Honeypot vs Deception Xello példaként

Habrén már több cikk is megjelent a Honeypot és Deception technológiákról (1 cikk, 2 cikk). Mindazonáltal még mindig nem értjük a védőfelszerelések ezen osztályai közötti különbséget. Ehhez kollégáink a Hello Deception (első orosz fejlesztő Platform megtévesztés) úgy döntött, hogy részletesen ismerteti e megoldások különbségeit, előnyeit és építészeti jellemzőit.

Nézzük meg, mik a „mézesedények” és „megtévesztések”:

A „megtévesztési technológiák” viszonylag nemrég jelentek meg az információbiztonsági rendszerek piacán. Egyes szakértők azonban továbbra is úgy vélik, hogy a Security Deception csak fejlettebb mézesedény.

Ebben a cikkben megpróbáljuk kiemelni a két megoldás közötti hasonlóságokat és alapvető különbségeket. Az első részben a honeypotról lesz szó, arról, hogyan fejlődött ez a technológia, mik az előnyei és hátrányai. A második részben pedig részletesen foglalkozunk a csalétek elosztott infrastruktúrájának létrehozására szolgáló platformok működési elveivel (angolul, Distributed Deception Platform - DDP).

A honeypotok alapelve az, hogy csapdákat készítsenek a hackerek számára. A legelső Deception megoldásokat ugyanezen az elven fejlesztették ki. De a modern DDP-k jelentősen felülmúlják a honeypotokat, mind funkcionalitásban, mind hatékonyságban. A megtévesztő platformok közé tartoznak a csalik, csapdák, csalik, alkalmazások, adatok, adatbázisok, Active Directory. A modern DDP-k nagy teljesítményű fenyegetésészlelési, támadáselemzési és válaszautomatizálási képességeket biztosíthatnak.

Így a Deception egy olyan technika, amellyel szimulálják a vállalat IT-infrastruktúráját és félrevezetik a hackereket. Ennek eredményeként az ilyen platformok lehetővé teszik a támadások leállítását, mielőtt jelentős kárt okoznának a vállalat vagyonában. A Honeypotok természetesen nem rendelkeznek ilyen széles körű funkcionalitással és ilyen szintű automatizálással, ezért használatuk nagyobb képzettséget igényel az információbiztonsági osztályok munkatársaitól.

1. Honeypots, Honeynets és Sandboxing: mik ezek és hogyan használják őket

A "mézesedény" kifejezést először 1989-ben használták Clifford Stoll "The Cuckoo's Egg" című könyvében, amely leírja a Lawrence Berkeley National Laboratory (USA) hacker felkutatásának eseményeit. Ezt az ötletet 1999-ben ültette át a gyakorlatba Lance Spitzner, a Sun Microsystems információbiztonsági szakértője, aki megalapította a Honeynet Project kutatási projektet. Az első mézesedények nagyon erőforrásigényesek voltak, nehézkes volt felállítani és karbantartani.

Nézzük meg közelebbről, mi az honeypotokkal и mézeshálók. A Honeypotok olyan egyéni gazdagépek, amelyek célja, hogy rávegyék a támadókat, hogy behatoljanak egy vállalat hálózatába, és megpróbáljanak értékes adatokat lopni, valamint bővítsék a hálózat lefedettségi területét. A Honeypot (szó szerint "mézhordóként" fordítva) egy speciális szerver különféle hálózati szolgáltatásokkal és protokollokkal, például HTTP, FTP stb. (lásd 1. ábra).

Ha többet kombinálsz honeypotokkal hálózatba, akkor hatékonyabb rendszert kapunk mézesháló, amely egy vállalat vállalati hálózatának (webszerver, fájlszerver és egyéb hálózati összetevők) emulációja. Ez a megoldás lehetővé teszi a támadók stratégiájának megértését és félrevezetését. Egy tipikus honeynet rendszerint párhuzamosan működik a munkahálózattal, és teljesen független attól. Egy ilyen „hálózat” külön csatornán keresztül publikálható az Interneten, külön IP-címtartomány is kijelölhető számára (lásd 2. ábra).

A honeynet használatának lényege, hogy megmutassuk a hackernek, hogy állítólag behatolt a szervezet vállalati hálózatába, valójában a támadó „elszigetelt környezetben” és az információbiztonsági szakemberek szigorú felügyelete alatt van (lásd 3. ábra).

Itt meg kell említenünk egy olyan eszközt is, mint a „sandbox"(Angol, sandbox), amely lehetővé teszi a támadók számára, hogy rosszindulatú programokat telepítsenek és futtassák egy elszigetelt környezetben, ahol az IT figyelemmel kísérheti tevékenységeiket a lehetséges kockázatok azonosítása és a megfelelő ellenintézkedések megtétele érdekében. Jelenleg a sandbox-kezelést jellemzően dedikált virtuális gépeken valósítják meg egy virtuális gazdagépen. Azonban meg kell jegyezni, hogy a sandboxing csak azt mutatja meg, hogyan viselkednek a veszélyes és rosszindulatú programok, míg a honeynet segít a szakembernek elemezni a „veszélyes játékosok” viselkedését.

A honeynetek nyilvánvaló előnye, hogy félrevezetik a támadókat, ezzel energiájukat, erőforrásaikat és idejüket pazarolják. Ennek eredményeként a valódi célpontok helyett hamis célpontokat támadnak, és leállíthatják a hálózat támadását anélkül, hogy bármit is elérnének. A honeynets technológiákat leggyakrabban kormányzati szervek és nagyvállalatok, pénzügyi szervezetek használják, mivel ezek azok a struktúrák, amelyek nagy kibertámadások célpontjai. A kis- és középvállalkozásoknak (kkv-k) azonban hatékony eszközökre is szükségük van az információbiztonsági incidensek megelőzésére, de az kkv-szektorban a honeyneteket nem olyan egyszerű használni, mert az ilyen összetett munkákra képzett munkaerő hiányzik.

A Honeypots és Honeynets megoldások korlátai

Miért nem a mézesedények és a mézeshálók a legjobb megoldások manapság a támadások ellen? Megjegyzendő, hogy a támadások egyre nagyobb léptékűek, technikailag összetettebbek és komoly károkat okozhatnak a szervezet informatikai infrastruktúrájában, a kiberbűnözés pedig egészen más szintre lépett, és magasan szervezett, minden szükséges erőforrással felszerelt árnyék üzleti struktúrákat képvisel. Ehhez még hozzá kell adni az „emberi tényezőt” (szoftver- és hardverbeállítási hibák, bennfentesek cselekedetei stb.), így a támadások megelőzésére csak technológia alkalmazása jelenleg már nem elegendő.

Az alábbiakban felsoroljuk a mézesedények (mézesedények) fő korlátait és hátrányait:

1. A Honeypotokat eredetileg a vállalati hálózaton kívüli fenyegetések azonosítására fejlesztették ki, inkább a támadók viselkedésének elemzésére szolgálnak, és nem a fenyegetésekre való gyors reagálásra.

2. A támadók általában már megtanulták felismerni az emulált rendszereket és elkerülni a mézesedényeket.

3. A Honeynet-ek (honeypotok) rendkívül alacsony szintű interaktivitást és interakciót mutatnak más biztonsági rendszerekkel, ami miatt a honeypotok használatával nehéz részletes információkat szerezni a támadásokról és támadókról, így az információbiztonsági incidensekre hatékonyan és gyorsan reagálni. . Ezen túlmenően az információbiztonsági szakemberek nagyszámú hamis fenyegetési riasztást kapnak.

4. Egyes esetekben a hackerek egy kompromittált honeypotot használhatnak kiindulási pontként a szervezet hálózata elleni támadás folytatásához.

5. Gyakran adódnak problémák a honeypotok méretezhetőségével, nagy üzemi terhelésével és az ilyen rendszerek konfigurációjával (magasan képzett szakembereket igényelnek, nincs kényelmes kezelőfelületük stb.). Nagy nehézségekbe ütközik a honeypotok speciális környezetekben történő telepítése, mint például az IoT, POS, felhőrendszerek stb.

2. Megtévesztés technológia: előnyei és alapvető működési elvek

A honeypotok összes előnyének és hátrányának tanulmányozása után arra a következtetésre jutottunk, hogy az információbiztonsági incidensekre való reagálásban teljesen új megközelítésre van szükség ahhoz, hogy gyors és megfelelő választ adjunk a támadók akcióira. Ilyen megoldás pedig a technológia Kibercsalás (biztonsági megtévesztés).

A „Kibermegtévesztés”, „Biztonsági megtévesztés”, „Megtévesztési technológia”, „Distributed Deception Platform” (DDP) terminológia viszonylag új, és nem is olyan régen jelent meg. Valójában ezek a kifejezések „megtévesztő technológiák” vagy „informatikai infrastruktúra szimulálására és a támadók félretájékoztatására szolgáló technikák” használatát jelentik. A legegyszerűbb Deception megoldások a honeypots ötletek továbbfejlesztései, csak technológiailag fejlettebb szinten, ami a fenyegetésészlelés és az azokra való reagálás nagyobb automatizálását jelenti. Vannak azonban már komoly DDP-osztályú megoldások a piacon, amelyek könnyen telepíthetők és méretezhetők, emellett komoly „csapdák” és „csali” arzenálja van a támadók számára. Például a Deception lehetővé teszi az IT infrastruktúra objektumok, például adatbázisok, munkaállomások, útválasztók, kapcsolók, ATM-ek, szerverek és SCADA, orvosi berendezések és IoT emulálását.

Hogyan működik a Distributed Deception Platform? A DDP bevezetése után a szervezet informatikai infrastruktúrája úgy épül fel, mintha két rétegből épülne fel: az első réteg a vállalat valós infrastruktúrája, a második pedig egy csaliból és csalikból álló „emulált” környezet. csalik), amelyek elhelyezkednek. valós fizikai hálózati eszközökön (lásd 4. ábra).

Például egy támadó felfedezhet hamis adatbázisokat „bizalmas dokumentumokkal”, állítólagos „kiváltságos felhasználók” hamis hitelesítő adataival – mindezek csalók, amelyek felkelthetik a jogsértők érdeklődését, ezáltal elterelhetik a figyelmüket a vállalat valódi információs eszközeiről (lásd 5. ábra).

A DDP új termék az információbiztonsági termékek piacán, ezek a megoldások csak néhány évesek, és egyelőre csak a vállalati szektor engedheti meg magának. De hamarosan a kis- és középvállalkozások is kihasználhatják a Deception előnyeit, ha „szolgáltatásként” bérelnek DDP-t speciális szolgáltatóktól. Ez a lehetőség még kényelmesebb, mivel nincs szükség saját magasan képzett személyzetre.

A Deception technológia fő előnyei az alábbiak:

• Eredetiség (autenticitás). A megtévesztő technológia képes reprodukálni egy cég teljesen hiteles informatikai környezetét, minőségileg emulálva az operációs rendszereket, IoT-t, POS-t, speciális rendszereket (orvosi, ipari stb.), szolgáltatásokat, alkalmazásokat, hitelesítő adatokat stb. A csalikat gondosan keverik a munkakörnyezetbe, és a támadó nem fogja tudni azonosítani őket mézesedényként.

• bevezetése. A DDP-k a gépi tanulást (ML) használják munkájuk során. Az ML segítségével biztosított az egyszerűség, a beállítások rugalmassága és a Deception megvalósításának hatékonysága. A „csapdák” és a „mézesedények” nagyon gyorsan frissülnek, becsalogatva a támadót a cég „hamis” informatikai infrastruktúrájába, eközben pedig a mesterséges intelligenciára épülő fejlett elemzőrendszerek képesek észlelni a hackerek aktív akcióit és megakadályozni azokat (pl. megpróbál hozzáférni az Active Directory alapú csaló fiókokhoz).

• Könnyű működés. A modern elosztott megtévesztési platformok könnyen karbantarthatók és kezelhetők. Általában helyi vagy felhőkonzolon keresztül kezelik őket, integrálási lehetőségekkel a vállalati SOC-val (Security Operations Center) API-n keresztül, és számos meglévő biztonsági vezérlővel. A DDP karbantartása és működtetése nem igényli magasan képzett információbiztonsági szakértők szolgáltatásait.

• Méretezhetőség. A biztonsági megtévesztés fizikai, virtuális és felhőkörnyezetben is bevethető. A DDP-k sikeresen működnek olyan speciális környezetekkel is, mint az IoT, ICS, POS, SWIFT stb. Az Advanced Deception platformok képesek „megtévesztési technológiákat” távoli irodákba és elszigetelt környezetekbe vetíteni anélkül, hogy további teljes platform telepítésre lenne szükség.

• Kölcsönhatás. Valódi operációs rendszereken alapuló és a valódi IT-infrastruktúra között okosan elhelyezett hatékony és vonzó csalikkal a Deception platform kiterjedt információkat gyűjt a támadóról. A DDP ezután gondoskodik a veszélyriasztások továbbításáról, a jelentések generálásáról és az információbiztonsági incidensek automatikus reagálásáról.

• A támadás kezdőpontja. A modern Deception-ben a csapdákat és a csalikat a hálózat hatókörén belül helyezik el, nem pedig azon kívül (mint az a mézesedények esetében). Ez a csaló üzembe helyezési modell megakadályozza, hogy a támadók a vállalat valódi informatikai infrastruktúráját támadják meg. A Deception osztály fejlettebb megoldásai forgalomirányítási képességekkel rendelkeznek, így az összes támadó forgalmat egy speciálisan dedikált kapcsolaton keresztül irányíthatja. Ez lehetővé teszi a támadók tevékenységének elemzését anélkül, hogy kockáztatná az értékes vállalati eszközöket.

• A „megtévesztő technológiák” meggyőző ereje. A támadás kezdeti szakaszában a támadók adatokat gyűjtenek és elemzik az informatikai infrastruktúráról, majd ezek segítségével vízszintesen mozognak a vállalati hálózaton. A „megtévesztési technológiák” segítségével a támadó minden bizonnyal olyan „csapdákba” esik, amelyek elvezetik a szervezet valódi eszközeitől. A DDP elemzi a hitelesítő adatokhoz való hozzáférés lehetséges útvonalait a vállalati hálózaton, és valódi hitelesítő adatok helyett „csalogató célpontokat” biztosít a támadónak. Ezek a képességek nagyon hiányoztak a honeypot technológiákból. (Lásd a 6. ábrát).

Megtévesztés VS Honeypot

És végül elérkeztünk kutatásunk legérdekesebb pillanatához. Megpróbáljuk rávilágítani a Deception és a Honeypot technológiák közötti főbb különbségekre. Néhány hasonlóság ellenére ez a két technológia még mindig nagyon különbözik az alapötlettől a működési hatékonyságig.

1. Különböző alapötletek. Ahogy fentebb írtuk, a honeypots-okat „csaliként” telepítik az értékes vállalati eszközök köré (a vállalati hálózaton kívül), így próbálják elterelni a támadók figyelmét. A Honeypot technológia a szervezet infrastruktúrájának megismerésén alapul, de a honeypotok kiindulóponttá válhatnak a vállalati hálózat elleni támadások indításához. A megtévesztés technológiáját a támadó nézőpontjának figyelembevételével fejlesztették ki, és lehetővé teszi a támadás korai szakaszban történő azonosítását, így az információbiztonsági szakemberek jelentős előnyre tesznek szert a támadókkal szemben, és időt nyernek.

2. "Attrakció" VS "zavarodottság". A mézesedények használatakor a siker azon múlik, hogy felhívják-e a támadók figyelmét, és tovább motiválják-e őket, hogy a mézesedényben lévő célpont felé mozduljanak. Ez azt jelenti, hogy a támadónak el kell érnie a mézesedényt, mielőtt megállíthatná. Így a támadók jelenléte a hálózaton több hónapig vagy tovább is eltarthat, és ez adatszivárgáshoz és -károsodáshoz vezethet. A DDP-k minőségileg utánozzák a vállalat valós informatikai infrastruktúráját, megvalósításuk célja nem csupán a támadó figyelmének felkeltése, hanem összezavarása, hogy időt és erőforrásokat pazaroljon, de ne juthasson hozzá a támadó valódi eszközeihez. vállalat.

3. „Korlátozott skálázhatóság” VS „automatikus méretezhetőség”. Amint azt korábban említettük, a mézesedényeknek és mézeshálóknak méretezési problémái vannak. Ez nehéz és költséges, és ahhoz, hogy növelje a honeypotok számát egy vállalati rendszerben, új számítógépeket, operációs rendszert kell hozzáadnia, licenceket kell vásárolnia, és ki kell osztania az IP-t. Ezenkívül az ilyen rendszerek kezeléséhez szakképzett személyzetre is szükség van. A megtévesztő platformok automatikusan beépülnek az infrastruktúra bővítésekor, jelentős többletköltség nélkül.

4. „Nagyszámú téves pozitív” VS „nincs téves pozitív”. A probléma lényege, hogy egy egyszerű felhasználó is találkozhat mézesmadzaggal, így ennek a technológiának a „hátránya” a nagyszámú téves pozitívum, ami elvonja az információbiztonsági szakemberek figyelmét a munkájukról. A DDP-ben található „csalik” és „csapdák” gondosan el vannak rejtve az átlagfelhasználók elől, és csak a támadók számára készültek, így egy ilyen rendszerből származó minden jel egy valódi fenyegetés értesítése, nem pedig hamis pozitív üzenet.

Következtetés

Véleményünk szerint a Deception technológia hatalmas előrelépés a régebbi Honeypots technológiához képest. Lényegében a DDP egy átfogó biztonsági platformmá vált, amely könnyen telepíthető és kezelhető.

Az ebbe az osztályba tartozó modern platformok fontos szerepet játszanak a hálózati fenyegetések pontos észlelésében és hatékony reagálásában, és a biztonsági verem más összetevőivel való integrációjuk növeli az automatizálás szintjét, növeli az incidensekre adott válaszok hatékonyságát és eredményességét. A megtévesztő platformok a hitelességen, a méretezhetőségen, a könnyű kezelhetőségen és más rendszerekkel való integráción alapulnak. Mindez jelentős előnyt jelent az információbiztonsági incidensekre való reagálás sebességében.

A Xello Deception platformot bevezetett vagy kipróbált cégek pentesztjei alapján is arra a következtetésre juthatunk, hogy még a tapasztalt pentesztelők sem tudják gyakran felismerni a csalit a vállalati hálózatban, és kudarcot vallanak, amikor beleesnek a felállított csapdákba. Ez a tény ismét megerősíti a Deception hatékonyságát és azokat a nagyszerű kilátásokat, amelyek a jövőben nyílnak meg e technológia előtt.

Terméktesztelés

Ha érdekli a Deception platform, akkor készen állunk közös vizsgálatot végezni.

Kísérje figyelemmel csatornáinkon megjelenő újdonságokat (Telegram, Facebook, VK, TS Solution Blog)!

Forrás: will.com