Il existe dĂ©jĂ plusieurs articles sur HabrĂ© sur les technologies Honeypot et Deception (, ). Cependant, nous sommes toujours confrontĂ©s Ă un manque de comprĂ©hension de la diffĂ©rence entre ces classes dâĂ©quipements de protection. Pour cela, nos confrĂšres de (premier dĂ©veloppeur russe ) a dĂ©cidĂ© de dĂ©crire en dĂ©tail les diffĂ©rences, les avantages et les caractĂ©ristiques architecturales de ces solutions.
Voyons ce que sont les « pots de miel » et les « tromperies » :
Les « technologies de tromperie » sont apparues relativement rĂ©cemment sur le marchĂ© des systĂšmes de sĂ©curitĂ© de l'information. Cependant, certains experts considĂšrent toujours que Security Deception nâest que des pots de miel plus avancĂ©s.
Dans cet article, nous tenterons de mettre en évidence à la fois les similitudes et les différences fondamentales entre ces deux solutions. Dans une premiÚre partie, nous parlerons du honeypot, de la façon dont cette technologie s'est développée et quels sont ses avantages et ses inconvénients. Et dans la deuxiÚme partie, nous nous attarderons en détail sur les principes de fonctionnement des plateformes de création d'une infrastructure distribuée de leurres (anglais, Distributed Deception Platform - DDP).
Le principe de base des honeypots est de crĂ©er des piĂšges pour les pirates. Les toutes premiĂšres solutions de DĂ©ception ont Ă©tĂ© dĂ©veloppĂ©es sur le mĂȘme principe. Mais les DDP modernes sont nettement supĂ©rieurs aux pots de miel, tant en termes de fonctionnalitĂ© que dâefficacitĂ©. Les plateformes de tromperie comprennent : les leurres, les piĂšges, les leurres, les applications, les donnĂ©es, les bases de donnĂ©es, Active Directory. Les DDP modernes peuvent fournir de puissantes fonctionnalitĂ©s de dĂ©tection des menaces, dâanalyse des attaques et dâautomatisation des rĂ©ponses.
Ainsi, la tromperie est une technique permettant de simuler lâinfrastructure informatique dâune entreprise et de tromper les pirates informatiques. De telles plateformes permettent ainsi de stopper les attaques avant de causer des dommages importants aux actifs de lâentreprise. Les pots de miel, bien entendu, ne disposent pas de fonctionnalitĂ©s aussi Ă©tendues et d'un tel niveau d'automatisation, leur utilisation nĂ©cessite donc plus de qualifications de la part des employĂ©s des services de sĂ©curitĂ© de l'information.
1. Honeypots, Honeynets et Sandboxing : qu'est-ce que c'est et comment ils sont utilisés
Le terme « pots de miel » a Ă©tĂ© utilisĂ© pour la premiĂšre fois en 1989 dans le livre de Clifford Stoll « The Cuckoo's Egg », qui dĂ©crit les Ă©vĂ©nements liĂ©s Ă la traque d'un pirate informatique au Lawrence Berkeley National Laboratory (Ătats-Unis). Cette idĂ©e a Ă©tĂ© mise en pratique en 1999 par Lance Spitzner, spĂ©cialiste de la sĂ©curitĂ© de l'information chez Sun Microsystems, qui a fondĂ© le projet de recherche Honeynet Project. Les premiers pots de miel Ă©taient trĂšs gourmands en ressources, difficiles Ă mettre en place et Ă entretenir.
Regardons de plus prĂšs ce que c'est pots de miel Đž filets de miel. Les pots de miel sont des hĂŽtes individuels dont le but est dâinciter les attaquants Ă pĂ©nĂ©trer dans le rĂ©seau dâune entreprise et Ă tenter de voler des donnĂ©es prĂ©cieuses, ainsi quâĂ Ă©tendre la zone de couverture du rĂ©seau. Honeypot (littĂ©ralement traduit par « baril de miel ») est un serveur spĂ©cial dotĂ© d'un ensemble de divers services et protocoles rĂ©seau, tels que HTTP, FTP, etc. (voir fig. 1).
Si vous combinez plusieurs pots de miel dans le rĂ©seau, nous obtiendrons alors un systĂšme plus efficace filet de miel, qui est une Ă©mulation du rĂ©seau dâentreprise dâune entreprise (serveur Web, serveur de fichiers et autres composants rĂ©seau). Cette solution permet de comprendre la stratĂ©gie des attaquants et de les induire en erreur. En rĂšgle gĂ©nĂ©rale, un honeynet typique fonctionne parallĂšlement au rĂ©seau de travail et en est totalement indĂ©pendant. Un tel « rĂ©seau » peut ĂȘtre publiĂ© sur Internet via un canal sĂ©parĂ©, une plage distincte d'adresses IP peut Ă©galement lui ĂȘtre attribuĂ©e (voir Fig. 2).
LâintĂ©rĂȘt dâutiliser Honeynet est de montrer au pirate informatique quâil est censĂ© avoir pĂ©nĂ©trĂ© le rĂ©seau dâentreprise de lâorganisation : en fait, lâattaquant se trouve dans un « environnement isolĂ© » et sous la surveillance Ă©troite de spĂ©cialistes de la sĂ©curitĂ© de lâinformation (voir Fig. 3).
Ici, nous devons Ă©galement mentionner un outil tel que «bac Ă sable"(Anglais, tas de sable), qui permet aux attaquants d'installer et d'exĂ©cuter des logiciels malveillants dans un environnement isolĂ© oĂč le service informatique peut surveiller leurs activitĂ©s pour identifier les risques potentiels et prendre les contre-mesures appropriĂ©es. Actuellement, le sandboxing est gĂ©nĂ©ralement implĂ©mentĂ© sur des machines virtuelles dĂ©diĂ©es sur un hĂŽte virtuel. Cependant, il convient de noter que le sandboxing montre uniquement le comportement des programmes dangereux et malveillants, tandis que Honeynet aide un spĂ©cialiste Ă analyser le comportement des « joueurs dangereux ».
Lâavantage Ă©vident des honeynets est quâils induisent les attaquants en erreur, leur faisant perdre de lâĂ©nergie, des ressources et du temps. En consĂ©quence, au lieu de cibles rĂ©elles, ils attaquent de fausses cibles et peuvent cesser dâattaquer le rĂ©seau sans rien obtenir. Le plus souvent, les technologies Honeynets sont utilisĂ©es dans les agences gouvernementales et les grandes entreprises, les organisations financiĂšres, car ce sont ces structures qui s'avĂšrent ĂȘtre des cibles de cyberattaques majeures. Cependant, les petites et moyennes entreprises (PME) ont Ă©galement besoin d'outils efficaces pour prĂ©venir les incidents de sĂ©curitĂ© des informations, mais les honeynets dans le secteur des PME ne sont pas si faciles Ă utiliser en raison du manque de personnel qualifiĂ© pour un travail aussi complexe.
Limites des solutions Honeypots et Honeynets
Pourquoi les honeypots et les honeynets ne sont-ils pas aujourdâhui les meilleures solutions pour contrer les attaques ? Il convient de noter que les attaques deviennent de plus en plus Ă grande Ă©chelle, techniquement complexes et capables de causer de graves dommages Ă lâinfrastructure informatique dâune organisation, et que la cybercriminalitĂ© a atteint un tout autre niveau et reprĂ©sente des structures commerciales fantĂŽmes hautement organisĂ©es et dotĂ©es de toutes les ressources nĂ©cessaires. Ă cela sâajoute le « facteur humain » (erreurs dans les paramĂštres logiciels et matĂ©riels, actions des initiĂ©s, etc.), de sorte quâutiliser uniquement la technologie pour prĂ©venir les attaques nâest plus suffisant pour le moment.
Nous listons ci-dessous les principales limitations et inconvénients des honeypots (honeynets) :
Les pots de miel ont été développés à l'origine pour identifier les menaces extérieures au réseau de l'entreprise. Ils sont plutÎt destinés à analyser le comportement des attaquants et ne sont pas conçus pour répondre rapidement aux menaces.
En rÚgle générale, les attaquants ont déjà appris à reconnaßtre les systÚmes émulés et à éviter les pots de miel.
Les Honeynets (honeypots) ont un niveau d'interactivitĂ© et d'interaction extrĂȘmement faible avec d'autres systĂšmes de sĂ©curitĂ©, de sorte qu'en utilisant des honeypots, il est difficile d'obtenir des informations dĂ©taillĂ©es sur les attaques et les attaquants, et donc de rĂ©pondre efficacement et rapidement aux incidents de sĂ©curitĂ© des informations. . De plus, les spĂ©cialistes de la sĂ©curitĂ© de lâinformation reçoivent un grand nombre de fausses alertes de menaces.
Dans certains cas, les pirates peuvent utiliser un pot de miel compromis comme point de départ pour poursuivre leur attaque sur le réseau d'une organisation.
Des problÚmes surviennent souvent avec l'évolutivité des pots de miel, la charge opérationnelle élevée et la configuration de tels systÚmes (ils nécessitent des spécialistes hautement qualifiés, ne disposent pas d'une interface de gestion pratique, etc.). Il existe de grandes difficultés lors du déploiement de pots de miel dans des environnements spécialisés tels que l'IoT, les points de vente, les systÚmes cloud, etc.
2. Technologie de tromperie : avantages et principes de fonctionnement de base
AprĂšs avoir Ă©tudiĂ© tous les avantages et inconvĂ©nients des pots de miel, nous arrivons Ă la conclusion qu'une toute nouvelle approche de rĂ©ponse aux incidents de sĂ©curitĂ© de l'information est nĂ©cessaire afin de dĂ©velopper une rĂ©ponse rapide et adĂ©quate aux actions des attaquants. Et une telle solution est la technologie Cyber ââââtromperie (tromperie de sĂ©curitĂ©).
La terminologie « Cyber ââââââtromperie », « Tromperie de sĂ©curitĂ© », « Technologie de tromperie », « Plateforme de tromperie distribuĂ©e » (DDP) est relativement nouvelle et est apparue il n'y a pas si longtemps. En fait, tous ces termes dĂ©signent lâutilisation de « technologies de tromperie » ou de « techniques de simulation dâinfrastructure informatique et de dĂ©sinformation des attaquants ». Les solutions de tromperie les plus simples sont un dĂ©veloppement des idĂ©es des pots de miel, mais Ă un niveau technologiquement plus avancĂ©, ce qui implique une plus grande automatisation de la dĂ©tection des menaces et de la rĂ©ponse Ă celles-ci. Cependant, il existe dĂ©jĂ sur le marchĂ© des solutions sĂ©rieuses de classe DDP, faciles Ă dĂ©ployer et Ă mettre Ă l'Ă©chelle, et disposant Ă©galement d'un arsenal sĂ©rieux de « piĂšges » et d'« appĂąts » pour les attaquants. Par exemple, Deception vous permet d'Ă©muler des objets d'infrastructure informatique tels que des bases de donnĂ©es, des postes de travail, des routeurs, des commutateurs, des guichets automatiques, des serveurs et SCADA, des Ă©quipements mĂ©dicaux et de l'IoT.
Comment fonctionne la plateforme de tromperie distribuée ? Une fois DDP déployé, l'infrastructure informatique de l'organisation sera construite comme à partir de deux couches : la premiÚre couche est l'infrastructure réelle de l'entreprise, et la seconde est un environnement « émulé » composé de leurres et d'appùts). sur de vrais périphériques réseau physiques (voir Fig. 4).
Par exemple, un attaquant peut découvrir de fausses bases de données contenant des « documents confidentiels », de fausses informations d'identification d'utilisateurs prétendument « privilégiés » : autant de leurres qui peuvent intéresser les contrevenants, détournant ainsi leur attention des véritables actifs informationnels de l'entreprise (voir Figure 5).
DDP est un nouveau produit sur le marchĂ© des produits de sĂ©curitĂ© de l'information ; ces solutions n'ont que quelques annĂ©es et jusqu'Ă prĂ©sent, seul le secteur des entreprises peut se les permettre. Mais les petites et moyennes entreprises pourront bientĂŽt Ă©galement profiter de Deception en louant du DDP auprĂšs de prestataires spĂ©cialisĂ©s « en tant que service ». Cette option est encore plus pratique car vous nâavez pas besoin de votre propre personnel hautement qualifiĂ©.
Les principaux avantages de la technologie Deception sont présentés ci-dessous :
AuthenticitĂ© (authenticitĂ©). La technologie de tromperie est capable de reproduire un environnement informatique totalement authentique d'une entreprise, Ă©mulant qualitativement les systĂšmes d'exploitation, l'IoT, les points de vente, les systĂšmes spĂ©cialisĂ©s (mĂ©dicaux, industriels, etc.), les services, les applications, les informations d'identification, etc. Les leurres sont soigneusement mĂ©langĂ©s Ă lâenvironnement de travail et un attaquant ne pourra pas les identifier comme des pots de miel.
Mise en Ćuvre. Les DDP utilisent l'apprentissage automatique (ML) dans leur travail. Avec l'aide du ML, la simplicitĂ©, la flexibilitĂ© des paramĂštres et l'efficacitĂ© de la mise en Ćuvre de Deception sont assurĂ©es. Les « piĂšges » et les « leurres » sont mis Ă jour trĂšs rapidement, attirant un attaquant dans la « fausse » infrastructure informatique de l'entreprise, et entre-temps, des systĂšmes d'analyse avancĂ©s basĂ©s sur l'intelligence artificielle peuvent dĂ©tecter les actions actives des pirates informatiques et les empĂȘcher (par exemple, un tentative d'accĂšs Ă des comptes frauduleux basĂ©s sur Active Directory).
Facilité d'utilisation. Les plates-formes de tromperie distribuées modernes sont faciles à entretenir et à gérer. Ils sont généralement gérés via une console locale ou cloud, avec des capacités d'intégration avec le SOC (Security Operations Center) de l'entreprise via API et avec de nombreux contrÎles de sécurité existants. La maintenance et l'exploitation de DDP ne nécessitent pas les services d'experts en sécurité de l'information hautement qualifiés.
ĂvolutivitĂ©. La tromperie de sĂ©curitĂ© peut ĂȘtre dĂ©ployĂ©e dans des environnements physiques, virtuels et cloud. Les DDP fonctionnent Ă©galement avec succĂšs avec des environnements spĂ©cialisĂ©s tels que IoT, ICS, POS, SWIFT, etc. Les plateformes Advanced Deception peuvent projeter des « technologies de tromperie » dans des bureaux distants et des environnements isolĂ©s, sans quâil soit nĂ©cessaire de dĂ©ployer une plateforme complĂšte supplĂ©mentaire.
Interaction. Ă lâaide de leurres puissants et attrayants basĂ©s sur de vrais systĂšmes dâexploitation et intelligemment placĂ©s au sein dâune vĂ©ritable infrastructure informatique, la plateforme Deception collecte des informations dĂ©taillĂ©es sur lâattaquant. DDP garantit ensuite que les alertes de menace sont transmises, que des rapports sont gĂ©nĂ©rĂ©s et que les incidents de sĂ©curitĂ© des informations reçoivent automatiquement une rĂ©ponse.
Point de dĂ©part de l'attaque. Dans la tromperie moderne, les piĂšges et les appĂąts sont placĂ©s Ă portĂ©e du rĂ©seau plutĂŽt qu'Ă l'extĂ©rieur (comme c'est le cas avec les pots de miel). Ce modĂšle de dĂ©ploiement leurre empĂȘche un attaquant de les utiliser comme levier pour attaquer la vĂ©ritable infrastructure informatique de l'entreprise. Les solutions plus avancĂ©es de la classe Deception ont des capacitĂ©s de routage du trafic, vous pouvez donc diriger tout le trafic des attaquants via une connexion spĂ©cialement dĂ©diĂ©e. Cela vous permettra d'analyser l'activitĂ© des attaquants sans risquer les prĂ©cieux actifs de l'entreprise.
Le pouvoir de persuasion des « technologies de tromperie ». Au stade initial de l'attaque, les attaquants collectent et analysent des données sur l'infrastructure informatique, puis les utilisent pour se déplacer horizontalement à travers le réseau de l'entreprise. Avec l'aide des « technologies de tromperie », l'attaquant tombera définitivement dans des « piÚges » qui l'éloigneront des actifs réels de l'organisation. DDP analysera les chemins potentiels pour accéder aux informations d'identification sur un réseau d'entreprise et fournira à l'attaquant des « cibles leurres » au lieu de véritables informations d'identification. Ces capacités manquaient cruellement aux technologies des pots de miel. (Voir Figure 6).
Tromperie VS Honeypot
Et enfin, nous arrivons au moment le plus intéressant de notre recherche. Nous essaierons de mettre en évidence les principales différences entre les technologies Deception et Honeypot. Malgré quelques similitudes, ces deux technologies restent trÚs différentes, de l'idée fondamentale à l'efficacité opérationnelle.
DiffĂ©rentes idĂ©es de base. Comme nous lâavons Ă©crit ci-dessus, les pots de miel sont installĂ©s comme des « leurres » autour des actifs prĂ©cieux de lâentreprise (en dehors du rĂ©seau de lâentreprise), essayant ainsi de distraire les attaquants. La technologie Honeypot repose sur une comprĂ©hension de l'infrastructure d'une organisation, mais les honeypots peuvent devenir un point de dĂ©part pour lancer une attaque sur le rĂ©seau d'une entreprise. La technologie de tromperie est dĂ©veloppĂ©e en tenant compte du point de vue de l'attaquant et vous permet d'identifier une attaque Ă un stade prĂ©coce. Ainsi, les spĂ©cialistes de la sĂ©curitĂ© de l'information acquiĂšrent un avantage significatif sur les attaquants et gagnent du temps.
"Attraction" contre "Confusion". Lors de l'utilisation de pots de miel, le succĂšs dĂ©pend de la nĂ©cessitĂ© d'attirer l'attention des attaquants et de les motiver davantage Ă se dĂ©placer vers la cible dans le pot de miel. Cela signifie que l'attaquant doit encore atteindre le pot de miel avant que vous puissiez l'arrĂȘter. Ainsi, la prĂ©sence d'attaquants sur le rĂ©seau peut durer plusieurs mois, voire plus, ce qui entraĂźnera des fuites et des dommages de donnĂ©es. Les DDP imitent qualitativement la vĂ©ritable infrastructure informatique d'une entreprise ; le but de leur mise en Ćuvre n'est pas seulement d'attirer l'attention d'un attaquant, mais de le confondre afin qu'il perde du temps et des ressources, mais n'accĂšde pas aux actifs rĂ©els de l'entreprise. entreprise.
« évolutivité limitée » VS « évolutivité automatique ». Comme indiqué précédemment, les pots de miel et les filets de miel ont des problÚmes de mise à l'échelle. C'est difficile et coûteux, et afin d'augmenter le nombre de pots de miel dans un systÚme d'entreprise, vous devrez ajouter de nouveaux ordinateurs, systÚmes d'exploitation, acheter des licences et allouer des adresses IP. De plus, il est également nécessaire de disposer de personnel qualifié pour gérer de tels systÚmes. Les plateformes de déception se déploient automatiquement à mesure que votre infrastructure évolue, sans frais généraux importants.
« Un grand nombre de faux positifs » VS « aucun faux positif ». L'essence du problĂšme est que mĂȘme un simple utilisateur peut rencontrer un pot de miel, donc « l'inconvĂ©nient » de cette technologie est un grand nombre de faux positifs, qui dĂ©tournent l'attention des spĂ©cialistes de la sĂ©curitĂ© de l'information de leur travail. Les « appĂąts » et les « piĂšges » du DDP sont soigneusement cachĂ©s Ă l'utilisateur moyen et sont conçus uniquement pour un attaquant, de sorte que chaque signal provenant d'un tel systĂšme est une notification d'une menace rĂ©elle et non un faux positif.
Conclusion
Ă notre avis, la technologie Deception constitue une Ă©norme amĂ©lioration par rapport Ă lâancienne technologie Honeypots. Essentiellement, DDP est devenu une plateforme de sĂ©curitĂ© complĂšte, facile Ă dĂ©ployer et Ă gĂ©rer.
Les plates-formes modernes de cette classe jouent un rÎle important dans la détection précise et la réponse efficace aux menaces réseau, et leur intégration avec d'autres composants de la pile de sécurité augmente le niveau d'automatisation et augmente l'efficience et l'efficacité de la réponse aux incidents. Les plates-formes de tromperie sont basées sur l'authenticité, l'évolutivité, la facilité de gestion et l'intégration avec d'autres systÚmes. Tout cela donne un avantage significatif dans la rapidité de réponse aux incidents de sécurité de l'information.
En outre, sur la base des observations des pentesters des entreprises dans lesquelles la plateforme Xello Deception a Ă©tĂ© implĂ©mentĂ©e ou testĂ©e, nous pouvons tirer des conclusions selon lesquelles mĂȘme les pentesters expĂ©rimentĂ©s ne peuvent souvent pas reconnaĂźtre l'appĂąt du rĂ©seau d'entreprise et Ă©chouent lorsqu'ils tombent dans les piĂšges tendus. Ce fait confirme une fois de plus l'efficacitĂ© de Deception et les grandes perspectives qui s'ouvrent Ă cette technologie dans le futur.
Tests de produits
Si vous ĂȘtes intĂ©ressĂ© par la plateforme Deception, alors nous sommes prĂȘts .
Restez à l'affût des mises à jour sur nos chaßnes (, , , )!
Source: habr.com
