Honeypot در مقابل فریب به عنوان مثال Xello

قبلاً چندین مقاله در Habré در مورد فن آوری های Honeypot و Deception وجود دارد (مقاله 1, مقاله 2). با این حال، ما هنوز با عدم درک تفاوت بین این دسته از تجهیزات حفاظتی مواجه هستیم. برای این، همکاران ما از سلام فریب (اولین توسعه دهنده روسی فریب پلت فرم) تصمیم گرفت تا تفاوت ها، مزایا و ویژگی های معماری این راه حل ها را به تفصیل شرح دهد.

بیایید بفهمیم که "honeypot" و "فریب کاری" چیست:

"فناوری های فریب" نسبتاً اخیراً در بازار سیستم های امنیت اطلاعات ظاهر شده اند. با این حال، برخی از کارشناسان هنوز فریب امنیتی را تنها هانی پات های پیشرفته تر می دانند.

در این مقاله سعی می کنیم شباهت ها و تفاوت های اساسی بین این دو راه حل را برجسته کنیم. در قسمت اول، در مورد هانی پات، چگونگی توسعه این فناوری و مزایا و معایب آن صحبت خواهیم کرد. و در قسمت دوم، به طور مفصل به اصول عملکرد سکوها برای ایجاد زیرساخت توزیع شده از فریب ها خواهیم پرداخت (English, Distributed Deception Platform - DDP).

اصل اساسی موجود در هانی پات ها ایجاد تله برای هکرها است. اولین راه حل های فریب بر اساس همان اصل توسعه یافتند. اما DDP های مدرن به طور قابل توجهی نسبت به هانی پات ها از نظر عملکرد و کارایی برتر هستند. پلتفرم های فریب عبارتند از: فریب ها، تله ها، فریب ها، برنامه ها، داده ها، پایگاه های داده، اکتیو دایرکتوری. DDP های مدرن می توانند قابلیت های قدرتمندی برای تشخیص تهدید، تجزیه و تحلیل حمله و اتوماسیون پاسخ ارائه دهند.

بنابراین، فریب تکنیکی برای شبیه سازی زیرساخت فناوری اطلاعات یک شرکت و گمراه کردن هکرها است. در نتیجه، چنین پلتفرم‌هایی این امکان را فراهم می‌کنند که حملات را قبل از وارد کردن خسارت قابل توجه به دارایی‌های شرکت متوقف کنند. البته هانی پات ها چنین عملکرد گسترده و چنین سطحی از اتوماسیون را ندارند، بنابراین استفاده از آنها مستلزم صلاحیت های بیشتری از سوی کارکنان بخش های امنیت اطلاعات است.

1. Honeypot، Honeynets و Sandboxing: چیست و چگونه استفاده می شود

اصطلاح Honeypots برای اولین بار در سال 1989 در کتاب کلیفورد استول به نام "تخم مرغ فاخته" استفاده شد که رویدادهای ردیابی یک هکر را در آزمایشگاه ملی لارنس برکلی (ایالات متحده آمریکا) توصیف می کند. این ایده در سال 1999 توسط لنس اسپیتزنر، متخصص امنیت اطلاعات در Sun Microsystems، که پروژه تحقیقاتی پروژه هانی نت را پایه گذاری کرد، عملی شد. اولین هانی پات ها منابع بسیار زیادی داشتند و راه اندازی و نگهداری آنها دشوار بود.

بیایید نگاه دقیق تری به چیستی آن بیندازیم Honeypot ها и Honeynets. Honeypot ها هاست های فردی هستند که هدف آنها جذب مهاجمان برای نفوذ به شبکه یک شرکت و تلاش برای سرقت داده های ارزشمند و همچنین گسترش منطقه پوشش شبکه است. Honeypot (به معنای واقعی کلمه به عنوان بشکه عسل ترجمه شده است) یک سرور ویژه با مجموعه ای از خدمات شبکه و پروتکل های مختلف مانند HTTP، FTP و غیره است. (شکل 1 را ببینید).

اگر چندین را با هم ترکیب کنید Honeypot ها وارد شبکه شوید، سپس سیستم کارآمدتری را دریافت خواهیم کرد هانی نت، که شبیه سازی شبکه شرکتی (وب سرور، سرور فایل و سایر اجزای شبکه) است. این راه حل به شما امکان می دهد استراتژی مهاجمان را درک کرده و آنها را گمراه کنید. یک هانی نت معمولی، به عنوان یک قاعده، به موازات شبکه کار عمل می کند و کاملاً مستقل از آن است. چنین "شبکه ای" را می توان از طریق یک کانال جداگانه در اینترنت منتشر کرد؛ همچنین می توان محدوده جداگانه ای از آدرس های IP را برای آن اختصاص داد (شکل 2 را ببینید).

هدف استفاده از هانی نت این است که به هکر نشان دهیم که ظاهراً به شبکه شرکتی سازمان نفوذ کرده است؛ در واقع، مهاجم در یک "محیط ایزوله" و تحت نظارت دقیق متخصصان امنیت اطلاعات است (شکل 3 را ببینید).

در اینجا لازم است به ابزاری مانند «گودال ماسهبازی"(انگلیسی، گودال ماسهبازی) که به مهاجمان اجازه می دهد بدافزار را در یک محیط ایزوله نصب و اجرا کنند که در آن فناوری اطلاعات می تواند فعالیت های آنها را برای شناسایی خطرات احتمالی و اتخاذ اقدامات متقابل مناسب نظارت کند. در حال حاضر، sandboxing به طور معمول بر روی ماشین‌های مجازی اختصاصی روی یک میزبان مجازی پیاده‌سازی می‌شود. با این حال، باید توجه داشت که sandboxing تنها نشان می‌دهد که برنامه‌ها چقدر خطرناک و مخرب رفتار می‌کنند، در حالی که هانی‌نت به متخصص کمک می‌کند تا رفتار «بازیکنان خطرناک» را تحلیل کند.

مزیت آشکار Honeynet ها این است که مهاجمان را گمراه می کند و انرژی، منابع و زمان آنها را هدر می دهد. در نتیجه، به جای اهداف واقعی، به اهداف کاذب حمله می کنند و می توانند بدون دستیابی به چیزی، حمله به شبکه را متوقف کنند. اغلب، فناوری‌های Honeynets در سازمان‌های دولتی و شرکت‌های بزرگ، سازمان‌های مالی استفاده می‌شوند، زیرا این ساختارها هدف حملات سایبری بزرگ هستند. با این حال، کسب‌وکارهای کوچک و متوسط ​​(SMB) نیز به ابزارهای مؤثر برای جلوگیری از حوادث امنیت اطلاعات نیاز دارند، اما استفاده از هانی‌نت‌ها در بخش SMB به دلیل عدم وجود پرسنل واجد شرایط برای چنین کارهای پیچیده‌ای چندان آسان نیست.

محدودیت های Honeypots و Honeynets Solutions

چرا هانی پات ها و هانی نت ها بهترین راه حل برای مقابله با حملات امروزی نیستند؟ لازم به ذکر است که حملات به طور فزاینده ای در مقیاس بزرگ، از نظر فنی پیچیده و قادر به وارد کردن آسیب جدی به زیرساخت فناوری اطلاعات سازمان هستند و جرایم سایبری به سطح کاملاً متفاوتی رسیده است و ساختارهای تجاری سایه بسیار سازمان یافته مجهز به تمام منابع لازم را نشان می دهد. به این باید «عامل انسانی» (خطا در تنظیمات نرم‌افزار و سخت‌افزار، اقدامات خودی‌ها و غیره) را اضافه کرد، بنابراین استفاده از فناوری برای جلوگیری از حملات دیگر در حال حاضر کافی نیست.

در زیر محدودیت ها و معایب اصلی هانی پات ها (honeynets) را فهرست می کنیم:

1. هانی پات ها در ابتدا برای شناسایی تهدیدهایی که خارج از شبکه شرکت هستند، ساخته شدند، بیشتر برای تجزیه و تحلیل رفتار مهاجمان طراحی شده اند و برای پاسخ سریع به تهدیدات طراحی نشده اند.

2. به عنوان یک قاعده، مهاجمان قبلاً یاد گرفته اند که سیستم های شبیه سازی شده را تشخیص دهند و از هانی پات اجتناب کنند.

3. هانی‌نت‌ها دارای سطح تعامل و تعامل بسیار پایینی با سایر سیستم‌های امنیتی هستند که در نتیجه با استفاده از هانی‌پات‌ها، دست‌یابی به اطلاعات دقیق در مورد حملات و مهاجمان و در نتیجه واکنش موثر و سریع به حوادث امنیت اطلاعات دشوار است. . علاوه بر این، متخصصان امنیت اطلاعات تعداد زیادی هشدار تهدید نادرست را دریافت می کنند.

4. در برخی موارد، هکرها ممکن است از یک هانی پات به خطر افتاده به عنوان نقطه شروع برای ادامه حمله خود به شبکه یک سازمان استفاده کنند.

5. مشکلات اغلب با مقیاس پذیری هانی پات ها، بار عملیاتی بالا و پیکربندی چنین سیستم هایی ایجاد می شود (آنها به متخصصان بسیار ماهر نیاز دارند، رابط مدیریتی مناسبی ندارند و غیره). مشکلات زیادی در راه اندازی هانی پات ها در محیط های تخصصی مانند اینترنت اشیا، POS، سیستم های ابری و غیره وجود دارد.

2. فن آوری فریب: مزایا و اصول عملیاتی اساسی

با مطالعه تمام مزایا و معایب هانی پات ها، به این نتیجه می رسیم که یک رویکرد کاملاً جدید برای پاسخگویی به حوادث امنیت اطلاعات به منظور ایجاد واکنش سریع و کافی در برابر اقدامات مهاجمان مورد نیاز است. و چنین راه حلی تکنولوژی است فریب سایبری (فریب امنیتی).

اصطلاحات "فریب سایبری"، "فریب امنیتی"، "فناوری فریب"، "پلتفرم فریب توزیع شده" (DDP) نسبتا جدید است و نه چندان دور ظاهر شده است. در واقع، تمام این اصطلاحات به معنای استفاده از "فناوری های فریب" یا "تکنیک هایی برای شبیه سازی زیرساخت های فناوری اطلاعات و اطلاعات نادرست مهاجمان" است. ساده‌ترین راه‌حل‌های فریب، توسعه ایده‌های هانی‌پات‌ها است، فقط در سطح پیشرفته‌تر از نظر فناوری، که شامل اتوماسیون بیشتر تشخیص تهدید و پاسخ به آنها است. با این حال، در حال حاضر راه حل های جدی کلاس DDP در بازار وجود دارد که به راحتی قابل استقرار و مقیاس هستند، و همچنین دارای یک زرادخانه جدی از "تله" و "طعمه" برای مهاجمان هستند. به عنوان مثال، Deception به شما امکان می دهد اشیاء زیرساخت فناوری اطلاعات مانند پایگاه های داده، ایستگاه های کاری، روترها، سوئیچ ها، دستگاه های خودپرداز، سرورها و SCADA، تجهیزات پزشکی و IoT را شبیه سازی کنید.

پلتفرم فریب توزیع شده چگونه کار می کند؟ پس از استقرار DDP، زیرساخت فناوری اطلاعات سازمان از دو لایه ساخته می‌شود: لایه اول زیرساخت واقعی شرکت است و لایه دوم یک محیط شبیه‌سازی شده متشکل از طعمه‌ها و طعمه‌ها) است که قرار دارند. در دستگاه های واقعی شبکه فیزیکی (شکل 4 را ببینید).

به عنوان مثال، یک مهاجم می‌تواند پایگاه‌های داده نادرست را با «اسناد محرمانه»، اعتبار جعلی «کاربران ممتاز» کشف کند - همه اینها فریب‌هایی هستند که می‌توانند متخلفان را مورد توجه قرار دهند و در نتیجه توجه آنها را از دارایی‌های اطلاعاتی واقعی شرکت منحرف کنند (شکل 5 را ببینید).

DDP یک محصول جدید در بازار محصولات امنیت اطلاعات است؛ این راه حل ها تنها چند سال از عمر آنها می گذرد و تاکنون تنها بخش شرکتی می تواند آنها را بخرد. اما کسب‌وکارهای کوچک و متوسط ​​نیز به زودی می‌توانند با اجاره DDP از ارائه‌دهندگان تخصصی «به‌عنوان خدمات» از مزایای فریب استفاده کنند. این گزینه حتی راحت تر است، زیرا نیازی به پرسنل بسیار ماهر شما نیست.

مزایای اصلی فناوری فریب در زیر نشان داده شده است:

• اصالت (اصالت). فناوری فریب توانایی بازتولید یک محیط فناوری اطلاعات کاملاً معتبر یک شرکت، شبیه‌سازی کیفی سیستم‌های عامل، اینترنت اشیا، POS، سیستم‌های تخصصی (پزشکی، صنعتی و غیره)، خدمات، برنامه‌های کاربردی، اعتبارنامه‌ها و غیره را دارد. طعمه ها با دقت با محیط کار مخلوط می شوند و مهاجم نمی تواند آنها را به عنوان honeypot شناسایی کند.

• پیاده سازی. DDP ها از یادگیری ماشین (ML) در کار خود استفاده می کنند. با کمک ML، سادگی، انعطاف پذیری در تنظیمات و کارایی اجرای Deception تضمین می شود. «تله‌ها» و «فریب‌ها» خیلی سریع به‌روزرسانی می‌شوند و یک مهاجم را به زیرساخت‌های فناوری اطلاعات «کاذب» شرکت می‌کشانند و در این بین، سیستم‌های تحلیل پیشرفته مبتنی بر هوش مصنوعی می‌توانند اقدامات فعال هکرها را شناسایی کرده و از آنها جلوگیری کنند (به عنوان مثال، تلاش برای دسترسی به حساب‌های جعلی مبتنی بر Active Directory).

• سهولت کار. نگهداری و مدیریت پلتفرم های فریب توزیع شده مدرن آسان است. آنها معمولاً از طریق یک کنسول محلی یا ابری، با قابلیت های یکپارچه سازی با SOC شرکت (مرکز عملیات امنیتی) از طریق API و با بسیاری از کنترل های امنیتی موجود، مدیریت می شوند. تعمیر و نگهداری و بهره برداری از DDP به خدمات کارشناسان امنیت اطلاعات با مهارت بالا نیاز ندارد.

• مقیاس پذیری. فریب امنیتی را می توان در محیط های فیزیکی، مجازی و ابری مستقر کرد. DDP ها همچنین با محیط های تخصصی مانند IoT، ICS، POS، SWIFT و غیره با موفقیت کار می کنند. پلتفرم‌های فریب پیشرفته می‌توانند «فناوری‌های فریب» را در دفاتر راه دور و محیط‌های جدا شده، بدون نیاز به استقرار کامل پلتفرم اضافی، پخش کنند.

• اثر متقابل. پلتفرم فریب با استفاده از فریب های قدرتمند و جذابی که مبتنی بر سیستم عامل های واقعی هستند و به طور هوشمندانه ای در میان زیرساخت های واقعی فناوری اطلاعات قرار می گیرند، اطلاعات گسترده ای را در مورد مهاجم جمع آوری می کند. سپس DDP تضمین می‌کند که هشدارهای تهدید مخابره می‌شوند، گزارش‌ها تولید می‌شوند و حوادث امنیت اطلاعات به طور خودکار پاسخ داده می‌شوند.

• نقطه شروع حمله. در فریب مدرن، تله‌ها و طعمه‌ها در محدوده شبکه قرار می‌گیرند، نه خارج از آن (همانطور که در مورد هانی‌پات‌ها وجود دارد). این مدل استقرار فریب مانع از استفاده مهاجم از آنها به عنوان نقطه اهرمی برای حمله به زیرساخت واقعی فناوری اطلاعات شرکت می شود. راه حل های پیشرفته تر کلاس فریب دارای قابلیت مسیریابی ترافیک هستند، بنابراین می توانید تمام ترافیک مهاجم را از طریق یک اتصال اختصاصی هدایت کنید. این به شما امکان می دهد تا فعالیت مهاجمان را بدون به خطر انداختن دارایی های ارزشمند شرکت تجزیه و تحلیل کنید.

• متقاعد کننده بودن "فناوری های فریب". در مرحله اولیه حمله، مهاجمان داده‌های مربوط به زیرساخت فناوری اطلاعات را جمع‌آوری و تجزیه و تحلیل می‌کنند، سپس از آن برای حرکت افقی در شبکه شرکت استفاده می‌کنند. با کمک «فناوری های فریب»، مهاجم قطعاً در «تله هایی» می افتد که او را از دارایی های واقعی سازمان دور می کند. DDP مسیرهای بالقوه دسترسی به اعتبارنامه ها در یک شبکه شرکتی را تجزیه و تحلیل می کند و به جای اعتبارنامه واقعی، "هدف های فریبنده" را در اختیار مهاجم قرار می دهد. این قابلیت‌ها در فناوری‌های Honeypot به شدت کمبود داشتند. (شکل 6 را ببینید).

فریب در مقابل هانی پات

و در نهایت به جالب ترین لحظه تحقیق خود می رسیم. ما سعی خواهیم کرد تفاوت های اصلی بین فناوری های Deception و Honeypot را برجسته کنیم. علیرغم برخی شباهت ها، این دو فناوری هنوز بسیار متفاوت هستند، از ایده اساسی گرفته تا کارایی عملیاتی.

1. ایده های اساسی مختلف. همانطور که در بالا نوشتیم، هانی پات ها به عنوان "فریب" در اطراف دارایی های ارزشمند شرکت (خارج از شبکه شرکت) نصب می شوند، بنابراین سعی می کنند حواس مهاجمان را منحرف کنند. فناوری Honeypot مبتنی بر درک زیرساخت های یک سازمان است، اما هانی پات ها می توانند نقطه شروعی برای حمله به شبکه یک شرکت باشند. فناوری فریب با در نظر گرفتن دیدگاه مهاجم توسعه یافته است و به شما امکان می دهد حمله را در مراحل اولیه شناسایی کنید، بنابراین متخصصان امنیت اطلاعات برتری قابل توجهی نسبت به مهاجمان به دست می آورند و زمان به دست می آورند.

2. "جاذبه" در مقابل "گیج". هنگام استفاده از هانی پات، موفقیت به جلب توجه مهاجمان و انگیزه بیشتر آنها برای حرکت به سمت هدف در هانی پات بستگی دارد. این بدان معناست که مهاجم هنوز باید به هانی پات برسد تا بتوانید او را متوقف کنید. بنابراین، حضور مهاجمان در شبکه می تواند چندین ماه یا بیشتر طول بکشد و این منجر به نشت داده ها و آسیب می شود. DDPها به طور کیفی از زیرساخت واقعی فناوری اطلاعات یک شرکت تقلید می کنند؛ هدف از پیاده سازی آنها فقط جلب توجه مهاجم نیست، بلکه گیج کردن او است تا زمان و منابع خود را هدر دهد، اما به دارایی های واقعی دسترسی پیدا نکند. شرکت.

3. "مقیاس پذیری محدود" در مقابل "مقیاس پذیری خودکار". همانطور که قبلا ذکر شد، هانی پات ها و هانی نت ها دارای مشکلات پوسته پوسته شدن هستند. این کار دشوار و پرهزینه است و برای افزایش تعداد هانی پات ها در یک سیستم شرکتی، باید کامپیوترهای جدید، سیستم عامل، خرید مجوزها و تخصیص IP را اضافه کنید. علاوه بر این، داشتن پرسنل واجد شرایط برای مدیریت چنین سیستم هایی نیز ضروری است. پلتفرم‌های فریب به‌طور خودکار به‌عنوان مقیاس‌های زیرساخت شما، بدون سربار قابل‌توجه مستقر می‌شوند.

4. "تعداد زیادی از مثبت کاذب" در مقابل "بدون مثبت کاذب". ماهیت مشکل این است که حتی یک کاربر ساده نیز می تواند با هانی پات روبرو شود، بنابراین "نقاط منفی" این فناوری تعداد زیادی از موارد مثبت کاذب است که متخصصان امنیت اطلاعات را از کار آنها منحرف می کند. طعمه‌ها و تله‌ها در DDP به دقت از کاربر معمولی پنهان می‌شوند و فقط برای یک مهاجم طراحی شده‌اند، بنابراین هر سیگنال از چنین سیستمی اعلان یک تهدید واقعی است و نه یک مثبت کاذب.

نتیجه

به نظر ما، فناوری Deception پیشرفت بزرگی نسبت به فناوری قدیمی Honeypots است. در اصل، DDP به یک پلت فرم امنیتی جامع تبدیل شده است که استقرار و مدیریت آن آسان است.

پلتفرم های مدرن این کلاس نقش مهمی در شناسایی دقیق و پاسخگویی موثر به تهدیدات شبکه ایفا می کنند و ادغام آنها با سایر اجزای پشته امنیتی باعث افزایش سطح اتوماسیون، افزایش کارایی و اثربخشی واکنش به حادثه می شود. پلتفرم های فریب بر اساس اصالت، مقیاس پذیری، سهولت مدیریت و ادغام با سایر سیستم ها هستند. همه اینها مزیت قابل توجهی در سرعت پاسخگویی به حوادث امنیت اطلاعات می دهد.

همچنین، بر اساس مشاهدات پنت‌های شرکت‌هایی که پلتفرم فریب Xello در آن‌ها پیاده‌سازی یا به صورت آزمایشی اجرا شده است، می‌توان نتیجه‌گیری کرد که حتی نفوذگران باتجربه اغلب نمی‌توانند طعمه را در شبکه شرکت تشخیص دهند و زمانی که به دام‌های تنظیم شده می‌افتند شکست می‌خورند. این واقعیت یک بار دیگر اثربخشی Deception و چشم اندازهای بزرگی را که برای این فناوری در آینده باز می شود تأیید می کند.

تست محصول

اگر به پلتفرم فریب علاقه دارید، پس ما آماده ایم انجام آزمایش مشترک.

کانال های ما را برای به روز رسانی دنبال کنید (تلگرام, فیس بوک, VK, وبلاگ راه حل TS)!

منبع: www.habr.com