Honeypot vs Deception na primjeru Xello

Već postoji nekoliko članaka na Habréu o Honeypot i Deception tehnologijama (1 članak, 2 članak). Međutim, do sada smo suočeni s nedostatkom razumijevanja razlika između ovih klasa zaštitnih alata. Da bismo to učinili, naši kolege iz Pozdrav Prevara (prvi ruski programer Obmana platforme) odlučio je detaljno opisati razlike, prednosti i arhitektonske značajke ovih rješenja.

Hajde da shvatimo što su "honeypots" i "obmane":

"Tehnologije prijevare" (eng., Deception technology) pojavile su se na tržištu informacijskih sigurnosnih sustava relativno nedavno. Međutim, neki stručnjaci još uvijek smatraju da je Security Deception samo napredniji honeypot.

U ovom ćemo članku pokušati istaknuti i sličnosti i temeljne razlike između ova dva rješenja. U prvom dijelu govorit ćemo o „honeypotu“, kako se ova tehnologija razvijala te koje su njene prednosti i mane. A u drugom dijelu ćemo se detaljno osvrnuti na principe rada platformi za kreiranje distribuirane infrastrukture za prijevaru (engleski, Distributed Deception Platform - DDP).

Osnovno načelo na kojem se temelji honeypots je stvaranje zamki za hakere. Prva Deception rješenja razvijena su na istom principu. No, moderni DDP-ovi znatno su superiorniji od honeypot-ova, kako u pogledu njihove funkcionalnosti tako i u pogledu učinkovitosti. Platforme za prijevaru uključuju: zamke (engleski, decoys, traps), mamce (engleski, lures), aplikacije, podatke, baze podataka, Active Directory. Moderni DDP-ovi mogu pružiti moćne mogućnosti za otkrivanje prijetnji, analizu napada i automatizaciju odgovora.

Stoga su prijevare tehnike za oponašanje IT infrastrukture poduzeća i zavaravanje hakera. Kao rezultat toga, takve platforme omogućuju zaustavljanje napada prije nanošenja značajne štete imovini tvrtke. Honeypotovi, naravno, nemaju toliki raspon funkcionalnosti i toliki stupanj automatizacije, pa njihovo korištenje zahtijeva više kvalifikacija djelatnika odjela informacijske sigurnosti.

1. Honeypots, Honeynets i Sandboxing: što je to i kako se primjenjuje

Prvi put izraz "honeypots" korišten je 1989. godine u knjizi "Kukavičije jaje" Clifforda Stolla, koja opisuje događaje praćenja hakera u Nacionalnom laboratoriju Lawrence Berkeley (SAD). Ovu je ideju 1999. godine u praksu proveo Lance Spitzner, stručnjak za informacijsku sigurnost u tvrtki Sun Microsystems, koji je utemeljio istraživački projekt Honeynet Project. Prvi honeypotovi bili su vrlo intenzivni, teški za postavljanje i održavanje.

Razmotrimo detaljnije što je džezve и honeynets. Honeypotovi su zasebni hostovi čija je svrha privući napadače da provale u mrežu tvrtke i pokušaju ukrasti vrijedne podatke, kao i proširiti pokrivenost mreže. Honeypot (u doslovnom prijevodu "bačva meda") je poseban poslužitelj sa skupom raznih mrežnih servisa i protokola kao što su HTTP, FTP, itd. (vidi sl. 1).

Ako kombinirate nekoliko džezve u mrežu, tada ćemo dobiti učinkovitiji sustav mreža za med, koji je emulacija korporativne mreže tvrtke (web poslužitelj, poslužitelj datoteka i druge mrežne komponente). Ovo rješenje vam omogućuje da razumijete strategiju napadača i da ih zavarate. Tipična honeynet, u pravilu, radi paralelno s proizvodnom mrežom i potpuno je neovisna o njoj. Takva se “mreža” može objaviti na internetu putem zasebnog kanala, a može joj se također dodijeliti zaseban raspon IP adresa (vidi sl. 2).

Smisao korištenja honeyneta je pokazati hakeru da je navodno ušao u korporativnu mrežu organizacije, zapravo, napadač je u "izoliranom okruženju" i pod strogim je nadzorom stručnjaka za informacijsku sigurnost (vidi sliku 3) .

Ovdje je također potrebno spomenuti takav alat kao što je "kutija s pijeskom"(Engleski, kutija s pijeskom) koji napadačima omogućuje instaliranje i pokretanje zlonamjernog softvera u izoliranom okruženju u kojem IT stručnjaci mogu pratiti njihove aktivnosti kako bi identificirali potencijalne rizike i poduzeli potrebne protumjere. Trenutno se sandboxing obično implementira na namjenskim virtualnim strojevima na virtualnom hostu. Međutim, valja napomenuti da sandboxing samo pokazuje kako se ponašaju opasni i zlonamjerni programi, dok honeynet pomaže stručnjaku u analizi ponašanja “opasnih igrača”.

Očita prednost honeynet-a je da dovode napadače u zabludu, trošeći njihovu energiju, resurse i vrijeme. Kao rezultat toga, umjesto pravih ciljeva, oni napadaju lažne i mogu prestati napadati mrežu bez postizanja bilo čega. Najčešće se honeynet tehnologije koriste u državnim agencijama i velikim korporacijama, financijskim organizacijama, budući da su te strukture mete velikih kibernetičkih napada. Međutim, mala i srednja poduzeća (SMB) također trebaju učinkovite alate za sprječavanje incidenata informacijske sigurnosti, ali honeynetovi u SMB sektoru nisu tako jednostavni za korištenje, zbog nedostatka kvalificiranog osoblja za tako složen posao.

Ograničenja Honeypots i Honeynets rješenja

Zašto honeypots i honeynets nisu danas najbolja dostupna rješenja za ublažavanje napada? Valja napomenuti da napadi postaju sve veći, tehnički složeniji i sposobni izazvati ozbiljnu štetu IT infrastrukturi organizacije, dok je kibernetički kriminal dosegao sasvim drugu razinu i predstavlja visoko organiziranu strukturu poslovanja u sjeni opremljenu svim potrebnim resursi. Tome se pridodaje i “ljudski faktor” (pogreške u softverskim i hardverskim postavkama, insajderske radnje itd.), pa korištenje samo tehnologije za sprječavanje napada trenutno više nije dovoljno.

U nastavku navodimo glavna ograničenja i nedostatke honeypotova (honeynets):

1. Honeypots su izvorno dizajnirani za prepoznavanje prijetnji koje su izvan korporativne mreže, više su namijenjeni analizi ponašanja uljeza i nisu dizajnirani da brzo odgovore na prijetnje.

2. Zlonamjernici su, u pravilu, već naučili prepoznati emulirane sustave i izbjegavati honeypots.

3. Honeynetovi (honeypotovi) imaju izuzetno nisku razinu interaktivnosti i interakcije s drugim sigurnosnim sustavima, zbog čega je korištenjem honeypotova teško doći do detaljnih informacija o napadima i napadačima, a time i učinkovito i brzo odgovoriti na informacijskosigurnosne incidente. Štoviše, stručnjaci za informacijsku sigurnost primaju velik broj lažnih upozorenja o prijetnjama.

4. U nekim slučajevima hakeri mogu koristiti kompromitirani honeypot kao početnu točku za nastavak napada na mrežu organizacije.

5. Često postoje problemi s skalabilnošću honeypotova, velikim operativnim opterećenjem i konfiguracijom takvih sustava (zahtijevaju visokokvalificirane stručnjake, nemaju prikladno sučelje za upravljanje itd.). Postoje velike poteškoće u implementaciji honeypots u specijaliziranim okruženjima kao što su IoT, POS, cloud sustavi, itd.

2. Tehnologija prijevare: prednosti i osnovni principi rada

Proučavajući sve prednosti i nedostatke honeypot-a, dolazimo do zaključka da je potreban potpuno novi pristup odgovoru na incidente informacijske sigurnosti kako bi se razvio brz i adekvatan odgovor na akcije napadača. A to rješenje je tehnologija. Cyber ​​obmana (sigurnosna obmana).

Terminologija "Cyber ​​obmana", "Sigurnosna obmana", "Tehnologija obmane", "Distribuirana platforma obmane" (DDP) je relativno nova i pojavila se ne tako davno. Zapravo, svi ti izrazi znače korištenje "tehnologija prijevare" ili "tehnika za oponašanje IT infrastrukture i dezinformiranje napadača". Najjednostavnija rješenja prijevare su razvoj honeypots ideja, samo na tehnološki naprednijoj razini, koja uključuje veću automatizaciju otkrivanja prijetnji i odgovora. Međutim, na tržištu već postoje ozbiljna rješenja DDP klase koja nude jednostavnost implementacije i skalabilnost, kao i ozbiljan arsenal “zamki” i “mamaca” za napadače. Na primjer, Deception vam omogućuje oponašanje objekata IT infrastrukture kao što su baze podataka, radne stanice, usmjerivači, preklopnici, bankomati, poslužitelji i SCADA, medicinska oprema i IoT.

Kako funkcionira Platforma za distribuiranu prijevaru? Nakon implementacije DDP-a, IT infrastruktura organizacije bit će izgrađena kao da se sastoji od dva sloja: prvi sloj je stvarna infrastruktura tvrtke, a drugi je "emulirano" okruženje koje se sastoji od zamki (engleski, mamci, zamke ) i mamci (engleski, lures), koji se nalaze na stvarnim fizičkim mrežnim uređajima (vidi sliku 4).

Na primjer, napadač može otkriti lažne baze podataka s "povjerljivim dokumentima", lažne vjerodajnice navodno "povlaštenih korisnika" - sve su to lažni ciljevi, oni mogu zainteresirati uljeze, odvraćajući im na taj način pozornost od prave informacijske imovine tvrtke (vidi sliku 5) .

DDP je novost na tržištu informacijsko-sigurnosnih proizvoda, ova su rješenja stara tek nekoliko godina i za sada ih može priuštiti samo korporativni sektor. No mala i srednja poduzeća uskoro će također moći iskoristiti prednosti Deceptiona iznajmljujući DDP-ove od specijaliziranih pružatelja kao uslugu. Ova opcija je još praktičnija, jer nema potrebe za vlastitim visokokvalificiranim osobljem.

Glavne prednosti Deception tehnologije prikazane su u nastavku:

• Autentičnost (autentičnost). Tehnologija prijevare sposobna je reproducirati potpuno autentično IT okruženje tvrtke, emulirajući operativne sustave, IoT, POS, specijalizirane sustave (medicinske, industrijske itd.), usluge, aplikacije, vjerodajnice itd. uz visoku kvalitetu. Zamke (mamci) su pažljivo umiješane u proizvodno okruženje i napadač ih neće moći identificirati kao honeypots.

• uvođenje. DDP-ovi koriste strojno učenje (ML) u svom radu. Uz pomoć ML-a osigurana je jednostavnost, fleksibilnost u postavkama i učinkovitost implementacije Deceptiona. „Zamke“ i „mamci“ se vrlo brzo ažuriraju, uključujući napadača u „lažnu“ informatičku infrastrukturu tvrtke, au međuvremenu napredni sustavi analize temeljeni na umjetnoj inteligenciji mogu detektirati aktivne akcije hakera i spriječiti ih (npr. , pokušaj pristupa Active Directoryju na temelju lažnih računa).

• Jednostavnost rada. Moderna "Distribuirana platforma za prijevaru" jednostavna je za održavanje i upravljanje. U pravilu se njima upravlja putem lokalne ili cloud konzole, postoje mogućnosti integracije s korporativnim SOC-om (Security Operations Center) putem API-ja i s mnogim postojećim sigurnosnim kontrolama. Za održavanje i rad DDP-a nisu potrebne usluge visokokvalificiranih stručnjaka za informacijsku sigurnost.

• Skalabilnost. Sigurnosna prijevara može se primijeniti u fizičkim, virtualnim i oblak okruženjima. DDP također uspješno rade sa specijaliziranim okruženjima kao što su IoT, ICS, POS, SWIFT itd. Napredne platforme za prijevaru mogu projicirati "tehnologiju prijevare" u udaljene urede, izolirana okruženja, bez potrebe za dodatnom implementacijom pune platforme.

• Interakcija. Koristeći učinkovite i atraktivne mamce koji se temelje na stvarnom OS-u i pametno smješteni među stvarnu IT infrastrukturu, platforma Deception prikuplja opsežne informacije o napadaču. DDP zatim daje upozorenja o prijetnjama, generiraju se izvješća i automatski se reagira na incidente u vezi s informacijskom sigurnošću.

• Početna točka napada. U modernoj obmani, zamke i mamci se postavljaju unutar dometa mreže, a ne izvan nje (kao što je slučaj s honeypots). Ovaj model postavljanja zamki sprječava napadača da ih koristi kao bazu za napad na stvarnu IT infrastrukturu tvrtke. U naprednijim rješenjima klase Deception postoje mogućnosti usmjeravanja prometa, tako da sav promet napadača možete usmjeriti kroz namjensku vezu. To će vam omogućiti analizu aktivnosti uljeza bez rizika za vrijednu imovinu tvrtke.

• Uvjerljivost "tehnologija obmane". U početnoj fazi napada napadači prikupljaju i analiziraju podatke o IT infrastrukturi, a zatim ih koriste za horizontalno kretanje kroz korporativnu mrežu. Uz pomoć „tehnologija prijevare“ napadač će sigurno upasti u „zamke“ koje će ga odvesti daleko od stvarne imovine organizacije. DDP će analizirati potencijalne putove pristupa vjerodajnicama na korporativnoj mreži i pružiti napadaču "lažne mete" umjesto pravih vjerodajnica. Te su sposobnosti krajnje nedostajale honeypot tehnologijama. (Pogledajte sl. 6).

Prijevara VS Honeypot

I konačno, dolazimo do najzanimljivije točke naše studije. Pokušat ćemo istaknuti glavne razlike između Deception i Honeypot tehnologija. Unatoč nekim sličnostima, ipak se ove dvije tehnologije uvelike razlikuju, od temeljne ideje do učinkovitosti rada.

1. Razne osnovne ideje. Kao što smo već napisali, honeypots se postavljaju kao "mamci" oko vrijedne imovine tvrtke (izvan korporativne mreže), čime se pokušava odvratiti uljeze. Dok se honeypot tehnologija temelji na razumijevanju infrastrukture organizacije, honeypotovi mogu biti početna točka za napad na mrežu tvrtke. Tehnologija prijevare razvijena je uzimajući u obzir gledište napadača i omogućuje vam prepoznavanje napada u ranoj fazi, čime stručnjaci za informacijsku sigurnost dobivaju značajnu prednost nad napadačima i dobivaju na vremenu.

2. "Privlačenje" VS "Zapletenost". Kada koristite honeypots, uspjeh ovisi o privlačenju pozornosti napadača i njihovom daljnjem motiviranju da krenu prema meti u honeypotu. To znači da napadač još uvijek mora doći do honeypota prije nego što ga možete zaustaviti. Dakle, prisutnost uljeza na mreži može trajati nekoliko mjeseci ili više, a to će dovesti do curenja podataka i oštećenja. DDP kvalitativno imitiraju stvarnu informatičku infrastrukturu tvrtke, svrha njihove implementacije nije samo privući pozornost napadača, već ga zbuniti tako da gubi vrijeme i resurse, ali ne dobiva pristup stvarnoj imovini tvrtke.

3. "ograničena skalabilnost" VS "automatska skalabilnost". Kao što je ranije navedeno, honeypotovi i honeynetovi imaju problema s skaliranjem. Teško je i skupo, a da biste povećali broj honeypotova u korporativnom sustavu, morat ćete dodati nova računala, OS, kupiti licence, dodijeliti IP. Štoviše, također je potrebno imati kvalificirano osoblje za upravljanje takvim sustavima. Platforme za prijevaru automatski se postavljaju kao infrastrukturne skale, bez značajnih dodatnih troškova.

4. "Veliki broj lažno pozitivnih" u odnosu na "nema lažnih pozitivnih". Suština problema je u tome što čak i običan korisnik može naići na honeypot, tako da je "naličje" ove tehnologije veliki broj lažnih pozitivnih rezultata, što odvlači stručnjake za informacijsku sigurnost od posla. "Mamci" i "zamke" u DDP-u pažljivo su skriveni od prosječnog korisnika i dizajnirani su samo za napadača, tako da je svaki signal iz takvog sustava upozorenje o stvarnoj prijetnji, a ne lažno pozitivno.

Zaključak

Po našem mišljenju, Deception tehnologija je veliki napredak u odnosu na staru Honeypots tehnologiju. U biti, DDP je postao sveobuhvatna sigurnosna platforma koju je lako implementirati i kojom se lako upravlja.

Suvremene platforme ove klase igraju važnu ulogu u preciznom otkrivanju i učinkovitom odgovoru na mrežne prijetnje, a njihova integracija s ostalim komponentama sigurnosnog skupa povećava razinu automatizacije, povećava učinkovitost i djelotvornost odgovora na incidente. Platforme za prijevaru temelje se na autentičnosti, skalabilnosti, jednostavnosti upravljanja i integraciji s drugim sustavima. Sve to daje značajnu prednost u brzini odgovora na incidente informacijske sigurnosti.

Također, na temelju promatranja pentestova tvrtki u kojima je implementirana ili pilotirana platforma Xello Deception, možemo zaključiti da čak i iskusni pentesteri često ne mogu prepoznati mamce u korporativnoj mreži i propadaju, upadajući u zamke. Ova činjenica još jednom potvrđuje učinkovitost Deceptiona i velike izglede koji se otvaraju za ovu tehnologiju u budućnosti.

Testiranje proizvoda

Ako ste zainteresirani za platformu Deception, onda smo spremni provesti zajedničko testiranje.

Pratite novosti na našim kanalima (Telegram, Facebook, VK, Blog o TS rješenjima)!

Izvor: www.habr.com