ProHoster > Blog > Administrasyon an > Honeypot vs Desepsyon sou egzanp Xello

Honeypot vs Desepsyon sou egzanp Xello

Honeypot vs Desepsyon sou egzanp Xello

Gen deja plizyè atik sou Habré sou teknoloji Honeypot ak Deception (1 atik, 2 atik). Sepandan, jiska prezan nou fè fas ak yon mank de konpreyansyon sou diferans ki genyen ant klas sa yo nan zouti pwoteksyon. Pou fè sa, kòlèg nou yo soti nan Bonjou Deception (premye pwomotè Ris la Desepsyon platfòm) deside dekri an detay diferans ki genyen, avantaj ak karakteristik achitekti nan solisyon sa yo.

Ann chèche konnen ki sa "honeypots" ak "desepsyon" yo ye:

"Teknoloji desepsyon" (ang., teknoloji desepsyon) parèt sou mache a nan sistèm sekirite enfòmasyon relativman dènyèman. Sepandan, gen kèk ekspè toujou konsidere Sekirite Desepsyon yo dwe jis pi avanse honeypots.

Nan atik sa a, nou pral eseye mete aksan sou tou de resanblans yo ak diferans ki genyen ant de solisyon sa yo. Nan premye pati a, nou pral pale sou "honeypot la", ki jan teknoloji sa a te devlope ak ki avantaj ak dezavantaj li yo. Ak nan dezyèm pati a, nou pral rete an detay sou prensip yo nan operasyon nan platfòm pou kreye yon enfrastrikti desepsyon distribiye (angle, Distributed Deception Platform - DDP).

Prensip debaz ki kache nan honeypots se kreye pyèj pou entru. Premye solisyon Desepsyon yo te devlope sou menm prensip la. Men, DDP modèn yo siyifikativman siperyè ak honeypots, tou de nan fonksyonalite ak efikasite. Platfòm desepsyon yo enkli: dekoy, pyèj, lasisiy, aplikasyon, done, baz done, Anyè aktif. DDP modèn yo ka bay kapasite pwisan pou deteksyon menas, analiz atak, ak automatisation repons.

Kidonk, Desepsyon se yon teknik pou similye enfrastrikti IT yon antrepriz ak entru twonpe. Kòm yon rezilta, platfòm sa yo fè li posib yo sispann atak anvan yo lakòz gwo domaj nan byen konpayi yo. Honeypots, nan kou, pa gen tankou fonksyonalite lajè ak tankou yon nivo nan automatisation, kidonk itilizasyon yo mande pou plis kalifikasyon nan men anplwaye nan depatman sekirite enfòmasyon.

1. Honeypots, Honeynets ak Sandboxing: ki sa yo ye ak ki jan yo itilize

Pou la pwemye fwa, tèm "honeypots" te itilize an 1989 nan liv "The Cuckoo's Egg" pa Clifford Stoll, ki dekri evènman yo nan swiv yon pirate nan Lawrence Berkeley National Laboratory (USA). Lide sa a te mete an pratik an 1999 pa Lance Spitzner, yon espesyalis sekirite enfòmasyon nan Sun Microsystems, ki te fonde pwojè rechèch Honeynet Project la. Honeypots yo premye yo te trè entansif resous, difisil yo mete kanpe ak kenbe.

Ann konsidere an plis detay sa ki ye honeypots и honeynets. Honeypots yo se lame separe ki gen objektif pou atire atakè yo antre nan rezo konpayi an epi eseye vòlè done ki gen anpil valè, osi byen ke elaji pwoteksyon rezo a. Honeypot (literalman tradui kòm "yon barik siwo myèl") se yon sèvè espesyal ak yon seri divès kalite sèvis rezo ak pwotokòl tankou HTTP, FTP, elatriye. (gade fig. 1).

Honeypot vs Desepsyon sou egzanp Xello

Si ou konbine plizyè honeypots nan rezo a, Lè sa a, nou pral jwenn yon sistèm ki pi efikas siwo myèl nèt, ki se yon imitasyon rezo antrepriz yon konpayi (sèvè entènèt, sèvè fichye, ak lòt konpozan rezo). Solisyon sa a pèmèt ou konprann estrateji atakè yo epi twonpe yo. Yon honeynet tipik, kòm yon règ, kouri nan paralèl ak rezo pwodiksyon an epi li konplètman endepandan de li. Tankou yon "rezo" ka pibliye sou entènèt la atravè yon chanèl separe, epi yo ka resevwa yon seri separe nan adrès IP tou pou li (gade Fig. 2).

Honeypot vs Desepsyon sou egzanp Xello

Pwen an nan lè l sèvi avèk yon honeynet se montre pirate a ke li swadizan antre nan rezo antrepriz nan òganizasyon an, an reyalite, atakè a se nan yon "anviwònman izole" epi li se anba sipèvizyon an sere espesyalis sekirite enfòmasyon (gade Fig. 3). .

Honeypot vs Desepsyon sou egzanp Xello

Isit la tou li nesesè mansyone yon zouti tankou "sandboks"(Angle, sandboks) ki pèmèt atakè yo enstale ak kouri malveyan nan yon anviwònman izole kote pwofesyonèl IT ka kontwole aktivite yo nan lòd yo idantifye risk potansyèl yo epi pran mezi ki nesesè yo. Kounye a, sandboxing anjeneral aplike sou machin vityèl dedye sou yon lame vityèl. Sepandan, li ta dwe remake ke sandboxing sèlman montre kouman pwogram danjere ak move konpòte yo, pandan y ap honeynet ede yon espesyalis analize konpòtman an nan "jwè danjere".

Benefis evidan nan honeynets se ke yo twonpe atakè yo, gaspiye enèji yo, resous ak tan yo. Kòm yon rezilta, olye pou yo sib reyèl, yo atake fo yo epi yo ka sispann atake rezo a san yo pa reyalize anyen. Pi souvan, teknoloji honeynet yo itilize nan ajans gouvènman yo ak gwo kòporasyon, òganizasyon finansye, depi estrikti sa yo se objektif pou gwo atak cyber. Sepandan, ti ak mwayen biznis (SMB) bezwen tou zouti efikas pou anpeche ensidan sekirite enfòmasyon, men honeynets nan sektè SMB yo pa tèlman fasil pou itilize, akòz mank de pèsonèl kalifye pou travay konplèks sa yo.

Limitasyon Honeypots ak Honeynets Solutions

Poukisa honeypots ak honeynets pa pi bon solisyon alèjman atak ki disponib jodi a? Li ta dwe remake ke atak yo ap vin pi plis ak plis gwo echèl, teknikman konplèks ak ki kapab lakòz gwo domaj nan enfrastrikti IT òganizasyon an, pandan y ap sibèrkrim te rive nan yon nivo konplètman diferan epi li se yon estrikti biznis lonbraj trè òganize ki ekipe ak tout sa ki nesesè yo. resous yo. Anplis de sa, se "faktè imen" (erè nan anviwònman lojisyèl ak pyès ki nan konpitè, aksyon inisye, elatriye), kidonk itilize teknoloji pou kont li pou anpeche atak pa ase nan moman sa a.

Anba a nou lis limit prensipal yo ak dezavantaj nan honeypots (honeynets):

  1. Honeypots te okòmansman fèt pou idantifye menas ki andeyò rezo antrepriz la, yo gen plis entansyon pou analize konpòtman entrigan yo epi yo pa fèt pou reponn rapidman a menas yo.

  2. Malefactors, kòm yon règ, deja aprann yo rekonèt sistèm yo imite ak pou fè pou evite honeypots.

  3. Honeynets (honeypots) gen yon nivo trè ba nan entèraksyon ak entèraksyon ak lòt sistèm sekirite, kòm yon rezilta, lè l sèvi avèk honeypots, li difisil pou jwenn enfòmasyon detaye sou atak ak atakè, ak Se poutèt sa efektivman ak byen vit reponn a ensidan sekirite enfòmasyon. Anplis, espesyalis sekirite enfòmasyon yo resevwa yon gwo kantite alèt fo menas.

  4. Nan kèk ka, entru yo ka itilize yon honeypot konpwomèt kòm yon pwen depa kontinye atake rezo yon òganizasyon.

  5. Souvan gen pwoblèm ak évolutivité nan honeypots, gwo chaj operasyonèl ak konfigirasyon nan sistèm sa yo (yo mande pou espesyalis trè kalifye, pa gen yon koòdone jesyon pratik, elatriye). Gen gwo difikilte nan deplwaye honeypots nan anviwònman espesyalize tankou IoT, POS, sistèm nwaj, elatriye.

2. Desepsyon teknoloji: avantaj ak prensip debaz nan operasyon

Apre nou fin etidye tout avantaj ak dezavantaj yo nan honeypots, nou rive nan konklizyon ke yon apwòch konplètman nouvo pou reponn a ensidan sekirite enfòmasyon yo bezwen yo nan lòd yo devlope yon repons rapid ak adekwat nan aksyon yo nan atakè yo. Ak solisyon sa a se teknoloji. Cyber ​​​​deception (desepsyon sekirite).

Tèminoloji "Cyber ​​​​deception", "Sekirite twonpe", "Teknoloji desepsyon", "Platfòm desepsyon distribiye" (DDP) se relativman nouvo e li te parèt pa twò lontan de sa. An reyalite, tout tèm sa yo vle di itilizasyon "teknoloji twonpe" oswa "teknik pou imite enfrastrikti IT ak mal enfòme atakè yo." Solisyon yo desepsyon ki pi senp yo se devlopman nan lide honeypots, sèlman nan yon nivo ki pi avanse teknolojik, ki enplike plis automatisation nan deteksyon menas ak repons. Sepandan, gen deja serye DDP-klas solisyon sou mache a ki ofri fasilite nan deplwaman ak évolutivité, osi byen ke yon asenal grav nan "pyèj" ak "appâts" pou atakè yo. Pou egzanp, Deception pèmèt ou imite objè enfrastrikti IT tankou baz done, estasyon travay, routè, switch, ATM, sèvè ak SCADA, ekipman medikal ak IoT.

Ki jan Platfòm desepsyon distribiye fonksyone? Apre deplwaman DDP, enfrastrikti IT òganizasyon an pral bati tankou de kouch: premye kouch la se enfrastrikti reyèl konpayi an, ak dezyèm lan se yon anviwònman "imite" ki fòme ak pyèj (angle, dekoy, pyèj). ) ak lures (angle, lures), ki sitiye sou aparèy rezo fizik reyèl (gade figi 4).

Honeypot vs Desepsyon sou egzanp Xello

Pa egzanp, yon atakè ka detekte fo baz done ak "dokiman konfidansyèl", fo kalifikasyon swadizan "itilizatè privilejye yo" - tout bagay sa yo se fo objektif, yo ka enterese entrigan, kidonk detounen atansyon yo soti nan byen enfòmasyon vrè konpayi an (gade Figi 5). .

Honeypot vs Desepsyon sou egzanp Xello

DDP se yon kado nan mache a nan pwodwi sekirite enfòmasyon, solisyon sa yo se sèlman kèk ane fin vye granmoun e byen lwen tèlman sèlman sektè antrepriz la kapab peye yo. Men, SMB yo pral byento kapab tou pwofite Deception lè yo lwe DDP nan men founisè espesyalize kòm yon sèvis. Opsyon sa a se menm pi pratik, paske pa gen okenn nesesite pou pwòp pèsonèl nou trè kalifye.

Avantaj prensipal yo nan teknoloji Deception yo montre anba a:

  • Otantisite (otantisite). Teknoloji desepsyon se kapab repwodui yon anviwònman IT konplètman natif natal nan yon konpayi, kalitatif imite sistèm opere, IoT, POS, sistèm espesyalize (medikal, endistriyèl, elatriye), sèvis, aplikasyon, kalifikasyon, elatriye. Pyèj (decoys) yo ak anpil atansyon melanje nan anviwònman pwodiksyon an, epi yon atakè pa yo pral kapab idantifye yo kòm honeypots.

  • Aplikasyon. DDP yo itilize aprantisaj machin (ML) nan travay yo. Avèk èd ML, yo asire senplisite, fleksibilite nan anviwònman ak efikasite nan aplikasyon Deception. "Pyèj" ak "appâts" yo trè byen vit mete ajou, ki enplike yon atakè nan "fo" enfrastrikti IT nan konpayi an, ak nan entre-temps la, sistèm analiz avanse ki baze sou entèlijans atifisyèl ka detekte aksyon aktif nan entru ak anpeche yo (pa egzanp. , yon tantativ pou jwenn aksè nan Active Directory ki baze sou kont fwod).

  • Fasilite nan operasyon. Modèn "Platfòm Desepsyon distribye" fasil pou kenbe ak jere. Yo anjeneral jere atravè yon konsole lokal oswa nwaj, ak kapasite entegrasyon ak SOC antrepriz la (Sant Operasyon Sekirite) atravè API ak ak anpil kontwòl sekirite ki deja egziste. Antretyen ak operasyon DDP pa mande pou sèvis ekspè sekirite enfòmasyon ki trè kalifye.

  • Évolutivité. Sekirite twonpe ka deplwaye nan anviwònman fizik, vityèl ak nwaj. DDP yo travay tou avèk siksè ak anviwònman espesyalize tankou IoT, ICS, POS, SWIFT, elatriye. Platfòm desepsyon avanse ka pwojte "teknoloji twonpe" nan biwo aleka ak anviwònman izole, san yo pa bezwen deplwaman plis platfòm konplè.

  • Entèraksyon. Sèvi ak dekou efikas ak atire ki baze sou eksplwatasyon reyèl ak malen plase nan mitan enfrastrikti reyèl IT, platfòm Deception kolekte anpil enfòmasyon sou atakè a. Lè sa a, DDP bay alèt menas, rapò yo pwodwi, epi repons otomatik nan ensidan sekirite enfòmasyon yo pran plas.

  • Kòmanse pwen atak. Nan Desepsyon modèn, pyèj ak appâts yo mete andedan ranje rezo a, epi yo pa deyò li (tankou se ka a ak honeypots). Modèl deplwaman pyèj sa a anpeche yon atakè itilize yo kòm yon baz pou atake enfrastrikti IT reyèl yon konpayi. Nan solisyon ki pi avanse nan klas Deception, gen kapasite routage trafik, kidonk, ou ka dirije tout trafik atakè atravè yon koneksyon devwe. Sa a pral pèmèt ou analize aktivite entrigan san yo pa riske byen konpayi ki gen anpil valè.

  • Persuasion nan "teknoloji twonpe". Nan etap inisyal atak la, atakè yo kolekte epi analize done sou enfrastrikti IT la, epi sèvi ak li pou deplase orizontal atravè rezo antrepriz la. Avèk èd nan "teknoloji twonpe," atakè a pral definitivman tonbe nan "pyèj" ki pral mennen l 'ale lwen byen yo reyèl nan òganizasyon an. DDP pral analize chemen potansyèl pou jwenn aksè nan kalifikasyon sou yon rezo antrepriz epi bay atakè a "sib decoy" olye pou yo kalifikasyon reyèl. Kapasite sa yo te manke anpil nan teknoloji honeypot. (Gade Figi 6).

Honeypot vs Desepsyon sou egzanp Xello

Desepsyon VS Honeypot

E finalman, nou rive nan pwen ki pi enteresan nan etid nou an. Nou pral eseye mete aksan sou diferans prensipal ki genyen ant teknoloji desepsyon ak Honeypot. Malgre kèk resanblans, sepandan, de teknoloji sa yo diferan anpil, soti nan lide fondamantal nan efikasite nan travay.

  1. Divès lide debaz. Kòm nou te ekri pi wo a, honeypots yo enstale kòm "decoys" alantou byen konpayi ki gen anpil valè (deyò rezo antrepriz la), konsa ap eseye distrè atakè yo. Teknoloji Honeypot baze sou yon konpreyansyon sou enfrastrikti yon òganizasyon, men honeypots ka vin yon pwen depa pou lanse yon atak sou rezo yon konpayi. Teknoloji desepsyon devlope pran an kont pwen de vi atakè a epi li pèmèt ou idantifye yon atak nan yon etap bonè, kidonk, espesyalis sekirite enfòmasyon yo jwenn yon avantaj enpòtan sou atakè yo ak pran tan.

  2. "Atraksyon" VS "Entanglement". Lè w ap itilize honeypots, siksè depann de atire atansyon atakè yo ak plis motive yo pou yo avanse pou sib la nan honeypot la. Sa vle di ke atakè a toujou gen pou li ale nan honeypot la anvan ou ka sispann l '. Se konsa, prezans nan entrigan sou rezo a ka dire pou plizyè mwa oswa plis, e sa ap mennen nan flit done ak domaj. DDP kalitatif imite reyèl enfrastrikti IT nan konpayi an, objektif aplikasyon yo se pa sèlman atire atansyon a nan yon atakè, men konfonn l 'pou ke li gaspiye tan ak resous, men li pa jwenn aksè nan byen reyèl konpayi an.

  3. "évolutivité limite" VS "évolutivité otomatik". Kòm te note pi bonè, honeypots ak honeynets gen pwoblèm dekale. Li difisil ak chè, epi yo nan lòd yo ogmante kantite honeypots nan yon sistèm antrepriz, ou pral gen ajoute nouvo òdinatè, OS, achte lisans, asiyen IP. Anplis, li nesesè tou pou gen pèsonèl ki kalifye pou jere sistèm sa yo. Platfòm desepsyon yo deplwaye otomatikman kòm echèl enfrastrikti, san yo pa gen gwo tèt yo.

  4. "Gwo kantite fo pozitif" VS "pa gen fo pozitif". Sans nan pwoblèm nan se ke menm yon itilizatè senp ka rankontre yon pot siwo myèl, kidonk "dvèse bò a" nan teknoloji sa a se yon gwo kantite fo pozitif, ki distrè espesyalis sekirite enfòmasyon nan travay. "Baits" ak "pyèj" nan DDP yo ak anpil atansyon kache nan itilizatè an mwayèn epi yo fèt sèlman pou yon atakè, kidonk chak siyal ki soti nan yon sistèm sa a se yon alèt sou yon menas reyèl, epi yo pa yon fo pozitif.

Konklizyon

Dapre nou, teknoloji Deception se yon gwo amelyorasyon sou ansyen teknoloji Honeypots. Nan sans, DDP te vin tounen yon platfòm sekirite konplè ki fasil pou deplwaye ak jere.

Platfòm modèn nan klas sa a jwe yon wòl enpòtan nan deteksyon egzat ak repons efikas nan menas rezo a, ak entegrasyon yo ak lòt eleman nan chemine sekirite a ogmante nivo nan automatisation, ogmante efikasite ak efikasite nan repons ensidan an. Tribin desepsyon yo baze sou otantisite, évolutivité, fasilite nan jesyon ak entegrasyon ak lòt sistèm yo. Tout bagay sa a bay yon avantaj enpòtan nan vitès la nan repons a ensidan sekirite enfòmasyon.

Epitou, baze sou obsèvasyon pentests nan konpayi kote platfòm la Xello Deception te aplike oswa pilote, nou ka tire konklizyon ke menm pentester ki gen eksperyans souvan pa ka rekonèt Garnier nan rezo antrepriz la epi echwe lè yo tonbe nan pyèj yo mete. Reyalite sa a yon lòt fwa ankò konfime efikasite nan Desepsyon ak gwo kandida ki louvri pou teknoloji sa a nan tan kap vini an.

Tès pwodwi

Si w enterese nan platfòm Deception, Lè sa a, nou pare fè tès jwenti yo.

Rete branche pou dènye nouvèl sou chanèl nou yo (TelegramFacebookVKTS solisyon Blog)!

Sous: www.habr.com

Add nouvo kòmantè