ProHoster > Blog > administration > Honeypot vs Deception en utilisant Xello comme exemple

Honeypot vs Deception en utilisant Xello comme exemple

Honeypot vs Deception en utilisant Xello comme exemple

Il existe déjà plusieurs articles sur Habré sur les technologies Honeypot et Deception (Article 1, Article 2). Cependant, nous sommes toujours confrontés à un manque de compréhension de la différence entre ces classes d’équipements de protection. Pour cela, nos confrères de Bonjour la tromperie (premier développeur russe Tromperie de plate-forme) a décidé de décrire en détail les différences, les avantages et les caractéristiques architecturales de ces solutions.

Voyons ce que sont les « pots de miel » et les « tromperies » :

Les « technologies de tromperie » sont apparues relativement récemment sur le marché des systèmes de sécurité de l'information. Cependant, certains experts considèrent toujours que Security Deception n’est que des pots de miel plus avancés.

Dans cet article, nous tenterons de mettre en évidence à la fois les similitudes et les différences fondamentales entre ces deux solutions. Dans une première partie, nous parlerons du honeypot, de la façon dont cette technologie s'est développée et quels sont ses avantages et ses inconvénients. Et dans la deuxième partie, nous nous attarderons en détail sur les principes de fonctionnement des plateformes de création d'une infrastructure distribuée de leurres (anglais, Distributed Deception Platform - DDP).

Le principe de base des honeypots est de créer des pièges pour les pirates. Les toutes premières solutions de Déception ont été développées sur le même principe. Mais les DDP modernes sont nettement supérieurs aux pots de miel, tant en termes de fonctionnalité que d’efficacité. Les plateformes de tromperie comprennent : les leurres, les pièges, les leurres, les applications, les données, les bases de données, Active Directory. Les DDP modernes peuvent fournir de puissantes fonctionnalités de détection des menaces, d’analyse des attaques et d’automatisation des réponses.

Ainsi, la tromperie est une technique permettant de simuler l’infrastructure informatique d’une entreprise et de tromper les pirates informatiques. De telles plateformes permettent ainsi de stopper les attaques avant de causer des dommages importants aux actifs de l’entreprise. Les pots de miel, bien entendu, ne disposent pas de fonctionnalités aussi étendues et d'un tel niveau d'automatisation, leur utilisation nécessite donc plus de qualifications de la part des employés des services de sécurité de l'information.

1. Honeypots, Honeynets et Sandboxing : qu'est-ce que c'est et comment ils sont utilisés

Le terme « pots de miel » a été utilisé pour la première fois en 1989 dans le livre de Clifford Stoll « The Cuckoo's Egg », qui décrit les événements liés à la traque d'un pirate informatique au Lawrence Berkeley National Laboratory (États-Unis). Cette idée a été mise en pratique en 1999 par Lance Spitzner, spécialiste de la sécurité de l'information chez Sun Microsystems, qui a fondé le projet de recherche Honeynet Project. Les premiers pots de miel étaient très gourmands en ressources, difficiles à mettre en place et à entretenir.

Regardons de plus près ce que c'est pots de miel и filets de miel. Les pots de miel sont des hôtes individuels dont le but est d’inciter les attaquants à pénétrer dans le réseau d’une entreprise et à tenter de voler des données précieuses, ainsi qu’à étendre la zone de couverture du réseau. Honeypot (littéralement traduit par « baril de miel ») est un serveur spécial doté d'un ensemble de divers services et protocoles réseau, tels que HTTP, FTP, etc. (voir fig. 1).

Honeypot vs Deception en utilisant Xello comme exemple

Si vous combinez plusieurs pots de miel dans le réseau, nous obtiendrons alors un système plus efficace filet de miel, qui est une émulation du réseau d’entreprise d’une entreprise (serveur Web, serveur de fichiers et autres composants réseau). Cette solution permet de comprendre la stratégie des attaquants et de les induire en erreur. En règle générale, un honeynet typique fonctionne parallèlement au réseau de travail et en est totalement indépendant. Un tel « réseau » peut être publié sur Internet via un canal séparé, une plage distincte d'adresses IP peut également lui être attribuée (voir Fig. 2).

Honeypot vs Deception en utilisant Xello comme exemple

L’intérêt d’utiliser Honeynet est de montrer au pirate informatique qu’il est censé avoir pénétré le réseau d’entreprise de l’organisation : en fait, l’attaquant se trouve dans un « environnement isolé » et sous la surveillance étroite de spécialistes de la sécurité de l’information (voir Fig. 3).

Honeypot vs Deception en utilisant Xello comme exemple

Ici, nous devons également mentionner un outil tel que «bac à sable"(Anglais, tas de sable), qui permet aux attaquants d'installer et d'exécuter des logiciels malveillants dans un environnement isolé où le service informatique peut surveiller leurs activités pour identifier les risques potentiels et prendre les contre-mesures appropriées. Actuellement, le sandboxing est généralement implémenté sur des machines virtuelles dédiées sur un hôte virtuel. Cependant, il convient de noter que le sandboxing montre uniquement le comportement des programmes dangereux et malveillants, tandis que Honeynet aide un spécialiste à analyser le comportement des « joueurs dangereux ».

L’avantage évident des honeynets est qu’ils induisent les attaquants en erreur, leur faisant perdre de l’énergie, des ressources et du temps. En conséquence, au lieu de cibles réelles, ils attaquent de fausses cibles et peuvent cesser d’attaquer le réseau sans rien obtenir. Le plus souvent, les technologies Honeynets sont utilisées dans les agences gouvernementales et les grandes entreprises, les organisations financières, car ce sont ces structures qui s'avèrent être des cibles de cyberattaques majeures. Cependant, les petites et moyennes entreprises (PME) ont également besoin d'outils efficaces pour prévenir les incidents de sécurité des informations, mais les honeynets dans le secteur des PME ne sont pas si faciles à utiliser en raison du manque de personnel qualifié pour un travail aussi complexe.

Limites des solutions Honeypots et Honeynets

Pourquoi les honeypots et les honeynets ne sont-ils pas aujourd’hui les meilleures solutions pour contrer les attaques ? Il convient de noter que les attaques deviennent de plus en plus à grande échelle, techniquement complexes et capables de causer de graves dommages à l’infrastructure informatique d’une organisation, et que la cybercriminalité a atteint un tout autre niveau et représente des structures commerciales fantômes hautement organisées et dotées de toutes les ressources nécessaires. À cela s’ajoute le « facteur humain » (erreurs dans les paramètres logiciels et matériels, actions des initiés, etc.), de sorte qu’utiliser uniquement la technologie pour prévenir les attaques n’est plus suffisant pour le moment.

Nous listons ci-dessous les principales limitations et inconvénients des honeypots (honeynets) :

  1. Les pots de miel ont été développés à l'origine pour identifier les menaces extérieures au réseau de l'entreprise. Ils sont plutôt destinés à analyser le comportement des attaquants et ne sont pas conçus pour répondre rapidement aux menaces.

  2. En règle générale, les attaquants ont déjà appris à reconnaître les systèmes émulés et à éviter les pots de miel.

  3. Les Honeynets (honeypots) ont un niveau d'interactivité et d'interaction extrêmement faible avec d'autres systèmes de sécurité, de sorte qu'en utilisant des honeypots, il est difficile d'obtenir des informations détaillées sur les attaques et les attaquants, et donc de répondre efficacement et rapidement aux incidents de sécurité des informations. . De plus, les spécialistes de la sécurité de l’information reçoivent un grand nombre de fausses alertes de menaces.

  4. Dans certains cas, les pirates peuvent utiliser un pot de miel compromis comme point de départ pour poursuivre leur attaque sur le réseau d'une organisation.

  5. Des problèmes surviennent souvent avec l'évolutivité des pots de miel, la charge opérationnelle élevée et la configuration de tels systèmes (ils nécessitent des spécialistes hautement qualifiés, ne disposent pas d'une interface de gestion pratique, etc.). Il existe de grandes difficultés lors du déploiement de pots de miel dans des environnements spécialisés tels que l'IoT, les points de vente, les systèmes cloud, etc.

2. Technologie de tromperie : avantages et principes de fonctionnement de base

Après avoir étudié tous les avantages et inconvénients des pots de miel, nous arrivons à la conclusion qu'une toute nouvelle approche de réponse aux incidents de sécurité de l'information est nécessaire afin de développer une réponse rapide et adéquate aux actions des attaquants. Et une telle solution est la technologie Cyber ​​​​tromperie (tromperie de sécurité).

La terminologie « Cyber ​​​​​​tromperie », « Tromperie de sécurité », « Technologie de tromperie », « Plateforme de tromperie distribuée » (DDP) est relativement nouvelle et est apparue il n'y a pas si longtemps. En fait, tous ces termes désignent l’utilisation de « technologies de tromperie » ou de « techniques de simulation d’infrastructure informatique et de désinformation des attaquants ». Les solutions de tromperie les plus simples sont un développement des idées des pots de miel, mais à un niveau technologiquement plus avancé, ce qui implique une plus grande automatisation de la détection des menaces et de la réponse à celles-ci. Cependant, il existe déjà sur le marché des solutions sérieuses de classe DDP, faciles à déployer et à mettre à l'échelle, et disposant également d'un arsenal sérieux de « pièges » et d'« appâts » pour les attaquants. Par exemple, Deception vous permet d'émuler des objets d'infrastructure informatique tels que des bases de données, des postes de travail, des routeurs, des commutateurs, des guichets automatiques, des serveurs et SCADA, des équipements médicaux et de l'IoT.

Comment fonctionne la plateforme de tromperie distribuée ? Une fois DDP déployé, l'infrastructure informatique de l'organisation sera construite comme à partir de deux couches : la première couche est l'infrastructure réelle de l'entreprise, et la seconde est un environnement « émulé » composé de leurres et d'appâts). sur de vrais périphériques réseau physiques (voir Fig. 4).

Honeypot vs Deception en utilisant Xello comme exemple

Par exemple, un attaquant peut découvrir de fausses bases de données contenant des « documents confidentiels », de fausses informations d'identification d'utilisateurs prétendument « privilégiés » : autant de leurres qui peuvent intéresser les contrevenants, détournant ainsi leur attention des véritables actifs informationnels de l'entreprise (voir Figure 5).

Honeypot vs Deception en utilisant Xello comme exemple

DDP est un nouveau produit sur le marché des produits de sécurité de l'information ; ces solutions n'ont que quelques années et jusqu'à présent, seul le secteur des entreprises peut se les permettre. Mais les petites et moyennes entreprises pourront bientôt également profiter de Deception en louant du DDP auprès de prestataires spécialisés « en tant que service ». Cette option est encore plus pratique car vous n’avez pas besoin de votre propre personnel hautement qualifié.

Les principaux avantages de la technologie Deception sont présentés ci-dessous :

  • Authenticité (authenticité). La technologie de tromperie est capable de reproduire un environnement informatique totalement authentique d'une entreprise, émulant qualitativement les systèmes d'exploitation, l'IoT, les points de vente, les systèmes spécialisés (médicaux, industriels, etc.), les services, les applications, les informations d'identification, etc. Les leurres sont soigneusement mélangés à l’environnement de travail et un attaquant ne pourra pas les identifier comme des pots de miel.

  • Mise en œuvre. Les DDP utilisent l'apprentissage automatique (ML) dans leur travail. Avec l'aide du ML, la simplicité, la flexibilité des paramètres et l'efficacité de la mise en œuvre de Deception sont assurées. Les « pièges » et les « leurres » sont mis à jour très rapidement, attirant un attaquant dans la « fausse » infrastructure informatique de l'entreprise, et entre-temps, des systèmes d'analyse avancés basés sur l'intelligence artificielle peuvent détecter les actions actives des pirates informatiques et les empêcher (par exemple, un tentative d'accès à des comptes frauduleux basés sur Active Directory).

  • Facilité d'utilisation. Les plates-formes de tromperie distribuées modernes sont faciles à entretenir et à gérer. Ils sont généralement gérés via une console locale ou cloud, avec des capacités d'intégration avec le SOC (Security Operations Center) de l'entreprise via API et avec de nombreux contrôles de sécurité existants. La maintenance et l'exploitation de DDP ne nécessitent pas les services d'experts en sécurité de l'information hautement qualifiés.

  • Évolutivité. La tromperie de sécurité peut être déployée dans des environnements physiques, virtuels et cloud. Les DDP fonctionnent également avec succès avec des environnements spécialisés tels que IoT, ICS, POS, SWIFT, etc. Les plateformes Advanced Deception peuvent projeter des « technologies de tromperie » dans des bureaux distants et des environnements isolés, sans qu’il soit nécessaire de déployer une plateforme complète supplémentaire.

  • Interaction. À l’aide de leurres puissants et attrayants basés sur de vrais systèmes d’exploitation et intelligemment placés au sein d’une véritable infrastructure informatique, la plateforme Deception collecte des informations détaillées sur l’attaquant. DDP garantit ensuite que les alertes de menace sont transmises, que des rapports sont générés et que les incidents de sécurité des informations reçoivent automatiquement une réponse.

  • Point de départ de l'attaque. Dans la tromperie moderne, les pièges et les appâts sont placés à portée du réseau plutôt qu'à l'extérieur (comme c'est le cas avec les pots de miel). Ce modèle de déploiement leurre empêche un attaquant de les utiliser comme levier pour attaquer la véritable infrastructure informatique de l'entreprise. Les solutions plus avancées de la classe Deception ont des capacités de routage du trafic, vous pouvez donc diriger tout le trafic des attaquants via une connexion spécialement dédiée. Cela vous permettra d'analyser l'activité des attaquants sans risquer les précieux actifs de l'entreprise.

  • Le pouvoir de persuasion des « technologies de tromperie ». Au stade initial de l'attaque, les attaquants collectent et analysent des données sur l'infrastructure informatique, puis les utilisent pour se déplacer horizontalement à travers le réseau de l'entreprise. Avec l'aide des « technologies de tromperie », l'attaquant tombera définitivement dans des « pièges » qui l'éloigneront des actifs réels de l'organisation. DDP analysera les chemins potentiels pour accéder aux informations d'identification sur un réseau d'entreprise et fournira à l'attaquant des « cibles leurres » au lieu de véritables informations d'identification. Ces capacités manquaient cruellement aux technologies des pots de miel. (Voir Figure 6).

Honeypot vs Deception en utilisant Xello comme exemple

Tromperie VS Honeypot

Et enfin, nous arrivons au moment le plus intéressant de notre recherche. Nous essaierons de mettre en évidence les principales différences entre les technologies Deception et Honeypot. Malgré quelques similitudes, ces deux technologies restent très différentes, de l'idée fondamentale à l'efficacité opérationnelle.

  1. Différentes idées de base. Comme nous l’avons écrit ci-dessus, les pots de miel sont installés comme des « leurres » autour des actifs précieux de l’entreprise (en dehors du réseau de l’entreprise), essayant ainsi de distraire les attaquants. La technologie Honeypot repose sur une compréhension de l'infrastructure d'une organisation, mais les honeypots peuvent devenir un point de départ pour lancer une attaque sur le réseau d'une entreprise. La technologie de tromperie est développée en tenant compte du point de vue de l'attaquant et vous permet d'identifier une attaque à un stade précoce. Ainsi, les spécialistes de la sécurité de l'information acquièrent un avantage significatif sur les attaquants et gagnent du temps.

  2. "Attraction" contre "Confusion". Lors de l'utilisation de pots de miel, le succès dépend de la nécessité d'attirer l'attention des attaquants et de les motiver davantage à se déplacer vers la cible dans le pot de miel. Cela signifie que l'attaquant doit encore atteindre le pot de miel avant que vous puissiez l'arrêter. Ainsi, la présence d'attaquants sur le réseau peut durer plusieurs mois, voire plus, ce qui entraînera des fuites et des dommages de données. Les DDP imitent qualitativement la véritable infrastructure informatique d'une entreprise ; le but de leur mise en œuvre n'est pas seulement d'attirer l'attention d'un attaquant, mais de le confondre afin qu'il perde du temps et des ressources, mais n'accède pas aux actifs réels de l'entreprise. entreprise.

  3. « évolutivité limitée » VS « évolutivité automatique ». Comme indiqué précédemment, les pots de miel et les filets de miel ont des problèmes de mise à l'échelle. C'est difficile et coûteux, et afin d'augmenter le nombre de pots de miel dans un système d'entreprise, vous devrez ajouter de nouveaux ordinateurs, systèmes d'exploitation, acheter des licences et allouer des adresses IP. De plus, il est également nécessaire de disposer de personnel qualifié pour gérer de tels systèmes. Les plateformes de déception se déploient automatiquement à mesure que votre infrastructure évolue, sans frais généraux importants.

  4. « Un grand nombre de faux positifs » VS « aucun faux positif ». L'essence du problème est que même un simple utilisateur peut rencontrer un pot de miel, donc « l'inconvénient » de cette technologie est un grand nombre de faux positifs, qui détournent l'attention des spécialistes de la sécurité de l'information de leur travail. Les « appâts » et les « pièges » du DDP sont soigneusement cachés à l'utilisateur moyen et sont conçus uniquement pour un attaquant, de sorte que chaque signal provenant d'un tel système est une notification d'une menace réelle et non un faux positif.

Conclusion

À notre avis, la technologie Deception constitue une énorme amélioration par rapport à l’ancienne technologie Honeypots. Essentiellement, DDP est devenu une plateforme de sécurité complète, facile à déployer et à gérer.

Les plates-formes modernes de cette classe jouent un rôle important dans la détection précise et la réponse efficace aux menaces réseau, et leur intégration avec d'autres composants de la pile de sécurité augmente le niveau d'automatisation et augmente l'efficience et l'efficacité de la réponse aux incidents. Les plates-formes de tromperie sont basées sur l'authenticité, l'évolutivité, la facilité de gestion et l'intégration avec d'autres systèmes. Tout cela donne un avantage significatif dans la rapidité de réponse aux incidents de sécurité de l'information.

En outre, sur la base des observations des pentesters des entreprises dans lesquelles la plateforme Xello Deception a été implémentée ou testée, nous pouvons tirer des conclusions selon lesquelles même les pentesters expérimentés ne peuvent souvent pas reconnaître l'appât du réseau d'entreprise et échouent lorsqu'ils tombent dans les pièges tendus. Ce fait confirme une fois de plus l'efficacité de Deception et les grandes perspectives qui s'ouvrent à cette technologie dans le futur.

Tests de produits

Si vous êtes intéressé par la plateforme Deception, alors nous sommes prêts effectuer des tests conjoints.

Restez à l'affût des mises à jour sur nos chaînes (TelegramFacebookVKBlog de la solution TS)!

Source: habr.com

Ajouter un commentaire