ProHoster > Blog > Stjórnsýsla > Honeypot vs Deception með Xello sem dæmi

Honeypot vs Deception með Xello sem dæmi

Honeypot vs Deception með Xello sem dæmi

Það eru nú þegar nokkrar greinar á Habré um Honeypot og Deception tækni (1 grein, 2 grein). Hins vegar stöndum við enn frammi fyrir skorti á skilningi á muninum á þessum flokkum hlífðarbúnaðar. Fyrir þetta, samstarfsmenn okkar frá Halló Deception (fyrsti rússneski verktaki Platform blekking) ákvað að lýsa í smáatriðum muninum, kostum og byggingareinkennum þessara lausna.

Við skulum reikna út hvað „hunangspottar“ og „blekkingar“ eru:

„Blekkingartækni“ birtist á markaðnum fyrir upplýsingaöryggiskerfa tiltölulega nýlega. Hins vegar telja sumir sérfræðingar enn að öryggisblekking séu bara fullkomnari hunangspottar.

Í þessari grein munum við reyna að draga fram bæði líkindi og grundvallarmun á þessum tveimur lausnum. Í fyrsta hluta verður fjallað um honeypot, hvernig þessi tækni þróaðist og hverjir eru kostir og gallar hennar. Og í seinni hlutanum munum við dvelja í smáatriðum um meginreglur um notkun kerfa til að búa til dreifða innviði tálbeita (enska, dreifður blekkingarvettvangur - DDP).

Grunnreglan sem liggur að baki hunangspottum er að búa til gildrur fyrir tölvuþrjóta. Fyrstu blekkingarlausnirnar voru þróaðar á sömu reglu. En nútíma DDP eru verulega betri en hunangspottar, bæði hvað varðar virkni og skilvirkni. Blekkingarvettvangar innihalda: tálbeitur, gildrur, tálbeitur, forrit, gögn, gagnagrunna, Active Directory. Nútíma DDP getur veitt öfluga getu til að greina ógn, greiningu á árásum og sjálfvirkni viðbragða.

Þannig er blekking tækni til að líkja eftir upplýsingatækniinnviðum fyrirtækis og villandi tölvuþrjóta. Þess vegna gera slíkir vettvangar mögulegt að stöðva árásir áður en þær valda verulegu tjóni á eignum fyrirtækisins. Hunangspottar eru auðvitað ekki með svo víðtæka virkni og slíka sjálfvirkni, þannig að notkun þeirra krefst meiri hæfni starfsmanna upplýsingaöryggisdeilda.

1. Honeypots, Honeynets and Sandboxing: hvað þeir eru og hvernig þeir eru notaðir

Hugtakið "hunangspottar" var fyrst notað árið 1989 í bók Clifford Stoll "The Cuckoo's Egg", sem lýsir atburðum við að hafa uppi á tölvuþrjóta á Lawrence Berkeley National Laboratory (Bandaríkjunum). Þessi hugmynd var hrint í framkvæmd árið 1999 af Lance Spitzner, upplýsingaöryggissérfræðingi hjá Sun Microsystems, sem stofnaði Honeynet Project rannsóknarverkefnið. Fyrstu hunangspottarnir voru mjög auðlindafrekir, erfiðir í uppsetningu og viðhaldi.

Við skulum skoða nánar hvað það er honeypots и honeynets. Honeypots eru einstakir gestgjafar sem hafa það að markmiði að laða að árásarmenn til að komast inn í net fyrirtækis og reyna að stela dýrmætum gögnum, auk þess að stækka útbreiðslusvæði netsins. Honeypot (bókstaflega þýtt sem „tunna af hunangi“) er sérstakur netþjónn með ýmsum netþjónustum og samskiptareglum, svo sem HTTP, FTP, osfrv. (sjá mynd 1).

Honeypot vs Deception með Xello sem dæmi

Ef þú sameinar nokkra honeypots inn á netið, þá fáum við skilvirkara kerfi hunangsnet, sem er eftirlíking af fyrirtækjaneti fyrirtækis (vefþjónn, skráarþjónn og aðrir nethlutar). Þessi lausn gerir þér kleift að skilja stefnu árásarmanna og villa um fyrir þeim. Dæmigerð hunangsnet starfar að jafnaði samhliða vinnunetinu og er algjörlega óháð því. Slíkt „net“ er hægt að birta á netinu í gegnum sérstaka rás, einnig er hægt að úthluta sérstakt úrval af IP-tölum fyrir það (sjá mynd 2).

Honeypot vs Deception með Xello sem dæmi

Tilgangurinn með því að nota honeynet er að sýna tölvuþrjótanum að hann hafi talið sig hafa komist inn í fyrirtækjanet stofnunarinnar, í raun er árásarmaðurinn í „einangruðu umhverfi“ og undir nánu eftirliti upplýsingaöryggissérfræðinga (sjá mynd 3).

Honeypot vs Deception með Xello sem dæmi

Hér þurfum við líka að nefna tæki eins og "sandkassi"(Enska, sandkassi), sem gerir árásarmönnum kleift að setja upp og keyra spilliforrit í einangruðu umhverfi þar sem upplýsingatækni getur fylgst með starfsemi þeirra til að bera kennsl á hugsanlega áhættu og grípa til viðeigandi mótvægisaðgerða. Eins og er, er sandkassa venjulega útfært á sérstökum sýndarvélum á sýndarhýsil. Hins vegar skal tekið fram að sandbox sýnir aðeins hvernig hættuleg og illgjarn forrit hegða sér, á meðan honeynet hjálpar sérfræðingi að greina hegðun „hættulegra leikmanna.

Augljósi ávinningurinn af honeynets er að þeir afvegaleiða árásarmenn, sóa orku þeirra, fjármagni og tíma. Þess vegna ráðast þeir á fölsk skotmörk í stað raunverulegra skotmarka og geta hætt að ráðast á netið án þess að afreka neitt. Oftast er honeynet tækni notuð í ríkisstofnunum og stórfyrirtækjum, fjármálastofnunum, þar sem þetta eru mannvirkin sem reynast vera skotmörk fyrir stórar netárásir. Hins vegar þurfa lítil og meðalstór fyrirtæki (SMB) einnig skilvirk tæki til að koma í veg fyrir upplýsingaöryggisatvik, en honeynets í SMB-geiranum eru ekki svo auðveld í notkun vegna skorts á hæfu starfsfólki í svo flókið starf.

Takmarkanir á Honeypots og Honeynets lausnum

Af hverju eru hunangspottar og hunangsnet ekki bestu lausnirnar til að vinna gegn árásum í dag? Það skal tekið fram að árásir verða sífellt umfangsmeiri, tæknilega flóknari og geta valdið alvarlegum skaða á upplýsingatækniinnviðum stofnunarinnar, og netglæpir hafa náð allt öðru stigi og táknar mjög skipulögð skuggaviðskiptaskipulag sem er búið öllum nauðsynlegum úrræðum. Við þetta þarf að bæta „mannlega þættinum“ (villur í stillingum hugbúnaðar og vélbúnaðar, aðgerðir innherja o.s.frv.), þannig að það er ekki lengur nóg að nota tækni til að koma í veg fyrir árásir í augnablikinu.

Hér að neðan listum við helstu takmarkanir og galla hunangspotta (honeynets):

  1. Honeypots voru upphaflega þróaðir til að bera kennsl á ógnir sem eru utan fyrirtækjanetsins, eru frekar ætlaðar til að greina hegðun árásarmanna og eru ekki hönnuð til að bregðast hratt við ógnum.

  2. Árásarmenn hafa að jafnaði þegar lært að þekkja eftirlíkingarkerfi og forðast hunangspotta.

  3. Hunangsnet (honeypots) hafa afar litla gagnvirkni og samskipti við önnur öryggiskerfi, sem veldur því að með því að nota honeypots er erfitt að fá nákvæmar upplýsingar um árásir og árásarmenn og þar af leiðandi að bregðast skilvirkt og fljótt við upplýsingaöryggisatvikum. . Þar að auki fá upplýsingaöryggissérfræðingar fjöldann allan af fölskum hættutilkynningum.

  4. Í sumum tilfellum geta tölvuþrjótar notað hunangspott í hættu sem upphafspunkt til að halda áfram árás sinni á net stofnunarinnar.

  5. Vandamál koma oft upp með sveigjanleika hunangspotta, mikið rekstrarálag og uppsetningu slíkra kerfa (þau þurfa mjög hæfa sérfræðinga, hafa ekki þægilegt stjórnunarviðmót osfrv.). Það eru miklir erfiðleikar við að dreifa honeypots í sérhæfðu umhverfi eins og IoT, POS, skýjakerfi o.s.frv.

2. Blekkingartækni: kostir og helstu rekstrarreglur

Eftir að hafa rannsakað alla kosti og galla honeypots komumst við að þeirri niðurstöðu að algjörlega nýja nálgun til að bregðast við upplýsingaöryggisatvikum sé þörf til að þróa skjót og fullnægjandi viðbrögð við aðgerðum árásarmanna. Og slík lausn er tækni Netblekking (öryggisblekking).

Hugtökin „Netblekking“, „Öryggisblekking“, „Blekkingartækni“, „Dreift blekkingarvettvangur“ (DDP) er tiltölulega nýtt og birtist fyrir ekki svo löngu síðan. Reyndar þýða öll þessi hugtök notkun „blekkingartækni“ eða „tækni til að líkja eftir upplýsingatækniinnviðum og rangfærslum árásarmanna. Einfaldustu blekkingarlausnirnar eru þróun hugmynda um hunangspotta, aðeins á tæknivæddara stigi, sem felur í sér meiri sjálfvirkni í ógngreiningu og viðbrögðum við þeim. Hins vegar eru nú þegar alvarlegar DDP-flokkslausnir á markaðnum sem auðvelt er að dreifa og stækka, og hafa einnig alvarlegt vopnabúr af „gildrum“ og „beitu“ fyrir árásarmenn. Til dæmis, Deception gerir þér kleift að líkja eftir hlutum upplýsingatækniinnviða eins og gagnagrunna, vinnustöðvar, beina, rofa, hraðbanka, netþjóna og SCADA, lækningatæki og IoT.

Hvernig virkar dreifður blekkingarvettvangur? Eftir að DDP hefur verið sett á laggirnar verða upplýsingatækniinnviðir stofnunarinnar byggðir upp eins og úr tveimur lögum: fyrra lagið eru raunverulegir innviðir fyrirtækisins og hið síðara er „eftirlíka“ umhverfi sem samanstendur af tálbeitum og beitu, sem eru staðsettir. á raunverulegum nettækjum (sjá mynd 4).

Honeypot vs Deception með Xello sem dæmi

Til dæmis getur árásarmaður uppgötvað ranga gagnagrunna með „trúnaðarskjölum“, fölsuðum skilríkjum sem talið er að „forréttindanotendur“ - allt eru þetta tálbeitur sem geta vakið áhuga brotamanna og þannig beina athygli þeirra frá raunverulegum upplýsingaeignum fyrirtækisins (sjá mynd 5).

Honeypot vs Deception með Xello sem dæmi

DDP er ný vara á upplýsingaöryggisvörumarkaði; þessar lausnir eru aðeins nokkurra ára gamlar og enn sem komið er hefur aðeins fyrirtækin efni á þeim. En lítil og meðalstór fyrirtæki munu fljótlega einnig geta nýtt sér blekkingar með því að leigja DDP frá sérhæfðum veitendum „sem þjónustu“. Þessi valkostur er enn þægilegri þar sem engin þörf er á þínu eigin mjög hæfu starfsfólki.

Helstu kostir blekkingartækni eru sýndir hér að neðan:

  • Áreiðanleiki (áreiðanleiki). Blekkingartækni er fær um að endurskapa algjörlega ekta upplýsingatækniumhverfi fyrirtækis, líkja eigindlega eftir stýrikerfum, IoT, POS, sérhæfðum kerfum (læknisfræði, iðnaðar o.s.frv.), þjónustu, forritum, skilríkjum o.s.frv. Tálbeiningum er vandlega blandað við vinnuumhverfið og árásarmaður mun ekki geta skilgreint þær sem hunangspotta.

  • Framkvæmd. DDPs nota vélanám (ML) í starfi sínu. Með hjálp ML er einfaldleiki, sveigjanleiki í stillingum og skilvirkni við innleiðingu blekkingar tryggður. „gildrur“ og „tálbeinir“ eru uppfærðar mjög fljótt og lokka árásarmann inn í „falska“ upplýsingatækniinnviði fyrirtækisins, og á meðan geta háþróuð greiningarkerfi byggð á gervigreind greint virkar aðgerðir tölvuþrjóta og komið í veg fyrir þær (td tilraun til að fá aðgang að Active Directory byggðum svikareikningum).

  • Auðvelt í rekstri. Nútíma dreifðir blekkingarpallar eru auðveldir í viðhaldi og stjórnun. Þeim er venjulega stjórnað með staðbundinni eða skýjatölvu, með samþættingargetu við SOC fyrirtækja (Security Operations Center) í gegnum API og með mörgum núverandi öryggisstýringum. Viðhald og rekstur DDP krefst ekki þjónustu mjög hæfra upplýsingaöryggissérfræðinga.

  • Stærð. Hægt er að beita öryggisblekkingum í líkamlegu, sýndar- og skýjaumhverfi. DDP vinnur einnig með góðum árangri með sérhæfðu umhverfi eins og IoT, ICS, POS, SWIFT o.s.frv. Háþróaðir blekkingarpallar geta varpað „blekkingartækni“ inn á afskekktar skrifstofur og einangruð umhverfi, án þess að þörf sé á frekari uppsetningu á vettvangi.

  • Samskipti. Með því að nota öflugar og aðlaðandi tálbeitur sem eru byggðar á raunverulegum stýrikerfum og snjallt staðsettar meðal raunverulegra upplýsingatækniinnviða, safnar Deception vettvangurinn umfangsmiklum upplýsingum um árásarmanninn. DDP tryggir síðan að ógnarviðvaranir séu sendar, skýrslur séu búnar til og að upplýsingaöryggisatvikum sé sjálfkrafa brugðist við.

  • Upphafspunktur árásar. Í nútíma blekkingum eru gildrur og beitu settar innan sviðs netsins frekar en utan þess (eins og raunin er með hunangspotta). Þetta tálbeitingarlíkan kemur í veg fyrir að árásarmaður noti þau sem skiptimynt til að ráðast á raunverulegan upplýsingatækniinnviði fyrirtækisins. Fullkomnari lausnir af Deception-flokknum eru með möguleika til að leiðbeina umferð, þannig að þú getur beint allri umferð árásarmanna í gegnum sérstaka sérstaka tengingu. Þetta gerir þér kleift að greina virkni árásarmanna án þess að hætta á verðmætum eignum fyrirtækisins.

  • Sannfæringarkraftur „blekkingartækni“. Á upphafsstigi árásarinnar safna og greina árásarmenn gögnum um upplýsingatækniinnviðina og nota þau síðan til að fara lárétt í gegnum fyrirtækjanetið. Með hjálp „blekkingartækni“ mun árásarmaðurinn örugglega falla í „gildrur“ sem munu leiða hann frá raunverulegum eignum stofnunarinnar. DDP mun greina hugsanlegar leiðir til að fá aðgang að skilríkjum á fyrirtækjaneti og veita árásarmanninum „tálbeitumarkmið“ í stað raunverulegra skilríkja. Þessa hæfileika vantaði sárlega í hunangspotttækni. (Sjá mynd 6).

Honeypot vs Deception með Xello sem dæmi

Blekking VS Honeypot

Og að lokum komum við að áhugaverðustu augnabliki rannsókna okkar. Við munum reyna að draga fram aðalmuninn á blekkingar- og Honeypot-tækni. Þrátt fyrir nokkur líkindi eru þessar tvær tækni enn mjög ólíkar, allt frá grundvallarhugmyndinni til rekstrarhagkvæmni.

  1. Mismunandi grunnhugmyndir. Eins og við skrifuðum hér að ofan, eru hunangspottar settir upp sem „tálbeinir“ í kringum verðmætar eignir fyrirtækisins (utan fyrirtækjanetsins), þannig að reynt er að afvegaleiða árásarmenn. Honeypot tækni byggir á skilningi á innviðum stofnunar, en honeypots geta orðið upphafspunktur til að hefja árás á net fyrirtækis. Blekkingartækni er þróuð með hliðsjón af sjónarhorni árásarmannsins og gerir þér kleift að bera kennsl á árás á frumstigi, þannig öðlast upplýsingaöryggissérfræðingar verulega forskot á árásarmenn og vinna tíma.

  2. „Aðdráttarafl“ VS „Rugling“. Þegar notast er við hunangspotta veltur árangur á því að vekja athygli árásarmanna og hvetja þá frekar til að fara á skotmarkið í hunangspottinum. Þetta þýðir að árásarmaðurinn verður enn að ná hunangspottinum áður en þú getur stöðvað hann. Þannig getur nærvera árásarmanna á netinu varað í nokkra mánuði eða lengur og það mun leiða til gagnaleka og skemmda. DDPs líkja eigindlega eftir raunverulegum upplýsingatækniinnviðum fyrirtækis; tilgangurinn með innleiðingu þeirra er ekki bara að vekja athygli árásaraðila, heldur að rugla hann þannig að hann sóar tíma og fjármagni, en fái ekki aðgang að raunverulegum eignum árásarmannsins. fyrirtæki.

  3. „Takmarkaður sveigjanleiki“ VS „sjálfvirkur sveigjanleiki“. Eins og áður hefur komið fram eru hunangspottar og hunangsnet í vandræðum með mælikvarða. Þetta er erfitt og dýrt og til að fjölga honeypots í fyrirtækjakerfi þarf að bæta við nýjum tölvum, stýrikerfi, kaupa leyfi og úthluta IP. Þar að auki er einnig nauðsynlegt að hafa hæft starfsfólk til að stjórna slíkum kerfum. Blekkingarpallar birtast sjálfkrafa þegar innviðir þínir stækka, án verulegs kostnaðar.

  4. „Mikill fjöldi falskra jákvæðra“ VS „engar falskar jákvæðar“. Kjarni vandans er sá að jafnvel einfaldur notandi getur rekist á hunangspott, þannig að „gallinn“ þessarar tækni er mikill fjöldi rangra jákvæða, sem afvegaleiðir upplýsingaöryggissérfræðinga frá starfi sínu. „Beita“ og „gildrur“ í DDP eru vandlega falin fyrir meðalnotanda og eru aðeins hönnuð fyrir árásarmann, þannig að hvert merki frá slíku kerfi er tilkynning um raunverulega ógn, en ekki falskt jákvætt.

Ályktun

Að okkar mati er Deception tæknin mikil framför á eldri Honeypots tækninni. Í meginatriðum er DDP orðinn alhliða öryggisvettvangur sem auðvelt er að dreifa og stjórna.

Nútímapallar af þessum flokki gegna mikilvægu hlutverki við að greina nákvæmlega og bregðast á áhrifaríkan hátt við netógnum, og samþætting þeirra við aðra þætti öryggisstafla eykur sjálfvirknistig, eykur skilvirkni og skilvirkni viðbragða við atvikum. Blekkingarvettvangar byggjast á áreiðanleika, sveigjanleika, auðveldri stjórnun og samþættingu við önnur kerfi. Allt þetta gefur verulegt forskot á hraða viðbragða við upplýsingaöryggisatvikum.

Einnig, byggt á athugunum á pentests fyrirtækja þar sem Xello Deception pallurinn var innleiddur eða prufukeyrður, getum við dregið ályktanir um að jafnvel reyndir pentesters geti oft ekki þekkt beitu í fyrirtækjanetinu og mistakast þegar þeir falla fyrir gildrunum sem settar eru. Þessi staðreynd staðfestir enn og aftur árangur blekkingar og þær miklu horfur sem opnast fyrir þessa tækni í framtíðinni.

Vöruprófun

Ef þú hefur áhuga á Deception pallinum, þá erum við tilbúin framkvæma sameiginlegar prófanir.

Fylgstu með uppfærslum á rásum okkar (TelegramFacebookVKTS lausnarblogg)!

Heimild: www.habr.com

Bæta við athugasemd