ProHoster > Blog > Administración > Honeypot vs Deception usando Xello como exemplo

Honeypot vs Deception usando Xello como exemplo

Honeypot vs Deception usando Xello como exemplo

Xa hai varios artigos sobre Habré sobre tecnoloxías Honeypot e Deception (1 artigo, 2 artigo). Non obstante, aínda estamos ante unha falta de comprensión da diferenza entre estas clases de equipos de protección. Para iso, os nosos compañeiros de Ola Engano (primeiro desenvolvedor ruso Plataforma Decepción) decidiu describir con detalle as diferenzas, vantaxes e características arquitectónicas destas solucións.

Imos descubrir cales son os "honeypots" e os "enganos":

As "tecnoloxías de engano" apareceron no mercado dos sistemas de seguridade da información hai relativamente pouco tempo. Non obstante, algúns expertos aínda consideran que o engano de seguridade son só honeypots máis avanzados.

Neste artigo trataremos de destacar tanto as semellanzas como as diferenzas fundamentais entre estas dúas solucións. Na primeira parte, falaremos de honeypot, como se desenvolveu esta tecnoloxía e cales son as súas vantaxes e inconvenientes. E na segunda parte, deterémonos en detalle nos principios de funcionamento das plataformas para a creación dunha infraestrutura distribuída de señuelos (inglés, Distributed Deception Platform - DDP).

O principio básico dos honeypots é crear trampas para hackers. As primeiras solucións de Engano desenvolvéronse co mesmo principio. Pero os DDP modernos son significativamente superiores aos honeypots, tanto en funcionalidade como en eficiencia. As plataformas de engano inclúen: señuelos, trampas, señuelos, aplicacións, datos, bases de datos, Active Directory. Os DDP modernos poden proporcionar capacidades poderosas para a detección de ameazas, análise de ataques e automatización de respostas.

Así, Deception é unha técnica para simular a infraestrutura de TI dunha empresa e enganar aos hackers. Como resultado, tales plataformas permiten deter os ataques antes de causar danos importantes aos activos da empresa. Honeypots, por suposto, non teñen unha funcionalidade tan ampla e un nivel de automatización tan grande, polo que o seu uso require máis cualificacións dos empregados dos departamentos de seguridade da información.

1. Honeypots, Honeynets e Sandboxing: que son e como se usan

O termo "honeypots" utilizouse por primeira vez en 1989 no libro de Clifford Stoll "The Cuckoo's Egg", que describe os acontecementos de rastrexar a un hacker no Laboratorio Nacional Lawrence Berkeley (EEUU). Esta idea foi posta en práctica en 1999 por Lance Spitzner, especialista en seguridade da información de Sun Microsystems, que fundou o proxecto de investigación Honeynet Project. Os primeiros botes de mel eran moi intensivos en recursos, difíciles de montar e manter.

Vexamos máis de cerca o que é honeypots и redes de mel. Os honeypots son hosts individuais cuxo propósito é atraer atacantes para que penetren na rede dunha empresa e intenten roubar datos valiosos, así como ampliar a área de cobertura da rede. Honeypot (traducido literalmente como "baril de mel") é un servidor especial cun conxunto de varios servizos e protocolos de rede, como HTTP, FTP, etc. (ver figura 1).

Honeypot vs Deception usando Xello como exemplo

Se combinas varios honeypots na rede, entón conseguiremos un sistema máis eficiente rede de mel, que é unha emulación da rede corporativa dunha empresa (servidor web, servidor de ficheiros e outros compoñentes da rede). Esta solución permítelle comprender a estratexia dos atacantes e enganolos. Unha rede de mel típica, por regra xeral, funciona en paralelo coa rede de traballo e é completamente independente dela. Tal "rede" pódese publicar en Internet a través dunha canle separada, e tamén se lle pode asignar un rango separado de enderezos IP (ver figura 2).

Honeypot vs Deception usando Xello como exemplo

O propósito de usar honeynet é mostrar ao hacker que supostamente penetrou na rede corporativa da organización, de feito, o atacante está nun "ambiente illado" e baixo a estreita supervisión de especialistas en seguridade da información (ver figura 3).

Honeypot vs Deception usando Xello como exemplo

Aquí tamén temos que mencionar unha ferramenta como "caixa de area"(inglés, sandbox), que permite aos atacantes instalar e executar programas maliciosos nun ambiente illado onde a TI pode supervisar as súas actividades para identificar os riscos potenciais e tomar as contramedidas adecuadas. Actualmente, o sandboxing adoita implementarse en máquinas virtuais dedicadas nun host virtual. Non obstante, hai que ter en conta que o sandboxing só mostra como se comportan os programas perigosos e maliciosos, mentres que honeynet axuda a un especialista a analizar o comportamento dos "xogadores perigosos".

O beneficio obvio dos honeynets é que enganan aos atacantes, desperdiciando a súa enerxía, recursos e tempo. Como resultado, en lugar de obxectivos reais, atacan aos falsos e poden deixar de atacar a rede sen conseguir nada. Na maioría das veces, as tecnoloxías honeynets úsanse en axencias gobernamentais e grandes corporacións, organizacións financeiras, xa que estas son as estruturas que resultan ser obxectivos de grandes ataques cibernéticos. Non obstante, as pequenas e medianas empresas (pemes) tamén precisan de ferramentas eficaces para previr incidentes de seguridade da información, pero as honeynets do sector das pemes non son tan fáciles de usar debido á falta de persoal cualificado para un traballo tan complexo.

Limitacións das solucións Honeypots e Honeynets

Por que os honeypots e honeynets non son as mellores solucións para contrarrestar os ataques hoxe en día? Cómpre sinalar que os ataques son cada vez máis a gran escala, tecnicamente complexos e capaces de causar graves danos á infraestrutura informática dunha organización, e a ciberdelincuencia alcanzou un nivel completamente diferente e representa estruturas comerciais na sombra altamente organizadas e equipadas con todos os recursos necesarios. A isto hai que engadir o “factor humano” (erros na configuración de software e hardware, accións de insiders, etc.), polo que usar só tecnoloxía para evitar ataques xa non é suficiente neste momento.

A continuación enumeramos as principais limitacións e inconvenientes dos honeypots (honeynets):

  1. Os honeypots foron desenvolvidos orixinalmente para identificar ameazas que están fóra da rede corporativa, están destinados máis ben a analizar o comportamento dos atacantes e non están deseñados para responder rapidamente ás ameazas.

  2. Os atacantes, por regra xeral, xa aprenderon a recoñecer sistemas emulados e evitar os honeypots.

  3. Honeynets (honeypots) teñen un nivel extremadamente baixo de interactividade e interacción con outros sistemas de seguridade, polo que, utilizando honeypots, é difícil obter información detallada sobre ataques e atacantes e, polo tanto, responder de forma eficaz e rápida aos incidentes de seguridade da información. . Ademais, os especialistas en seguridade da información reciben un gran número de alertas de ameazas falsas.

  4. Nalgúns casos, os hackers poden usar un honeypot comprometido como punto de partida para continuar o seu ataque á rede dunha organización.

  5. Moitas veces xorden problemas coa escalabilidade dos honeypots, a alta carga operativa e a configuración deste tipo de sistemas (requiren especialistas altamente cualificados, non teñen unha interface de xestión conveniente, etc.). Existen grandes dificultades para implantar honeypots en contornas especializadas como IoT, TPV, sistemas de nube, etc.

2. Tecnoloxía do engano: vantaxes e principios básicos de funcionamento

Despois de estudar todas as vantaxes e desvantaxes dos honeypots, chegamos á conclusión de que é necesario un enfoque completamente novo para responder aos incidentes de seguridade da información para desenvolver unha resposta rápida e adecuada ás accións dos atacantes. E tal solución é a tecnoloxía Engano cibernético (engano de seguridade).

A terminoloxía "Cyber ​​​​deception", "Engano de seguridade", "Tecnoloxía de engano", "Distributed Deception Platform" (DDP) é relativamente nova e apareceu non hai moito tempo. De feito, todos estes termos significan o uso de "tecnoloxías de engano" ou "técnicas para simular infraestruturas de TI e desinformación dos atacantes". As solucións máis sinxelas de Deception son un desenvolvemento das ideas dos honeypots, só a un nivel tecnoloxicamente máis avanzado, o que implica unha maior automatización da detección de ameazas e resposta a elas. Non obstante, xa hai solucións serias de clase DDP no mercado que son fáciles de implementar e escalar, e tamén teñen un serio arsenal de "trampas" e "cebos" para atacantes. Por exemplo, Deception permítelle emular obxectos de infraestrutura de TI como bases de datos, estacións de traballo, enrutadores, conmutadores, caixeiros automáticos, servidores e SCADA, equipos médicos e IoT.

Como funciona a Plataforma de Engano Distribuído? Despois da implantación de DDP, a infraestrutura de TI da organización construirase coma se fose a partir de dúas capas: a primeira é a infraestrutura real da empresa e a segunda é un ambiente "emulado" formado por señuelos e cebos), que se localizan. en dispositivos de rede física reais (ver Fig. 4).

Honeypot vs Deception usando Xello como exemplo

Por exemplo, un atacante pode descubrir bases de datos falsas con "documentos confidenciais", credenciais falsas de supostamente "usuarios privilexiados"; todos estes son señuelos que poden interesar aos infractores, desviando así a súa atención dos verdadeiros activos de información da empresa (ver Figura 5).

Honeypot vs Deception usando Xello como exemplo

DDP é un produto novo no mercado de produtos de seguridade da información; estas solucións teñen só uns anos de antigüidade e ata agora só o sector corporativo pode pagalas. Pero as pequenas e medianas empresas en breve tamén poderán aproveitar Deception alugando DDP a provedores especializados "como servizo". Esta opción é aínda máis conveniente, xa que non é necesario contar con persoal altamente cualificado.

As principais vantaxes da tecnoloxía Deception móstranse a continuación:

  • Autenticidade (autenticidade). A tecnoloxía do engano é capaz de reproducir un entorno informático completamente auténtico dunha empresa, emulando cualitativamente sistemas operativos, IoT, TPV, sistemas especializados (médicos, industriais, etc.), servizos, aplicacións, credenciais, etc. Os señuelos mestúranse coidadosamente co ambiente de traballo e un atacante non poderá identificalos como honeypots.

  • Implementación. Os DDP usan a aprendizaxe automática (ML) no seu traballo. Coa axuda de ML, garante a sinxeleza, a flexibilidade na configuración e a eficiencia da implementación de Deception. As "trampas" e os "honeypots" actualízanse moi rapidamente, atraendo a un atacante á "falsa" infraestrutura informática da empresa e, mentres tanto, os sistemas de análise avanzados baseados en intelixencia artificial poden detectar accións activas dos hackers e evitalas (por exemplo, un tentar acceder a contas fraudulentas baseadas en Active Directory).

  • Facilidade de funcionamento. As plataformas modernas de engano distribuído son fáciles de manter e xestionar. Normalmente xestionanse a través dunha consola local ou na nube, con capacidades de integración co SOC corporativo (Centro de Operacións de Seguridade) a través da API e con moitos controis de seguridade existentes. O mantemento e o funcionamento de DDP non requiren os servizos de expertos altamente cualificados en seguridade da información.

  • Escalabilidade. O engano de seguridade pódese implementar en ambientes físicos, virtuais e na nube. Os DDP tamén funcionan con éxito con entornos especializados como IoT, ICS, POS, SWIFT, etc. As plataformas Advanced Deception poden proxectar "tecnoloxías de engano" en oficinas remotas e ambientes illados, sen necesidade de implementar unha plataforma completa adicional.

  • Interacción. Usando señuelos poderosos e atractivos que están baseados en sistemas operativos reais e situados de forma intelixente entre infraestruturas de TI reais, a plataforma Deception recolle ampla información sobre o atacante. A continuación, DDP garante que se transmitan alertas de ameazas, que se xeren informes e que se responda automaticamente aos incidentes de seguridade da información.

  • Punto de inicio do ataque. No Engano moderno, as trampas e os cebos colócanse dentro do alcance da rede, en lugar de fóra dela (como é o caso dos honeypots). Este modelo de implantación de señuelos evita que un atacante os utilice como punto de alavancagem para atacar a infraestrutura de TI real da empresa. As solucións máis avanzadas da clase Deception teñen capacidades de enrutamento de tráfico, polo que pode dirixir todo o tráfico dos atacantes a través dunha conexión especialmente dedicada. Isto permitirache analizar a actividade dos atacantes sen arriscar os valiosos activos da empresa.

  • A persuasión das "tecnoloxías do engano". Na fase inicial do ataque, os atacantes recompilan e analizan datos sobre a infraestrutura de TI e despois utilízanos para moverse horizontalmente pola rede corporativa. Coa axuda de "tecnoloxías de engano", o atacante definitivamente caerá en "trampas" que o afastarán dos activos reais da organización. DDP analizará os posibles camiños para acceder ás credenciais nunha rede corporativa e proporcionará ao atacante "obxectivos de señuelo" en lugar de credenciais reais. Estas capacidades faltaban moito nas tecnoloxías honeypot. (Ver figura 6).

Honeypot vs Deception usando Xello como exemplo

Engano VS Honeypot

E por último, chegamos ao momento máis interesante da nosa investigación. Tentaremos destacar as principais diferenzas entre as tecnoloxías Deception e Honeypot. Malia algunhas semellanzas, estas dúas tecnoloxías seguen sendo moi diferentes, desde a idea fundamental ata a eficiencia operativa.

  1. Diferentes ideas básicas. Como escribimos anteriormente, os honeypots instálanse como "señuelos" arredor dos valiosos activos da empresa (fóra da rede corporativa), intentando así distraer aos atacantes. A tecnoloxía Honeypot baséase na comprensión da infraestrutura dunha organización, pero os honeypots poden converterse nun punto de partida para lanzar un ataque á rede dunha empresa. A tecnoloxía de engano desenvólvese tendo en conta o punto de vista do atacante e permítelle identificar un ataque nunha fase inicial, polo que os especialistas en seguridade da información obteñen unha vantaxe significativa sobre os atacantes e gañan tempo.

  2. "Atracción" VS "Confusión". Cando se usan honeypots, o éxito depende de atraer a atención dos atacantes e motivalos aínda máis para moverse ao destino no honeypot. Isto significa que o atacante aínda debe chegar ao honeypot antes de que poidas detelo. Así, a presenza de atacantes na rede pode durar varios meses ou máis, e isto provocará fugas de datos e danos. Os DDP imitan cualitativamente a infraestrutura de TI real dunha empresa; o propósito da súa implementación non é só atraer a atención dun atacante, senón confundilo para que perda tempo e recursos, pero non acceda aos activos reais do atacante. empresa.

  3. "Escalabilidade limitada" VS "escalabilidade automática". Como se indicou anteriormente, os honeypots e as honeynets teñen problemas de escalado. Isto é difícil e caro, e para aumentar o número de honeypots nun sistema corporativo, terás que engadir novos ordenadores, SO, mercar licenzas e asignar IP. Ademais, tamén é necesario contar con persoal cualificado para xestionar estes sistemas. As plataformas de engano implícanse automaticamente a medida que a túa infraestrutura se escala, sen sobrecarga significativa.

  4. "Un gran número de falsos positivos" VS "sen falsos positivos". A esencia do problema é que incluso un simple usuario pode atopar un honeypot, polo que o "inconveniente" desta tecnoloxía é un gran número de falsos positivos, o que distrae aos especialistas en seguridade da información do seu traballo. Os "cebos" e as "trampas" en DDP escóndense coidadosamente para o usuario medio e están deseñados só para un atacante, polo que cada sinal deste sistema é unha notificación dunha ameaza real e non un falso positivo.

Conclusión

Na nosa opinión, a tecnoloxía Deception é unha gran mellora con respecto á antiga tecnoloxía Honeypots. En esencia, DDP converteuse nunha plataforma de seguridade completa que é fácil de implementar e xestionar.

As plataformas modernas desta clase xogan un papel importante na detección precisa e na resposta eficaz ás ameazas da rede, e a súa integración con outros compoñentes da pila de seguridade aumenta o nivel de automatización, aumenta a eficiencia e a eficacia da resposta aos incidentes. As plataformas de engano baséanse na autenticidade, escalabilidade, facilidade de xestión e integración con outros sistemas. Todo isto dá unha vantaxe importante na rapidez de resposta aos incidentes de seguridade da información.

Ademais, a partir das observacións de pentests de empresas onde se implantou ou pilotou a plataforma Xello Deception, podemos extraer conclusións de que ata os pentesters experimentados moitas veces non poden recoñecer o cebo na rede corporativa e fallan cando caen nas trampas postas. Este feito confirma unha vez máis a eficacia de Deception e as grandes perspectivas que se abren para esta tecnoloxía no futuro.

Proba de produtos

Se estás interesado na plataforma Deception, estamos preparados realizar probas conxuntas.

Estade atentos ás novidades nas nosas canles (TelegramaFacebookVKBlog de solucións TS)!

Fonte: www.habr.com

Engadir un comentario