Honeypot vs Deception pada contoh Xello

Sudah ada beberapa artikel di Habré tentang teknologi Honeypot dan Deception (Artikel 1, Artikel 2). Namun, kita masih dihadapkan pada kurangnya pemahaman tentang perbedaan antara kelas-kelas alat pelindung diri tersebut. Untuk ini, rekan-rekan kami dari Halo Penipuan (pengembang Rusia pertama Penipuan Platform) memutuskan untuk menjelaskan secara rinci perbedaan, kelebihan dan fitur arsitektur dari solusi ini.

Mari kita cari tahu apa itu “honeypots” dan “penipuan”:

“Teknologi penipuan” muncul di pasar sistem keamanan informasi relatif baru-baru ini. Namun, beberapa ahli masih menganggap Penipuan Keamanan hanyalah honeypot yang lebih canggih.

Pada artikel ini kami akan mencoba menyoroti persamaan dan perbedaan mendasar antara kedua solusi ini. Pada bagian pertama kita akan membahas tentang honeypot, bagaimana teknologi ini berkembang dan apa saja kelebihan dan kekurangannya. Dan di bagian kedua, kita akan membahas secara rinci prinsip-prinsip pengoperasian platform untuk membuat infrastruktur umpan terdistribusi (Bahasa Inggris, Distributed Deception Platform - DDP).

Prinsip dasar yang mendasari honeypots adalah menciptakan jebakan bagi hacker. Solusi Deception pertama dikembangkan dengan prinsip yang sama. Namun DDP modern jauh lebih unggul daripada honeypot, baik dari segi fungsionalitas maupun efisiensi. Platform penipuan meliputi: umpan, jebakan, umpan, aplikasi, data, database, Direktori Aktif. DDP modern dapat memberikan kemampuan canggih untuk deteksi ancaman, analisis serangan, dan otomatisasi respons.

Jadi, Deception adalah teknik untuk mensimulasikan infrastruktur TI suatu perusahaan dan menyesatkan peretas. Hasilnya, platform tersebut memungkinkan untuk menghentikan serangan sebelum menyebabkan kerusakan signifikan pada aset perusahaan. Honeypots, tentu saja, tidak memiliki fungsionalitas yang luas dan tingkat otomatisasi yang demikian, sehingga penggunaannya memerlukan lebih banyak kualifikasi dari karyawan departemen keamanan informasi.

1. Honeypots, Honeynets dan Sandboxing: apa itu dan bagaimana penggunaannya

Istilah "honeypots" pertama kali digunakan pada tahun 1989 dalam buku Clifford Stoll "The Cuckoo's Egg", yang menggambarkan peristiwa pelacakan seorang hacker di Lawrence Berkeley National Laboratory (AS). Ide ini dipraktikkan pada tahun 1999 oleh Lance Spitzner, spesialis keamanan informasi di Sun Microsystems, yang mendirikan proyek penelitian Proyek Honeynet. Honeypot pertama sangat membutuhkan banyak sumber daya, sulit diatur dan dipelihara.

Mari kita lihat lebih dekat apa itu honeypots и jaring madu. Honeypots adalah host individu yang tujuannya adalah untuk menarik penyerang agar menembus jaringan perusahaan dan mencoba mencuri data berharga, serta memperluas area jangkauan jaringan. Honeypot (secara harfiah diterjemahkan sebagai “tong madu”) adalah server khusus dengan serangkaian layanan dan protokol jaringan yang berbeda, seperti HTTP, FTP, dll. (lihat Gambar 1).

Jika Anda menggabungkan beberapa honeypots ke dalam jaringan, maka kita akan mendapatkan sistem yang lebih efisien jaring madu, yang merupakan emulasi jaringan korporat suatu perusahaan (server web, server file, dan komponen jaringan lainnya). Solusi ini memungkinkan Anda memahami strategi penyerang dan menyesatkan mereka. Honeynet pada umumnya beroperasi secara paralel dengan jaringan kerja dan sepenuhnya independen darinya. “Jaringan” semacam itu dapat dipublikasikan di Internet melalui saluran terpisah, rentang alamat IP terpisah juga dapat dialokasikan untuknya (lihat Gambar 2).

Tujuan penggunaan honeynet adalah untuk menunjukkan kepada peretas bahwa ia diduga telah menembus jaringan korporat suatu organisasi; pada kenyataannya, penyerang berada dalam “lingkungan terisolasi” dan di bawah pengawasan ketat spesialis keamanan informasi (lihat Gambar 3).

Di sini kita juga perlu menyebutkan alat seperti “kotak pasir"(Bahasa inggris, bak pasir), yang memungkinkan penyerang memasang dan menjalankan malware di lingkungan terisolasi tempat TI dapat memantau aktivitas mereka untuk mengidentifikasi potensi risiko dan mengambil tindakan pencegahan yang tepat. Saat ini, sandboxing biasanya diterapkan pada mesin virtual khusus pada host virtual. Namun, perlu dicatat bahwa sandbox hanya menunjukkan bagaimana perilaku program berbahaya dan jahat, sementara honeynet membantu spesialis menganalisis perilaku “pemain berbahaya.”

Manfaat nyata dari honeynets adalah dapat menyesatkan penyerang, membuang-buang energi, sumber daya, dan waktu. Akibatnya, alih-alih menargetkan target sebenarnya, mereka malah menyerang target palsu dan berhenti menyerang jaringan tanpa mencapai apa pun. Paling sering, teknologi honeynets digunakan di lembaga pemerintah dan perusahaan besar, organisasi keuangan, karena struktur inilah yang menjadi target serangan dunia maya besar. Namun, usaha kecil dan menengah (UKM) juga memerlukan alat yang efektif untuk mencegah insiden keamanan informasi, namun honeynet di sektor UKM tidak begitu mudah digunakan karena kurangnya personel yang memenuhi syarat untuk melakukan pekerjaan rumit tersebut.

Keterbatasan Solusi Honeypots dan Honeynets

Mengapa honeypots dan honeynets bukan solusi terbaik untuk melawan serangan saat ini? Perlu dicatat bahwa serangan menjadi semakin berskala besar, rumit secara teknis, dan mampu menyebabkan kerusakan serius pada infrastruktur TI suatu organisasi, dan kejahatan dunia maya telah mencapai tingkat yang sangat berbeda dan mewakili struktur bisnis bayangan yang sangat terorganisir dan dilengkapi dengan semua sumber daya yang diperlukan. Ditambah lagi dengan “faktor manusia” (kesalahan dalam pengaturan perangkat lunak dan perangkat keras, tindakan orang dalam, dll.), sehingga hanya menggunakan teknologi untuk mencegah serangan saja tidak lagi cukup saat ini.

Di bawah ini kami mencantumkan keterbatasan dan kekurangan utama honeypots (honeynets):

1. Honeypots awalnya dikembangkan untuk mengidentifikasi ancaman yang berada di luar jaringan perusahaan, lebih dimaksudkan untuk menganalisis perilaku penyerang dan tidak dirancang untuk merespons ancaman dengan cepat.

2. Penyerang, pada umumnya, telah belajar mengenali sistem yang ditiru dan menghindari honeypots.

3. Honeynets (honeypots) memiliki tingkat interaktivitas dan interaksi yang sangat rendah dengan sistem keamanan lainnya, akibatnya, dengan menggunakan honeypots, sulit untuk memperoleh informasi rinci tentang serangan dan penyerang, dan oleh karena itu, merespons insiden keamanan informasi secara efektif dan cepat. . Selain itu, pakar keamanan informasi menerima sejumlah besar peringatan ancaman palsu.

4. Dalam beberapa kasus, peretas mungkin menggunakan honeypot yang telah disusupi sebagai titik awal untuk melanjutkan serangan mereka terhadap jaringan organisasi.

5. Masalah sering muncul dengan skalabilitas honeypot, beban operasional yang tinggi, dan konfigurasi sistem tersebut (membutuhkan spesialis berkualifikasi tinggi, tidak memiliki antarmuka manajemen yang nyaman, dll.). Ada kesulitan besar dalam menerapkan honeypot di lingkungan khusus seperti IoT, POS, sistem cloud, dll.

2. Teknologi penipuan: kelebihan dan prinsip pengoperasian dasar

Setelah mempelajari semua kelebihan dan kekurangan honeypots, kami sampai pada kesimpulan bahwa pendekatan yang benar-benar baru dalam menanggapi insiden keamanan informasi diperlukan untuk mengembangkan respons yang cepat dan memadai terhadap tindakan penyerang. Dan solusi tersebut adalah teknologi Penipuan dunia maya (Penipuan keamanan).

Terminologi “Cyber ​​​​deception”, “Security deception”, “Deception technology”, “Distributed Deception Platform” (DDP) relatif baru dan muncul belum lama ini. Faktanya, semua istilah ini berarti penggunaan “teknologi penipuan” atau “teknik untuk mensimulasikan infrastruktur TI dan disinformasi penyerang.” Solusi Penipuan yang paling sederhana adalah pengembangan dari ide honeypots, hanya pada tingkat yang lebih maju secara teknologi, yang melibatkan otomatisasi deteksi ancaman dan respons yang lebih besar terhadapnya. Namun, sudah terdapat solusi-solusi kelas DDP yang serius di pasaran yang mudah diterapkan dan ditingkatkan skalanya, dan juga memiliki banyak “perangkap” dan “umpan” bagi para penyerang. Misalnya, Deception memungkinkan Anda meniru objek infrastruktur TI seperti database, workstation, router, switch, ATM, server dan SCADA, peralatan medis, dan IoT.

Bagaimana cara kerja Platform Penipuan Terdistribusi? Setelah DDP diterapkan, infrastruktur TI organisasi akan dibangun seolah-olah dari dua lapisan: lapisan pertama adalah infrastruktur perusahaan yang sebenarnya, dan yang kedua adalah lingkungan “yang ditiru” yang terdiri dari umpan dan umpan (umpan), yang berlokasi pada perangkat jaringan fisik nyata (lihat Gambar 4).

Misalnya, penyerang dapat menemukan database palsu dengan “dokumen rahasia”, kredensial palsu dari “pengguna yang memiliki hak istimewa” - semua ini adalah umpan yang dapat menarik perhatian pelanggar, sehingga mengalihkan perhatian mereka dari aset informasi perusahaan yang sebenarnya (lihat Gambar 5).

DDP adalah produk baru di pasar produk keamanan informasi; solusi ini baru berumur beberapa tahun dan sejauh ini hanya sektor korporasi yang mampu membelinya. Namun usaha kecil dan menengah juga akan segera dapat memanfaatkan Deception dengan menyewa DDP dari penyedia khusus “sebagai layanan.” Opsi ini bahkan lebih nyaman, karena tidak memerlukan personel berkualifikasi tinggi.

Keuntungan utama dari teknologi Deception ditunjukkan di bawah ini:

• Keaslian (keaslian). Teknologi penipuan mampu mereproduksi lingkungan TI perusahaan yang sepenuhnya autentik, meniru sistem operasi, IoT, POS, sistem khusus (medis, industri, dll.), layanan, aplikasi, kredensial, dll. Umpan dicampur secara hati-hati dengan lingkungan kerja, dan penyerang tidak akan dapat mengidentifikasinya sebagai honeypots.

• Implementasi. DDP menggunakan pembelajaran mesin (ML) dalam pekerjaannya. Dengan bantuan ML, kesederhanaan, fleksibilitas dalam pengaturan, dan efisiensi penerapan Deception dipastikan. "Perangkap" dan "umpan" diperbarui dengan sangat cepat, memikat penyerang ke dalam infrastruktur TI "palsu" perusahaan, dan sementara itu, sistem analisis canggih berdasarkan kecerdasan buatan dapat mendeteksi tindakan aktif peretas dan mencegahnya (misalnya, serangan). mencoba mengakses akun palsu berbasis Direktori Aktif).

• Kemudahan pengoperasian. Platform Penipuan Terdistribusi Modern mudah dipelihara dan dikelola. Mereka biasanya dikelola melalui konsol lokal atau cloud, dengan kemampuan integrasi dengan SOC (Pusat Operasi Keamanan) perusahaan melalui API dan dengan banyak kontrol keamanan yang ada. Pemeliharaan dan pengoperasian DDP tidak memerlukan jasa pakar keamanan informasi yang berkualifikasi tinggi.

• Skalabilitas. Penipuan keamanan dapat diterapkan di lingkungan fisik, virtual, dan cloud. DDP juga berhasil bekerja dengan lingkungan khusus seperti IoT, ICS, POS, SWIFT, dll. Platform Penipuan Tingkat Lanjut dapat memproyeksikan “teknologi penipuan” ke kantor-kantor terpencil dan lingkungan terisolasi, tanpa memerlukan penerapan platform tambahan secara penuh.

• Interaksi. Menggunakan umpan yang kuat dan menarik yang didasarkan pada sistem operasi nyata dan secara cerdik ditempatkan di antara infrastruktur TI nyata, platform Deception mengumpulkan informasi ekstensif tentang penyerang. DDP kemudian memastikan bahwa peringatan ancaman dikirimkan, laporan dibuat, dan insiden keamanan informasi ditanggapi secara otomatis.

• Titik awal serangan. Dalam Penipuan modern, perangkap dan umpan ditempatkan di dalam jangkauan jaringan, bukan di luarnya (seperti halnya honeypots). Model penerapan umpan ini mencegah penyerang menggunakannya sebagai titik pengaruh untuk menyerang infrastruktur TI perusahaan yang sebenarnya. Solusi kelas Deception yang lebih canggih memiliki kemampuan perutean lalu lintas, sehingga Anda dapat mengarahkan semua lalu lintas penyerang melalui koneksi khusus. Ini akan memungkinkan Anda menganalisis aktivitas penyerang tanpa mempertaruhkan aset berharga perusahaan.

• Persuasif dari “teknologi penipuan”. Pada tahap awal serangan, penyerang mengumpulkan dan menganalisis data tentang infrastruktur TI, kemudian menggunakannya untuk bergerak secara horizontal melalui jaringan perusahaan. Dengan bantuan “teknologi penipuan”, penyerang pasti akan jatuh ke dalam “perangkap” yang akan membawanya menjauh dari aset organisasi yang sebenarnya. DDP akan menganalisis jalur potensial untuk mengakses kredensial di jaringan perusahaan dan memberikan penyerang “target umpan” alih-alih kredensial sebenarnya. Kemampuan ini sangat kurang dalam teknologi honeypot. (Lihat Gambar 6).

Penipuan VS Honeypot

Dan akhirnya, kita sampai pada momen paling menarik dari penelitian kita. Kami akan mencoba menyoroti perbedaan utama antara teknologi Deception dan Honeypot. Meskipun ada beberapa kesamaan, kedua teknologi ini masih sangat berbeda, mulai dari ide dasar hingga efisiensi pengoperasiannya.

1. Ide dasar yang berbeda. Seperti yang kami tulis di atas, honeypot dipasang sebagai “umpan” di sekitar aset perusahaan yang berharga (di luar jaringan perusahaan), sehingga mencoba mengalihkan perhatian penyerang. Teknologi Honeypot didasarkan pada pemahaman tentang infrastruktur suatu organisasi, namun honeypot dapat menjadi titik awal untuk melancarkan serangan terhadap jaringan perusahaan. Teknologi penipuan dikembangkan dengan mempertimbangkan sudut pandang penyerang dan memungkinkan Anda mengidentifikasi serangan pada tahap awal, sehingga spesialis keamanan informasi mendapatkan keuntungan signifikan dibandingkan penyerang dan mendapatkan waktu.

2. "Ketertarikan" VS "Kebingungan". Saat menggunakan honeypot, kesuksesan bergantung pada menarik perhatian penyerang dan selanjutnya memotivasi mereka untuk bergerak menuju target di honeypot. Artinya penyerang masih harus mencapai honeypot sebelum Anda dapat menghentikannya. Dengan demikian, kehadiran penyerang di jaringan dapat bertahan selama beberapa bulan atau lebih, dan hal ini akan mengakibatkan kebocoran dan kerusakan data. DDP secara kualitatif meniru infrastruktur TI nyata suatu perusahaan; tujuan penerapannya bukan hanya untuk menarik perhatian penyerang, namun untuk membingungkannya sehingga ia membuang-buang waktu dan sumber daya, namun tidak mendapatkan akses ke aset nyata perusahaan. perusahaan.

3. “Skalabilitas terbatas” VS “skalabilitas otomatis”. Seperti disebutkan sebelumnya, honeypots dan honeynets memiliki masalah penskalaan. Hal ini sulit dan mahal, dan untuk meningkatkan jumlah honeypots dalam sistem perusahaan, Anda harus menambahkan komputer baru, OS, membeli lisensi, dan mengalokasikan IP. Selain itu, diperlukan juga personel yang berkualifikasi untuk mengelola sistem tersebut. Platform penipuan otomatis diterapkan seiring skala infrastruktur Anda, tanpa overhead yang signifikan.

4. “Sejumlah besar positif palsu” VS “tidak ada positif palsu”. Inti masalahnya adalah bahkan pengguna biasa pun dapat menemukan honeypot, sehingga “kelemahan” dari teknologi ini adalah banyaknya kesalahan positif, yang mengalihkan perhatian spesialis keamanan informasi dari pekerjaan mereka. “Umpan” dan “perangkap” di DDP disembunyikan dengan hati-hati dari rata-rata pengguna dan dirancang hanya untuk penyerang, sehingga setiap sinyal dari sistem tersebut adalah pemberitahuan tentang ancaman nyata, dan bukan sinyal positif palsu.

Kesimpulan

Menurut pendapat kami, teknologi Deception merupakan kemajuan besar dibandingkan teknologi Honeypots yang lebih lama. Intinya, DDP telah menjadi platform keamanan komprehensif yang mudah diterapkan dan dikelola.

Platform modern kelas ini memainkan peran penting dalam mendeteksi secara akurat dan merespons ancaman jaringan secara efektif, dan integrasinya dengan komponen tumpukan keamanan lainnya meningkatkan tingkat otomatisasi, meningkatkan efisiensi dan efektivitas respons insiden. Platform penipuan didasarkan pada keaslian, skalabilitas, kemudahan pengelolaan, dan integrasi dengan sistem lain. Semua ini memberikan keuntungan signifikan dalam kecepatan respons terhadap insiden keamanan informasi.

Selain itu, berdasarkan pengamatan pengujian pentest di perusahaan tempat platform Xello Deception diimplementasikan atau diujicobakan, kita dapat menarik kesimpulan bahwa bahkan pentester berpengalaman pun sering kali tidak dapat mengenali umpan di jaringan perusahaan dan gagal ketika mereka terjebak dalam perangkap yang dipasang. Fakta ini sekali lagi menegaskan keefektifan Deception dan prospek besar yang terbuka bagi teknologi ini di masa depan.

Pengujian produk

Jika Anda tertarik dengan platform Deception, maka kami siap melakukan pengujian bersama.

Nantikan pembaruan di saluran kami (Telegram, Facebook, VK, Blog Solusi TS)!

Sumber: www.habr.com