Honeypot vs Deception ag baint úsáide as Xello mar shampla

Tá roinnt alt cheana féin ar Habré faoi theicneolaíochtaí Pota Meala agus Meabhlaireachta (1 alt, 2 alt). Mar sin féin, táimid fós ag tabhairt aghaidh ar easpa tuisceana ar an difríocht idir na haicmí seo de threalamh cosanta. Chun seo, ár gcomhghleacaithe ó Dia duit Deception (an chéad fhorbróir Rúiseach Ardán mheabhlaireacht) cinneadh cur síos mion a dhéanamh ar na difríochtaí, na buntáistí agus na gnéithe ailtireachta a bhaineann leis na réitigh seo.

Déanaimis amach cad iad na “potaí meala” agus na “meallta”:

Bhí “Teicneolaíochtaí Meabhlaireachta” le feiceáil ar mhargadh na gcóras slándála faisnéise le déanaí. Mar sin féin, measann roinnt saineolaithe go fóill nach bhfuil sa mheabhlaireacht Slándála ach potaí meala níos forbartha.

San Airteagal seo déanfaimid iarracht aird a tharraingt ar na cosúlachtaí agus na difríochtaí bunúsacha idir an dá réiteach seo. Sa chéad chuid, labhairfimid faoi phota meala, conas a d'fhorbair an teicneolaíocht seo agus cad iad na buntáistí agus na míbhuntáistí a bhaineann leis. Agus sa dara cuid, beimid ag díriú go mion ar na prionsabail a bhaineann le feidhmiú ardán chun bonneagar dáilte decoys a chruthú (Béarla, Ardán Meabhlaireachta Dáilte - DDP).

Is é an bunphrionsabal is bun le potaí meala ná gaistí a chruthú do hackers. Forbraíodh na chéad réitigh mheabhlaireachta ar an bprionsabal céanna. Ach tá DDPanna nua-aimseartha i bhfad níos fearr ná potaí meala, ó thaobh feidhmiúlacht agus éifeachtacht araon. Áirítear ar na hardáin mheabhlaireachta: maoláin, gaistí, lures, feidhmchláir, sonraí, bunachair shonraí, Eolaire Gníomhach. Is féidir le DDPanna nua-aimseartha cumais chumhachtacha a sholáthar chun bagairtí a bhrath, anailís ar ionsaithe agus uathoibriú freagartha.

Mar sin, is teicníocht í an mheabhlaireacht chun bonneagar TF an ghnóthais agus hackers míthreoracha a insamhlú. Mar thoradh air sin, is féidir le hardáin den sórt sin stop a chur le hionsaithe sula ndéantar damáiste suntasach do shócmhainní na cuideachta. Ar ndóigh, níl feidhmiúlacht chomh leathan agus leibhéal uathoibrithe den sórt sin ag potaí meala, agus mar sin éilíonn a n-úsáid níos mó cáilíochtaí ó fhostaithe na ranna slándála faisnéise.

1. Potaí Meala, Míleanna Meala agus Bosca Gainimh: cad iad agus conas a úsáidtear iad

Baineadh úsáid as an téarma "potaí meala" den chéad uair i 1989 i leabhar Clifford Stoll "The Cuckoo's Egg", a chuireann síos ar na himeachtaí a bhain le hacadóir a rianú ag Saotharlann Náisiúnta Lawrence Berkeley (SAM). Chuir Lance Spitzner, speisialtóir slándála faisnéise ag Sun Microsystems, an smaoineamh seo i bhfeidhm i 1999, a bhunaigh tionscadal taighde Honeynet Project. Bhí na chéad photaí meala an-dian ar acmhainní, deacair iad a bhunú agus a chothabháil.

Breathnaímis ar a bhfuil ann honeypots и mealacáin. Is óstach aonair iad Honeypots a bhfuil sé mar aidhm acu ionsaitheoirí a mhealladh chun dul isteach i líonra cuideachta agus iarracht a dhéanamh sonraí luachmhara a ghoid, chomh maith le limistéar clúdaigh an líonra a leathnú. Is freastalaí speisialta é Honeypot (a aistrítear go litriúil mar “bairille meala”) le sraith seirbhísí agus prótacail líonra éagsúla, mar HTTP, FTP, etc. (féach Fíor. 1).

Má chomhcheanglaíonn tú roinnt honeypots isteach sa líonra, ansin gheobhaidh muid córas níos éifeachtaí meala, atá ina aithris ar líonra corparáideach cuideachta (freastalaí gréasáin, freastalaí comhaid, agus comhpháirteanna líonra eile). Ligeann an réiteach seo duit straitéis na n-ionsaitheoirí a thuiscint agus iad a chur amú. Feidhmíonn honeynet tipiciúil, mar riail, i gcomhthreo leis an ngréasán oibre agus tá sé neamhspleách go hiomlán air. Is féidir “líonra” den sórt sin a fhoilsiú ar an Idirlíon trí chainéal ar leith, is féidir raon ar leith de sheoltaí IP a leithdháileadh dó freisin (féach Fíor 2).

Is é an pointe a bhaineann le húsáid honeynet ná a thaispeáint don hacker go bhfuil sé i gceist go ndeachaigh sé isteach i líonra corparáideach na heagraíochta; go deimhin, tá an t-ionsaitheoir i “timpeallacht iargúlta” agus faoi dhlúth-mhaoirseacht speisialtóirí slándála faisnéise (féach Fíor 3).

Ní mór dúinn freisin uirlis den sórt sin a lua mar “bosca gainimh"(Béarla, bosca gainimh), a ligeann d’ionsaitheoirí malware a shuiteáil agus a rith i dtimpeallacht iargúlta inar féidir le TF monatóireacht a dhéanamh ar a gcuid gníomhaíochtaí chun rioscaí féideartha a shainaithint agus chun frithbhearta cuí a ghlacadh. Faoi láthair, is gnách go gcuirtear bosca gainimh i bhfeidhm ar mheaisíní fíorúla tiomnaithe ar óstach fíorúil. Ba chóir a thabhairt faoi deara, áfach, nach léiríonn dornálaíochta gainimh ach cé chomh contúirteach agus a n-iompraíonn cláir mhailíseach, agus cabhraíonn honeynet le speisialtóir anailís a dhéanamh ar iompar “imreoirí contúirteacha”.

Is é an buntáiste soiléir a bhaineann le honeynets ná go gcuireann siad ionsaitheoirí amú, ag cur amú a gcuid fuinnimh, acmhainní agus ama. Mar thoradh air sin, in ionad spriocanna fíor, ionsaí siad cinn bhréagacha agus is féidir stop a ionsaí ar an líonra gan rud ar bith a bhaint amach. Is minice a úsáidtear teicneolaíochtaí honeynets i ngníomhaireachtaí rialtais agus i gcorparáidí móra, eagraíochtaí airgeadais, ós rud é gurb iad seo na struchtúir atá ina spriocanna le haghaidh cibearionsaithe móra. Mar sin féin, tá uirlisí éifeachtacha ag teastáil ó ghnólachtaí beaga agus meánmhéide (SMBanna) freisin chun teagmhais slándála faisnéise a chosc, ach níl honeynets san earnáil SMB chomh héasca le húsáid mar gheall ar an easpa pearsanra cáilithe le haghaidh obair chasta den sórt sin.

Teorainneacha Potaí Meala agus Réitigh Honeynets

Cén fáth nach potaí meala agus meala na réitigh is fearr chun ionsaithe a chomhrac sa lá atá inniu ann? Ba cheart a thabhairt faoi deara go bhfuil ionsaithe ag éirí níos mórscála, níos casta go teicniúil agus go bhfuil siad in ann damáiste tromchúiseach a dhéanamh do bhonneagar TF eagraíochta, agus go bhfuil leibhéal iomlán difriúil bainte amach ag an gcibearchoireacht agus gurb ionann é agus scáthstruchtúir ghnó an-eagraithe a bhfuil na hacmhainní riachtanacha ar fad acu. Ní mór an “fachtóir daonna” (earráidí i socruithe bogearraí agus crua-earraí, gníomhartha cos istigh, etc.) a chur leis seo, agus mar sin ní leor úsáid a bhaint as teicneolaíocht amháin chun ionsaithe a chosc faoi láthair.

Anseo thíos déanaimid liosta de na príomhtheorainneacha agus na míbhuntáistí a bhaineann le potaí meala (honeynets):

1. Forbraíodh potaí meala ar dtús chun bagairtí atá lasmuigh den líonra corparáideach a aithint, atá beartaithe in áit anailís a dhéanamh ar iompar ionsaitheoirí agus nach bhfuil deartha chun freagairt go tapa ar bhagairtí.

2. Ionsaithe, mar riail, tar éis foghlaim cheana féin a aithint córais aithrise agus a sheachaint honeypots.

3. Tá leibhéal idirghníomhaíochta agus idirghníomhaíochta an-íseal ag Honeynets (honeypots) le córais slándála eile, agus mar thoradh air sin, trí úsáid a bhaint as potaí meala, tá sé deacair faisnéis mhionsonraithe a fháil faoi ionsaithe agus ionsaitheoirí, agus dá bhrí sin freagairt go héifeachtach agus go tapa ar theagmhais slándála faisnéise. . Ina theannta sin, faigheann speisialtóirí slándála faisnéise líon mór foláirimh bhagairtí bréagacha.

4. I gcásanna áirithe, féadfaidh hackers pota meala comhréiteach a úsáid mar phointe tosaigh chun leanúint dá n-ionsaí ar líonra eagraíochta.

5. Is minic a thagann fadhbanna chun cinn maidir le hinscálaitheacht photaí meala, ualach oibriúcháin ard agus cumraíocht na gcóras sin (tá speisialtóirí ardcháilithe ag teastáil uathu, níl comhéadan bainistíochta áisiúil acu, etc.). Tá deacrachtaí móra ann maidir le potaí meala a imscaradh i dtimpeallachtaí speisialaithe mar IoT, POS, córais scamall, etc.

2. Teicneolaíocht mheabhlaireachta: buntáistí agus bunphrionsabail oibriúcháin

Tar éis dúinn staidéar a dhéanamh ar na buntáistí agus na míbhuntáistí a bhaineann le potaí meala, tháinig muid ar an tátal go bhfuil gá le cur chuige iomlán nua maidir le freagairt ar theagmhais slándála faisnéise chun freagairt thapa agus leordhóthanach a fhorbairt ar ghníomhartha ionsaitheoirí. Agus is teicneolaíocht é réiteach den sórt sin An chibearmheabhlaireacht (Security deception).

Tá an téarmaíocht “Cibear mheabhlaireacht”, “meabhlaireacht slándála”, “Teicneolaíocht mheabhlaireachta”, “Ardán Meabhlaireachta Dáilte” (DDP) sách nua agus ní raibh an chuma air chomh fada ó shin. Go deimhin, ciallaíonn na téarmaí seo go léir úsáid a bhaint as “teicneolaíochtaí meabhlaireachta” nó “teicnící chun bonneagar TF a insamhladh agus dí-eolas a thabhairt d’ionsaitheoirí.” Is iad na réitigh mheabhlaireachta is simplí ná forbairt ar smaointe na bpótaí meala, ach amháin ag leibhéal níos forbartha ó thaobh na teicneolaíochta de, lena mbaineann uathoibriú níos fearr ar bhrath bagairtí agus ar fhreagairt dóibh. Mar sin féin, tá réitigh thromchúiseacha d’aicme DDP ar an margadh cheana féin atá éasca le himscaradh agus le scála, agus a bhfuil Arsenal tromchúiseach “gaistí” agus “baoití” acu d’ionsaitheoirí. Mar shampla, ligeann Meabhlaireacht duit rudaí bonneagair TF a aithris ar nós bunachair shonraí, stáisiúin oibre, ródairí, lasca, UMBanna, freastalaithe agus SCADA, trealamh leighis agus IoT.

Conas a oibríonn an tArdán Meabhlaireachta Dáilte? Tar éis DDP a imscaradh, tógfar bonneagar TF na heagraíochta amhail is dá mba ó dhá shraith: is é an chéad chiseal fíor-bhonneagar na cuideachta, agus is timpeallacht “aithrise” é an dara sraith ina bhfuil maoláin agus baoiteanna, lures), atá suite. ar fheistí líonra fisiceacha fíor (féach Fíor 4).

Mar shampla, is féidir le hionsaitheoir bunachair shonraí bhréagacha a aimsiú le “doiciméid faoi rún”, dintiúir bhréige “úsáideoirí faoi phribhléid” a deirtear - is maisiúcháin iad seo go léir a d’fhéadfadh suim a bheith ag sáraitheoirí, rud a atreoraíonn a n-aird ó fhíorshócmhainní faisnéise na cuideachta (féach Fíor 5).

Is táirge nua é DDP ar mhargadh táirgí slándála faisnéise; níl na réitigh seo ach cúpla bliain d’aois agus go dtí seo níl ach an earnáil chorparáideach in ann iad a íoc. Ach ní fada go mbeidh gnólachtaí beaga agus meánmhéide in ann leas a bhaint as Meabhlaireacht trí DDP a fháil ar cíos ó sholáthraithe speisialaithe “mar sheirbhís.” Tá an rogha seo níos áisiúla fós, ós rud é nach gá do phearsanra ardcháilithe féin.

Taispeántar thíos príomhbhuntáistí na teicneolaíochta Meabhlaireachta:

• barántúlacht (barántúlacht). Tá teicneolaíocht mheabhlaireachta in ann timpeallacht TF iomlán de chuid cuideachta a atáirgeadh, ag aithris go cáilíochtúil ar chórais oibriúcháin, IoT, POS, córais speisialaithe (leighis, tionscail, etc.), seirbhísí, iarratais, dintiúir, etc. Déantar decoys a mheascadh go cúramach leis an timpeallacht oibre, agus ní bheidh ionsaitheoir in ann iad a aithint mar photaí meala.

• Cur i bhFeidhm. Úsáideann PFSanna meaisínfhoghlaim (ML) ina gcuid oibre. Le cabhair ó ML, áirithítear simplíocht, solúbthacht i suímh agus éifeachtúlacht chur i bhfeidhm an mheabhlaireachta. Déantar “gaistí” agus “decoys” a nuashonrú go han-tapa, rud a mheallann ionsaitheoir isteach i mbonneagar TF “bréagach” na cuideachta, agus idir an dá linn, is féidir le hardchórais anailíse atá bunaithe ar hintleachta saorga gníomhartha gníomhacha hackers a bhrath agus iad a chosc (mar shampla, iarracht a dhéanamh rochtain a fháil ar chuntais chalaoiseacha atá bunaithe ar an Eolaire Gníomhach).

• Éasca le hoibriú. Is furasta Ardáin Mhealladh Dáilte Nua-Aimseartha a chothabháil agus a bhainistiú. De ghnáth déantar iad a bhainistiú trí chonsól áitiúil nó scamall, le cumais chomhtháthaithe leis an SOC corparáideach (Ionad Oibríochtaí Slándála) trí API agus le go leor rialuithe slándála atá ann cheana féin. Ní theastaíonn seirbhísí ó shaineolaithe ardcháilithe slándála faisnéise chun an DDP a chothabháil agus a oibriú.

• Scalability. Is féidir dallamullóg slándála a imscaradh i dtimpeallachtaí fisiceacha, fíorúil agus scamall. Oibríonn DDPanna go rathúil freisin le timpeallachtaí speisialaithe mar IoT, ICS, POS, SWIFT, etc. Féadfaidh ardáin mheabhlaireachta “teicneolaíochtaí meabhlaireachta” a theilgean isteach in oifigí iargúlta agus i dtimpeallachtaí iargúlta, gan gá le himscaradh iomlán breise ardáin.

• Idirghníomhaíocht. Ag baint úsáide as decoys chumhachtach agus tarraingteach atá bunaithe ar chórais oibriúcháin fíor agus cleverly suite i measc bonneagar TF fíor, bailíonn an ardán Meabhlaireacht faisnéis fhairsing faoin ionsaitheoir. Cinntíonn DDP ansin go dtarchuirtear foláirimh bhagairt, go ngintear tuairiscí, agus go bhfreagraítear go huathoibríoch d’eachtraí slándála faisnéise.

• Pointe tosaigh ionsaí. Sa mheabhlaireacht nua-aimseartha, cuirtear gaistí agus baits laistigh de raon an ghréasáin, seachas lasmuigh de (mar atá amhlaidh le potaí meala). Cuireann an tsamhail imscaradh decoy seo cosc ​​ar ionsaitheoir iad a úsáid mar phointe giarála chun fíor-bhonneagar TF na cuideachta a ionsaí. Tá cumais ródaithe tráchta ag réitigh níos forbartha den rang Meabhlaireachta, ionas gur féidir leat gach trácht ionsaitheora a threorú trí nasc atá tiomnaithe go speisialta. Tabharfaidh sé seo deis duit anailís a dhéanamh ar ghníomhaíocht ionsaitheoirí gan sócmhainní luachmhara na cuideachta a chur i mbaol.

• An áititheacht a bhaineann le “teicneolaíochtaí meabhlaireachta”. Ag céim tosaigh an ionsaí, bailíonn agus anailísíonn ionsaitheoirí sonraí faoin mbonneagar TF, ansin é a úsáid chun bogadh go cothrománach tríd an líonra corparáideach. Le cabhair ó “theicneolaíochtaí meabhlaireachta”, is cinnte go dtitfidh an t-ionsaitheoir isteach i “gaistí” a thabharfaidh uaidh fíorshócmhainní na heagraíochta. Déanfaidh DDP anailís ar na bealaí a d’fhéadfadh a bheith ann chun rochtain a fháil ar dhintiúir ar líonra corparáideach agus soláthróidh sé “spriocanna maolaithe” don ionsaitheoir seachas fíordhintiúir. Bhí na cumais seo in easnamh go mór i dteicneolaíochtaí pota meala. (Féach Fíor 6).

Meabhlaireacht vs Pota Meala

Agus ar deireadh, tagann muid go dtí an nóiméad is suimiúla dár dtaighde. Déanfaimid iarracht aird a tharraingt ar na príomhdhifríochtaí idir teicneolaíochtaí Meabhlaireachta agus Honeypot. In ainneoin roinnt cosúlachtaí, tá an dá theicneolaíocht seo fós an-difriúil, ón smaoineamh bunúsach go dtí an éifeachtúlacht oibriúcháin.

1. Smaointe bunúsacha éagsúla. Mar a scríobhamar thuas, suiteáltar potaí meala mar “mhaológa” timpeall ar shócmhainní luachmhara cuideachta (lasmuigh den líonra corparáideach), agus mar sin déantar iarracht aird a tharraingt ar ionsaitheoirí. Tá teicneolaíocht Pota Meala bunaithe ar thuiscint ar bhonneagar eagraíochta, ach féadann potaí meala a bheith mar phointe tosaigh chun ionsaí ar líonra cuideachta a sheoladh. Forbraítear teicneolaíocht mheabhlaireachta ag cur dearcadh an ionsaitheora san áireamh agus ligeann sé duit ionsaí a aithint go luath, dá bhrí sin, faigheann speisialtóirí slándála faisnéise buntáiste suntasach ar ionsaitheoirí agus faigheann siad am.

2. "Attraction" vs "Mearbhall". Nuair a bhíonn potaí meala á n-úsáid, braitheann rath ar aird na n-ionsaitheoirí a mhealladh agus iad a spreagadh tuilleadh chun bogadh go dtí an sprioc sa phota meala. Ciallaíonn sé seo go gcaithfidh an t-ionsaitheoir an pota meala a bhaint amach fós sula bhféadfaidh tú stop a chur leis. Mar sin, is féidir le láithreacht ionsaitheoirí ar an líonra maireachtáil ar feadh roinnt míonna nó níos mó, agus beidh sceitheadh ​​agus damáiste sonraí mar thoradh air seo. Déanann DDPs aithris cháilíochtúil ar fhíor-bhonneagar TF cuideachta; ní hamháin aird an ionsaitheora a tharraingt ar chuspóir a gcur chun feidhme, ach é a chur amú ionas go gcaitheann sé am agus acmhainní, ach nach bhfaigheann sé rochtain ar fhíorshócmhainní an chomhlachta. cuideachta.

3. “Inscálaitheacht theoranta” vs “Inscálaitheacht uathoibríoch”. Mar a luadh níos luaithe, tá saincheisteanna scálaithe ag potaí meala agus meala. Tá sé seo deacair agus costasach, agus chun líon na bpótaí meala a mhéadú i gcóras corparáideach, beidh ort ríomhairí nua, OS, ceadúnais a cheannach, agus IP a leithdháileadh. Ina theannta sin, is gá freisin pearsanra cáilithe a bheith ann chun córais den sórt sin a bhainistiú. Imscaradh ardáin mheabhlaireachta go huathoibríoch mar do scálaí bonneagair, gan forchostas suntasach.

4. “Líon mór dearfacha bréagacha” vs “gan aon rud dearfach bréagach”. Is é bunbhrí na faidhbe gur féidir le húsáideoir simplí teacht ar phota meala fiú, agus mar sin is é an “íosbhuntáiste” a bhaineann leis an teicneolaíocht seo ná líon mór dearfacha bréagacha, rud a tharraingíonn speisialtóirí slándála faisnéise óna gcuid oibre. Tá “baits” agus “gaistí” sa DDP i bhfolach go cúramach ón ngnáthúsáideoir agus deartha le haghaidh ionsaitheoir amháin iad, mar sin is fógra fíorbhagairt é gach comhartha ó chóras den sórt sin agus ní deimhneach bréagach.

Conclúid

Is é ár dtuairim gur feabhas mór é an teicneolaíocht Meabhlaireachta thar an teicneolaíocht Honeypots níos sine. Go bunúsach, is ardán slándála cuimsitheach é DDP atá éasca le himscaradh agus le bainistiú.

Tá ról tábhachtach ag ardáin nua-aimseartha den aicme seo maidir le bagairtí líonra a bhrath go cruinn agus go héifeachtach, agus méadaíonn a gcomhtháthú le comhpháirteanna eile den chruach slándála an leibhéal uathoibrithe, méadaítear éifeachtúlacht agus éifeachtacht freagartha teagmhais. Tá ardáin mheabhlaireachta bunaithe ar bharántúlacht, inscálaitheacht, éascaíocht bainistíochta agus comhtháthú le córais eile. Tugann sé seo go léir buntáiste suntasach maidir le luas freagartha ar theagmhais slándála faisnéise.

Chomh maith leis sin, bunaithe ar bhreathnuithe ar chinntí cuideachtaí inar cuireadh an t-ardán Xello Deception i bhfeidhm nó ina ndearnadh píolótach orthu, is féidir linn teacht ar chonclúidí nach féidir le fiú pentesters a bhfuil taithí acu an bhaoite sa líonra corparáideach a aithint agus go dteipeann orthu nuair a thiteann siad le haghaidh na gaistí socraithe. Deimhníonn an fhíric seo arís éifeachtacht an mheabhlaireachta agus na hionchais iontacha a bheidh ann don teicneolaíocht seo sa todhchaí.

Tástáil táirge

Má tá suim agat san ardán Meabhlaireachta, ansin táimid réidh tástáil chomhpháirteach a dhéanamh.

Lean ár gcainéal le haghaidh nuashonruithe (Telegram, Facebook, VK, Blag Réiteach TS)!

Foinse: will.com