An riga an sami labarai da yawa akan Habré game da fasahar Honeypot da yaudara (, ). Koyaya, har yanzu muna fuskantar rashin fahimtar bambanci tsakanin waɗannan nau'ikan kayan aikin kariya. Domin wannan, abokan aikinmu daga (na farko Rasha developer ) ya yanke shawarar bayyana dalla-dalla bambance-bambance, fa'idodi da fasalin gine-gine na waɗannan mafita.
Bari mu gano abin da "sankin zuma" da " yaudara" suke:
“Fasaha na yaudara” sun bayyana akan tsarin tsaro na bayanai kwanan nan. Duk da haka, wasu masana har yanzu suna la'akari da yaudarar Tsaro a matsayin mafi ci gaba kawai.
A cikin wannan labarin za mu yi ƙoƙari mu haskaka duka kamanni da bambance-bambancen asali tsakanin waɗannan mafita guda biyu. A kashi na farko, za mu yi magana ne game da tukunyar zuma, yadda wannan fasaha ta bunkasa da kuma mene ne fa’ida da rashin amfaninta. Kuma a cikin kashi na biyu, za mu zauna daki-daki kan ka'idodin aiki na dandamali don ƙirƙirar kayan aikin da aka rarraba na lalata (Turanci, Rarraba Ruɗi Platform - DDP).
Babban ƙa'idar da ke ƙarƙashin ma'aunin zuma shine ƙirƙirar tarkuna ga masu satar bayanai. An samar da mafita na yaudara na farko akan ka'ida guda. Amma DDPs na zamani sun fi ƙorafin zuma, duka cikin aiki da inganci. Dabarun yaudara sun haɗa da: yaudara, tarkuna, tarko, aikace-aikace, bayanai, bayanan bayanai, Directory Active. DDPs na zamani na iya ba da ƙarfi mai ƙarfi don gano barazanar, binciken harin, da sarrafa kansa.
Don haka, yaudara wata dabara ce don kwaikwayi kayan aikin IT na kamfani da kuma yaudarar masu satar bayanai. Sakamakon haka, irin waɗannan dandamali suna ba da damar dakatar da kai hare-hare kafin haifar da babbar illa ga kadarorin kamfanin. Honeypots, ba shakka, ba su da irin wannan aiki mai fa'ida da irin wannan matakin sarrafa kansa, don haka amfani da su yana buƙatar ƙarin cancanta daga ma'aikatan sassan tsaro na bayanai.
1. Tushen zuma, Kayan zuma da Sandboxing: menene su da yadda ake amfani da su
An fara amfani da kalmar “Honeypots” ne a shekarar 1989 a cikin littafin Clifford Stoll mai suna “The Cuckoo’s Egg”, wanda ke bayyana abubuwan da suka faru na bin diddigin dan dandatsa a dakin gwaje-gwaje na kasa na Lawrence Berkeley (Amurka). Lance Spitzner, kwararre kan harkokin tsaro a Sun Microsystems, wanda ya kafa aikin bincike na Honeynet ya yi amfani da wannan ra'ayin a cikin 1999. Tushen zuma na farko sun kasance masu yawan albarkatu, da wahalar kafawa da kulawa.
Bari mu dubi abin da yake honeypots и ruwan zuma. Wuraren zuma su ne rundunonin ɗaiɗaikun ɗaiɗai waɗanda manufarsu ita ce jawo masu kai hari don kutsa kai cikin hanyar sadarwar kamfani da ƙoƙarin satar bayanai masu mahimmanci, da kuma faɗaɗa yankin da ke kewaye da hanyar sadarwar. Honeypot (a zahiri an fassara shi da “gangan zuma”) sabar ce ta musamman tare da saitin ayyuka da ka’idoji daban-daban, kamar HTTP, FTP, da sauransu. (duba hoto na 1).
Idan kun haɗu da yawa honeypots a cikin hanyar sadarwa, to za mu sami ingantaccen tsarin aiki ruwan zuma, wanda shine kwaikwaya na cibiyar sadarwar kamfani (sabar yanar gizo, uwar garken fayil, da sauran abubuwan haɗin yanar gizo). Wannan bayani yana ba ku damar fahimtar dabarun maharan kuma ku yaudare su. Kwancen zuma na yau da kullum, a matsayin mai mulkin, yana aiki a layi daya tare da cibiyar sadarwar aiki kuma yana da cikakken zaman kanta. Ana iya buga irin wannan "cibiyar sadarwa" akan Intanet ta hanyar tashar daban; Hakanan za'a iya raba kewayon adiresoshin IP daban don shi (duba siffa 2).
Manufar yin amfani da honeynet shine a nuna wa ɗan hacker cewa ya shiga cikin cibiyar sadarwar ƙungiyar; a gaskiya ma, maharin yana cikin "yanayin keɓe" kuma a ƙarƙashin kulawar kwararrun tsaro na bayanai (duba siffa 3).
Anan kuma muna buƙatar ambaci irin wannan kayan aiki kamar "sandbox"(Ingilishi, sandbox), wanda ke bawa maharan damar shigar da gudanar da malware a cikin keɓantaccen yanayi inda IT za ta iya sa ido kan ayyukansu don gano haɗarin haɗari da ɗaukar matakan da suka dace. A halin yanzu, yawanci ana aiwatar da sandboxing akan na'urori masu ƙima akan mai masaukin baki. Duk da haka, ya kamata a lura da cewa sandboxing kawai yana nuna yadda shirye-shirye masu haɗari da ƙeta suke aikatawa, yayin da honeynet yana taimaka wa ƙwararrun ƙwararrun nazarin halayen "yan wasa masu haɗari."
Babban fa'idar saƙar zuma ita ce, suna yaudarar maharan, suna ɓata ƙarfinsu, dukiyarsu da lokacinsu. A sakamakon haka, maimakon ainihin hari, suna kai hari ga karya kuma suna iya dakatar da kai hari kan hanyar sadarwa ba tare da cimma wani abu ba. Mafi sau da yawa, ana amfani da fasahar honeynets a cikin hukumomin gwamnati da manyan kamfanoni, ƙungiyoyin kuɗi, tun da waɗannan su ne tsarin da suka zama masu hari ga manyan hare-haren yanar gizo. Sai dai kuma, kanana da matsakaitan ‘yan kasuwa (SMBs) suma suna bukatar ingantattun kayan aiki don hana afkuwar matsalar tsaro, amma tayoyin zuma a bangaren SMB ba su da saukin amfani da su saboda rashin kwararrun ma’aikata don yin irin wannan hadadden aiki.
Iyaka na Tushen zuma da Maganin Ruwan Zuma
Me yasa tukwanen zuma da saƙar zuma ba su ne mafi kyawun mafita don magance hare-hare a yau ba? Ya kamata a lura cewa hare-haren suna ƙara girma, fasaha mai rikitarwa da kuma iya haifar da mummunar lalacewa ga kayan aikin IT na kungiya, kuma laifukan yanar gizo ya kai matsayi daban-daban kuma yana wakiltar tsarin kasuwanci na inuwa da aka tsara sosai tare da duk abubuwan da suka dace. Don wannan dole ne a ƙara "launi na ɗan adam" (kurakurai a cikin saitunan software da hardware, ayyuka na ciki, da dai sauransu), don haka amfani da fasaha kawai don hana hare-hare bai isa ba a yanzu.
A ƙasa mun lissafta manyan iyakoki da rashin amfani da tukunyar zuma (honeynets):
-
An kirkiro tukwane na zuma tun asali don gano barazanar da ke waje da hanyar sadarwar kamfanoni, an yi niyya ne kawai don bincika halayen maharan kuma ba a tsara su don amsa barazanar da sauri ba.
-
Masu kai hare-hare, a matsayin mai mulkin, sun riga sun koyi gane tsarin kwaikwayo da kuma guje wa saƙar zuma.
-
Honeyets (turun zuma) suna da ƙarancin mu'amala da mu'amala da sauran tsare-tsare na tsaro, saboda haka, ta yin amfani da tukwanen zuma, yana da wahala a sami cikakkun bayanai game da hare-hare da maharan, don haka ba da amsa cikin sauri da sauri ga abubuwan da suka faru na tsaro na bayanai. . Haka kuma, ƙwararrun tsaro na bayanai suna karɓar faɗakarwar barazanar ƙarya da yawa.
-
A wasu lokuta, masu satar bayanai na iya amfani da tukunyar zuma da aka lalatar da su a matsayin mafari don ci gaba da kai hari a kan hanyar sadarwar kungiya.
-
Matsaloli sau da yawa suna tasowa tare da scalability na honeypots, high aiki load da sanyi irin wannan tsarin (suna bukatar sosai m kwararru, ba su da m management dubawa, da dai sauransu). Akwai manyan matsaloli wajen tura sandunan zuma a wurare na musamman kamar IoT, POS, tsarin girgije, da sauransu.
2. Fasahar yaudara: fa'idodi da ka'idodin aiki na asali
Bayan nazarin duk fa'idodi da rashin amfani da tukwane na zuma, mun kai ga ƙarshe cewa, ana buƙatar sabuwar hanya don ba da amsa ga abubuwan da suka faru na tsaro don samar da saurin amsawa ga ayyukan maharan. Kuma irin wannan mafita ita ce fasaha yaudarar yanar gizo ( yaudarar tsaro).
Kalmomin "ya'yan Cyber", "Tsaron Tsaro", "Fasaha na yaudara", "Tsarin Rubutun Rarraba" (DDP) sabon abu ne kuma ya bayyana ba da daɗewa ba. A zahiri, duk waɗannan sharuɗɗan suna nufin amfani da "fasaha na yaudara" ko "dabarun don kwaikwaya kayan aikin IT da ɓarna na maharan." Mafi sauƙaƙa mafita na yaudara shine haɓaka ra'ayoyin wuraren saƙar zuma, kawai a matakin ci gaba na fasaha, wanda ya haɗa da babban aiki na gano barazanar da amsa su. Duk da haka, akwai riga mai tsanani DDP-aji mafita a kasuwa da suke da sauƙin turawa da kuma sikelin, kuma suna da mummunan arsenal na "tarkon" da "baits" ga maharan. Misali, yaudara yana ba ku damar yin koyi da abubuwan ababen more rayuwa na IT kamar bayanan bayanai, wuraren aiki, masu tuƙi, masu sauyawa, ATMs, sabobin da SCADA, kayan aikin likita da IoT.
Ta yaya Platform yaudarar Rarraba ke aiki? Bayan an tura DDP, za a gina kayan aikin IT na ƙungiyar kamar daga yadudduka biyu: Layer na farko shine ainihin kayan aikin kamfanin, na biyun kuma shine yanayin “emulated” wanda ya ƙunshi decoys da baits. akan na'urorin cibiyar sadarwa na zahiri (duba siffa 4).
Misali, maharin na iya gano bayanan karya tare da “takardun sirri”, bayanan karya na wadanda ake zaton “masu amfani da gata ne” – duk wadannan rudu ne da ke iya sha’awar masu karya doka, ta yadda za su karkatar da hankalinsu daga ainihin kadarorin kamfanin (duba Hoto na 5).
DDP wani sabon samfuri ne akan kasuwar samfuran tsaro na bayanai; waɗannan hanyoyin magance ƴan shekaru ne kawai kuma ya zuwa yanzu ɓangaren kamfanoni ne kawai ke iya samun su. Amma ƙananan ƴan kasuwa da matsakaitan masana'antu nan ba da jimawa ba za su sami damar cin gajiyar yaudara ta hanyar hayar DDP daga ƙwararrun masu samarwa "a matsayin sabis." Wannan zaɓin ya fi dacewa, tunda babu buƙatar ƙwararrun ma'aikatan ku.
Ana nuna manyan fa'idodin fasahar yaudara a ƙasa:
-
Gaskiya (gaskiya). Fasahar yaudara tana da ikon sake haifar da ingantaccen yanayin IT na kamfani, kwaikwayi ƙwararrun tsarin aiki, IoT, POS, tsarin na musamman (likita, masana'antu, da sauransu), ayyuka, aikace-aikace, takaddun shaida, da sauransu. Ana haɗe kayan ado a hankali tare da yanayin aiki, kuma maharin ba zai iya gane su a matsayin tukwane na zuma ba.
-
Aiwatarwa. DDPs suna amfani da koyan inji (ML) a cikin aikinsu. Tare da taimakon ML, an tabbatar da sauƙi, sassauci a cikin saitunan da kuma dacewa da aiwatar da yaudara. Ana sabunta "tarko" da "decoys" cikin sauri, suna jawo maharin cikin kayan aikin IT na "karya" na kamfanin, kuma a halin yanzu, tsarin bincike na ci gaba bisa ga bayanan wucin gadi na iya gano ayyukan hackers da hana su (misali, yunƙurin samun dama ga Active Directory tushen asusun yaudara).
-
Mai sauƙin aiki. Dabarun Rarraba yaudara na zamani suna da sauƙin kulawa da sarrafawa. Yawanci ana sarrafa su ta hanyar na'ura mai kwakwalwa na gida ko girgije, tare da damar haɗin kai tare da SOC na kamfani (Cibiyar Tsaro) ta API kuma tare da yawancin kulawar tsaro da ake da su. Kulawa da aiki na DDP baya buƙatar sabis na ƙwararrun ƙwararrun tsaro na bayanai.
-
Ƙimar ƙarfi. Za a iya tura yaudarar tsaro a cikin yanayi na zahiri, kama-da-wane da gajimare. DDPs kuma suna aiki cikin nasara tare da wurare na musamman kamar IoT, ICS, POS, SWIFT, da sauransu. Babban dandamali na yaudara na iya aiwatar da "fasaha na yaudara" a cikin ofisoshi masu nisa da keɓantaccen mahalli, ba tare da buƙatar ƙarin cikakken ƙaddamar da dandamali ba.
-
Hadin kai. Yin amfani da ƙaƙƙarfan yaudara masu ban sha'awa waɗanda suka dogara da tsarin aiki na gaske kuma an sanya su cikin wayo tsakanin kayan aikin IT na gaske, dandamali na yaudara yana tattara bayanai masu yawa game da maharin. DDP sannan yana tabbatar da cewa ana watsa faɗakarwar barazanar, ana samar da rahotanni, kuma ana ba da amsa ga abubuwan da suka faru na tsaro ta atomatik.
-
Farkon harin. A cikin yaudarar zamani, ana sanya tarko da tarko a cikin kewayon hanyar sadarwa, maimakon a waje da ita (kamar yadda yake a cikin tukwane). Wannan samfurin tura kayan aikin yaudara yana hana maharin yin amfani da su azaman abin ba da damar kai hari ga ainihin kayan aikin IT na kamfanin. Ƙarin ingantattun hanyoyin magance ajin yaudara suna da ikon sarrafa zirga-zirga, don haka za ku iya jagorantar duk zirga-zirgar maharan ta hanyar haɗin kai na musamman. Wannan zai ba ku damar yin nazarin ayyukan maharan ba tare da haɗarin kadarorin kamfani masu mahimmanci ba.
-
Lallashin “fasahar yaudara”. A matakin farko na harin, maharan suna tattarawa da kuma nazarin bayanai game da ababen more rayuwa na IT, sannan suyi amfani da shi don matsawa a kwance ta hanyar sadarwar kamfani. Tare da taimakon "fasahar yaudara," mai kai hari zai fada cikin "tarko" wanda zai kai shi daga ainihin kadarorin kungiyar. DDP za ta yi nazarin hanyoyin da za a iya samun damar yin amfani da takaddun shaida a kan hanyar sadarwar kamfani kuma ta samar da maharin da "masu hari" maimakon ainihin takaddun shaida. Waɗannan ƙarfin sun yi ƙarancin ƙarancin fasahar saƙar zuma. (Duba Hoto na 6).
Yaudara VS Honeypot
Kuma a ƙarshe, mun zo lokacin mafi ban sha'awa na binciken mu. Za mu yi ƙoƙari mu haskaka manyan bambance-bambancen da ke tsakanin fasahar yaudara da fasahar Honeypot. Duk da wasu kamanceceniya, waɗannan fasahohin biyu har yanzu sun bambanta sosai, daga ainihin ra'ayi zuwa ingantaccen aiki.
-
Daban-daban na asali ra'ayoyi. Kamar yadda muka rubuta a sama, ana shigar da wuraren ajiyar zuma a matsayin "masu lalata" a kusa da kadarorin kamfani masu mahimmanci (a wajen cibiyar sadarwar kamfanoni), don haka ƙoƙarin janye hankalin maharan. Fasahar Honeypot ta dogara ne akan fahimtar abubuwan more rayuwa na kungiya, amma tudun zuma na iya zama farkon fara kai hari kan hanyar sadarwar kamfani. An haɓaka fasahar yaudara ta la'akari da ra'ayin maharin kuma tana ba ku damar gano harin a farkon matakin, don haka ƙwararrun tsaro na bayanai suna samun fa'ida sosai akan maharan kuma suna samun lokaci.
-
"Jan hankali" VS "Rikici". Lokacin amfani da sandunan zuma, nasara ya dogara ne akan jawo hankalin maharan da kuma kara zaburar da su don matsawa zuwa wurin da ake nufi a cikin tukunyar zuma. Wannan yana nufin cewa har yanzu maharin dole ne ya kai ga tukunyar zuma kafin ku iya dakatar da shi. Don haka, kasancewar maharan akan hanyar sadarwar na iya ɗaukar watanni da yawa ko fiye, kuma hakan zai haifar da ɓarnawar bayanai da lalacewa. DDPs suna yin koyi da ainihin kayan aikin IT na kamfani; manufar aiwatar da su ba kawai don jawo hankalin maharin ba ne, amma don rikitar da shi don ya ɓata lokaci da albarkatu, amma kada ya sami damar shiga ainihin kadarorin kamfanin. kamfani.
-
"Iyakantaccen scalability" VS "matsala ta atomatik". Kamar yadda muka gani a baya, saƙar zuma da ruwan zuma suna da matsalolin ƙima. Wannan yana da wahala kuma yana da tsada, kuma don ƙara yawan adadin zuma a cikin tsarin kamfani, dole ne ku ƙara sabbin kwamfutoci, OS, siyan lasisi, da rarraba IP. Bugu da ƙari, ya zama dole a sami ƙwararrun ma'aikata don gudanar da irin waɗannan tsarin. Rukunin yaudara suna aiki ta atomatik azaman ma'auni na kayan aikin ku, ba tare da wuce gona da iri ba.
-
"Yawancin ƙididdiga na ƙarya" VS "babu tabbataccen gaskiya". Ma'anar matsalar ita ce, ko da mai sauƙi mai amfani zai iya saduwa da tukunyar zuma, don haka "ƙasa" na wannan fasaha shine adadi mai yawa na ƙarya, wanda ke kawar da ƙwararrun tsaro na bayanai daga aikin su. "Baits" da "tarko" a cikin DDP suna ɓoye a hankali daga matsakaicin mai amfani kuma an tsara su ne kawai don mai kai hari, don haka kowane sigina daga irin wannan tsarin sanarwa ne na barazanar gaske, kuma ba gaskiya ba ne.
ƙarshe
A ra'ayinmu, fasahar yaudara babbar ci gaba ce akan tsohuwar fasahar Honeypots. Ainihin, DDP ya zama ingantaccen tsarin tsaro wanda ke da sauƙin turawa da sarrafawa.
Matakan zamani na wannan ajin suna taka muhimmiyar rawa wajen ganowa daidai da kuma ba da amsa ga barazanar hanyar sadarwa, kuma haɗin gwiwarsu tare da sauran abubuwan da ke cikin tarin tsaro yana ƙara matakin sarrafa kansa, yana ƙaruwa da inganci da tasiri na martanin da ya faru. Hanyoyin yaudara suna dogara ne akan gaskiya, haɓakawa, sauƙi na gudanarwa da haɗin kai tare da wasu tsarin. Duk wannan yana ba da fa'ida mai mahimmanci a cikin saurin mayar da martani ga abubuwan tsaro na bayanai.
Har ila yau, bisa la'akari da ra'ayoyin kamfanoni inda aka aiwatar da dandalin Xello Deception ko kuma gwaji, za mu iya zana ra'ayi cewa ko da ƙwararrun masu cin zarafi sau da yawa ba za su iya gane koto a cikin hanyar sadarwar kamfanoni ba kuma suna kasawa lokacin da suka fada tarkon da aka saita. Wannan hujja ta sake tabbatar da tasirin yaudara da kuma manyan abubuwan da ke buɗewa ga wannan fasaha a nan gaba.
Gwajin samfur
Idan kuna sha'awar dandalin yaudara, to muna shirye .
Ku kasance da mu domin samun labarai da dumi-duminsu a tashoshin mu (, , , )!
source: www.habr.com