformak erasotzaileari buruzko informazio zabala biltzen du. DDPk mehatxuen alertak transmititzen direla, txostenak sortzen direla eta informazioaren segurtasuneko gorabeherak automatikoki erantzuten direla ziurtatzen du.

• Erasoaren hasierako puntua. Deception modernoan, tranpak eta beitak sarearen barrutian jartzen dira, kanpoan baino (honeypotekin gertatzen den bezala). Decoy inplementazio-eredu honek erasotzaile batek konpainiaren benetako IT azpiegitura erasotzeko palanka-puntu gisa erabiltzea eragozten du. Deception klaseko soluzio aurreratuagoek trafikoa bideratzeko gaitasunak dituzte, beraz, erasotzaileen trafiko guztia zuzendu dezakezu bereziki dedikaturiko konexio baten bidez. Horri esker, erasotzaileen jarduera aztertzeko aukera izango duzu konpainiaren aktibo baliotsuak arriskuan jarri gabe.

• "iruzur teknologien" limurtasuna. Erasoaren hasierako fasean, erasotzaileek IT azpiegiturari buruzko datuak biltzen eta aztertzen dituzte, gero sare korporatiboan horizontalki mugitzeko erabiltzen dituzte. "Iruzur teknologien" laguntzaz, erasotzailea behin betiko erakundearen benetako ondasunetatik urrunduko duten "tranpa"tan eroriko da. DDP-k sare korporatiboko kredentzialak atzitzeko bideak aztertuko ditu eta erasotzaileari benetako kredentzialen ordez "decoy helburuak" emango dizkio. Gaitasun horiek izugarri falta ziren honeypot teknologietan. (Ikus 6. irudia).

Deception VS Honeypot

Eta azkenik, gure ikerketaren unerik interesgarrienera iritsiko gara. Deception eta Honeypot teknologien arteko desberdintasun nagusiak nabarmentzen saiatuko gara. Antzekotasun batzuk gorabehera, bi teknologia hauek oso desberdinak dira oraindik, oinarrizko ideiatik hasi eta funtzionamendu eraginkortasunera arte.

1. Oinarrizko ideia desberdinak. Goian idatzi genuen bezala, honeypot-ak konpainiaren aktibo baliotsuen inguruan (sare korporatibotik kanpo) "decoy" gisa instalatzen dira, horrela erasotzaileak distraitzen saiatuz. Honeypot teknologia erakunde baten azpiegitura ulertzean oinarritzen da, baina honeypot-ak enpresa baten sarearen aurkako erasoak abiarazteko abiapuntu bihur daitezke. Deception teknologia erasotzailearen ikuspuntua kontuan hartuta garatzen da eta eraso bat hasiera batean identifikatzeko aukera ematen du, horrela, informazioaren segurtasuneko espezialistek abantaila handia lortzen dute erasotzaileekiko eta denbora irabazten dute.

2. "Erakarpena" VS "Nahasmena". Honeypot-ak erabiltzean, arrakasta erasotzaileen arreta erakartzearen eta honeypot-eko helburura mugitzeko motibazioaren araberakoa da. Horrek esan nahi du erasotzaileak oraindik ezti-ontzira iritsi behar duela hura gelditu baino lehen. Horrela, sarean erasotzaileen presentziak hainbat hilabete edo gehiago iraun dezake, eta horrek datu-ihesak eta kalteak eragingo ditu. DDP-ek kualitatiboki imitatzen dute enpresa baten benetako informatika-azpiegitura; horien ezarpenaren helburua ez da erasotzaile baten arreta erakartzea soilik, hura nahastea baizik, denbora eta baliabideak gal ditzan, baina ez du benetako aktiboetara sartzeko. konpainia.

3. "Eskalagarritasun mugatua" VS "eskalagarritasun automatikoa". Lehen esan bezala, honeypotek eta honeynets-ek eskalatzeko arazoak dituzte. Hau zaila eta garestia da, eta sistema korporatibo batean honeypot kopurua handitzeko, ordenagailu berriak, sistema eragileak gehitu beharko dituzu, lizentziak erosi eta IP esleitu. Gainera, beharrezkoa da horrelako sistemak kudeatzeko langile kualifikatuak izatea. Deception plataformak automatikoki zabaltzen dira zure azpiegitura handitu ahala, gastu handirik gabe.

4. "Positibo faltsu ugari" VS "positibo faltsurik ez". Arazoaren funtsa da erabiltzaile soil batek ere honeypot batekin topo egin dezakeela, beraz, teknologia honen "alde txarra" positibo faltsu ugari da, eta horrek informazioaren segurtasuneko espezialistak beren lanetik aldentzen ditu. DDP-n "Amutzak" eta "tranpak" kontu handiz ezkutatzen dira batez besteko erabiltzailearentzat eta erasotzaile batentzat bakarrik diseinatuta daude, beraz, sistema horren seinale bakoitza benetako mehatxu baten jakinarazpena da, eta ez positibo faltsu bat.

Ondorioa

Gure ustez, Deception teknologia Honeypots teknologia zaharragoaren aldean hobekuntza handia da. Funtsean, DDP inplementatzeko eta kudeatzeko erraza den segurtasun-plataforma integrala bihurtu da.

Klase honetako plataforma modernoek zeregin garrantzitsua dute sareko mehatxuei zehaztasunez detektatzeko eta modu eraginkorrean erantzuteko, eta segurtasun-pilaren beste osagai batzuekin integratzeak automatizazio maila handitzen du, gertakarien erantzunaren eraginkortasuna eta eraginkortasuna areagotzen du. Deception plataformak benetakotasunean, eskalagarritasunean, kudeaketa erraztasunean eta beste sistemekin integratzean oinarritzen dira. Horrek guztiak abantaila nabarmena ematen du informazioaren segurtasuneko gorabeherei erantzuteko abiaduran.

Era berean, Xello Deception plataforma inplementatu edo pilotatutako enpresen pentesten behaketetan oinarrituta, pentestek esperientziadunek ere askotan ezin dutela sare korporatiboan amua ezagutu eta jarritako tranpetan erortzen direnean huts egiten duten ondorioak atera ditzakegu. Gertaera honek Deception-en eraginkortasuna eta etorkizunean teknologia honek irekitzen dituen aukera handiak berresten ditu berriro ere.

Produktuen probak

Deception plataforma interesatzen bazaizu, prest gaude proba bateratuak egitea.

Egon adi gure kanaletako eguneraketak (Telegrama, Facebook, VK, TS Solution Bloga)!

Iturria: www.habr.com