ProHoster > blog > amministrazione > Honeypot vs Deception usando Xello come esempio

Honeypot vs Deception usando Xello come esempio

Honeypot vs Deception usando Xello come esempio

Esistono già diversi articoli su Habré sulle tecnologie Honeypot e Deception (Articolo 1, Articolo 2). Tuttavia, ci troviamo ancora di fronte ad una mancata comprensione della differenza tra queste classi di dispositivi di protezione. Per questo, i nostri colleghi di Ciao inganno (primo sviluppatore russo L'inganno della piattaforma) ha deciso di descrivere nel dettaglio le differenze, i vantaggi e le caratteristiche architetturali di queste soluzioni.

Scopriamo cosa sono gli "honeypots" e gli "inganni":

Le “tecnologie di inganno” sono apparse sul mercato dei sistemi di sicurezza informatica relativamente di recente. Tuttavia, alcuni esperti continuano a considerare gli inganni di sicurezza solo come honeypot più avanzati.

In questo articolo cercheremo di evidenziare sia le somiglianze che le differenze fondamentali tra queste due soluzioni. Nella prima parte parleremo dell’honeypot, di come si è sviluppata questa tecnologia e quali sono i suoi vantaggi e svantaggi. E nella seconda parte ci soffermeremo in dettaglio sui principi di funzionamento delle piattaforme per la creazione di un'infrastruttura distribuita di esche (inglese, Distributed Deception Platform - DDP).

Il principio di base alla base degli honeypot è creare trappole per gli hacker. Le primissime soluzioni Deception sono state sviluppate secondo lo stesso principio. Ma i moderni DDP sono significativamente superiori agli honeypot, sia in termini di funzionalità che di efficienza. Le piattaforme di inganno includono: esche, trappole, esche, applicazioni, dati, database, Active Directory. I DDP moderni possono fornire potenti funzionalità per il rilevamento delle minacce, l'analisi degli attacchi e l'automazione della risposta.

Pertanto, Deception è una tecnica per simulare l’infrastruttura IT di un’azienda e ingannare gli hacker. Di conseguenza, tali piattaforme consentono di fermare gli attacchi prima che causino danni significativi ai beni aziendali. Gli honeypot, ovviamente, non hanno funzionalità così ampie e un tale livello di automazione, quindi il loro utilizzo richiede più qualifiche da parte dei dipendenti dei dipartimenti di sicurezza delle informazioni.

1. Honeypot, Honeynet e Sandboxing: cosa sono e come si utilizzano

Il termine "honeypots" è stato usato per la prima volta nel 1989 nel libro di Clifford Stoll "The Cuckoo's Egg", che descrive gli eventi di rintracciamento di un hacker presso il Lawrence Berkeley National Laboratory (USA). Questa idea è stata messa in pratica nel 1999 da Lance Spitzner, uno specialista di sicurezza informatica presso Sun Microsystems, che ha fondato il progetto di ricerca Honeynet Project. I primi honeypot richiedevano molte risorse ed erano difficili da configurare e mantenere.

Diamo uno sguardo più da vicino a cosa si tratta honeypot и honeynet. Gli honeypot sono host individuali il cui scopo è attirare gli aggressori affinché penetrino nella rete di un’azienda e cerchino di rubare dati preziosi, nonché di espandere l’area di copertura della rete. Honeypot (tradotto letteralmente come "barile di miele") è un server speciale con una serie di vari servizi e protocolli di rete, come HTTP, FTP, ecc. (vedi Fig. 1).

Honeypot vs Deception usando Xello come esempio

Se ne combini diversi honeypot nella rete, otterremo un sistema più efficiente miele, che è un'emulazione della rete aziendale di un'azienda (server Web, file server e altri componenti di rete). Questa soluzione consente di comprendere la strategia degli aggressori e di ingannarli. Una tipica honeynet, di regola, opera parallelamente alla rete di lavoro e ne è completamente indipendente. Tale “rete” può essere pubblicata in Internet tramite un canale separato e ad essa può anche essere assegnata una propria area di indirizzi IP (vedi fig. 2).

Honeypot vs Deception usando Xello come esempio

Lo scopo dell’utilizzo di honeynet è mostrare all’hacker che presumibilmente è penetrato nella rete aziendale dell’organizzazione; in realtà l’aggressore si trova in un “ambiente isolato” e sotto la stretta supervisione di specialisti della sicurezza informatica (vedi Fig. 3).

Honeypot vs Deception usando Xello come esempio

Qui dobbiamo anche menzionare uno strumento come “sandbox"(Inglese, sandbox), che consente agli aggressori di installare ed eseguire malware in un ambiente isolato in cui l'IT può monitorare le proprie attività per identificare potenziali rischi e adottare contromisure adeguate. Attualmente, il sandboxing viene generalmente implementato su macchine virtuali dedicate su un host virtuale. Tuttavia, va notato che il sandboxing mostra solo il comportamento dei programmi pericolosi e dannosi, mentre honeynet aiuta uno specialista ad analizzare il comportamento dei “giocatori pericolosi”.

L’ovvio vantaggio delle honeynet è che ingannano gli aggressori, sprecando loro energia, risorse e tempo. Di conseguenza, invece di obiettivi reali, attaccano obiettivi falsi e possono smettere di attaccare la rete senza ottenere nulla. Molto spesso, le tecnologie honeynets vengono utilizzate nelle agenzie governative e nelle grandi aziende, organizzazioni finanziarie, poiché queste sono le strutture che risultano essere obiettivi di importanti attacchi informatici. Tuttavia, anche le piccole e medie imprese (PMI) necessitano di strumenti efficaci per prevenire incidenti legati alla sicurezza delle informazioni, ma gli honeynet nel settore delle PMI non sono così facili da usare a causa della mancanza di personale qualificato per lavori così complessi.

Limitazioni delle soluzioni Honeypot e Honeynet

Perché oggi gli honeypot e gli honeynet non sono la soluzione migliore per contrastare gli attacchi? Va notato che gli attacchi stanno diventando sempre più su larga scala, tecnicamente complessi e in grado di causare gravi danni all’infrastruttura IT di un’organizzazione, mentre la criminalità informatica ha raggiunto un livello completamente diverso e rappresenta strutture aziendali ombra altamente organizzate e dotate di tutte le risorse necessarie. A questo va aggiunto il “fattore umano” (errori nelle impostazioni software e hardware, azioni di insider, ecc.), per cui utilizzare solo la tecnologia per prevenire gli attacchi non è più sufficiente al momento.

Di seguito elenchiamo le principali limitazioni e svantaggi degli honeypot (honeynets):

  1. Gli honeypot sono stati originariamente sviluppati per identificare le minacce esterne alla rete aziendale, sono destinati piuttosto ad analizzare il comportamento degli aggressori e non sono progettati per rispondere rapidamente alle minacce.

  2. Gli aggressori, di norma, hanno già imparato a riconoscere i sistemi emulati ed evitare gli honeypot.

  3. Gli honeynet (honeypot) hanno un livello estremamente basso di interattività e interazione con altri sistemi di sicurezza, per cui, utilizzando gli honeypot, è difficile ottenere informazioni dettagliate sugli attacchi e sugli aggressori, e quindi rispondere in modo efficace e rapido agli incidenti di sicurezza delle informazioni . Inoltre, gli specialisti della sicurezza informatica ricevono un gran numero di falsi avvisi di minacce.

  4. In alcuni casi, gli hacker possono utilizzare un honeypot compromesso come punto di partenza per continuare l'attacco alla rete di un'organizzazione.

  5. Spesso sorgono problemi con la scalabilità degli honeypot, l'elevato carico operativo e la configurazione di tali sistemi (richiedono specialisti altamente qualificati, non dispongono di una comoda interfaccia di gestione, ecc.). Esistono grandi difficoltà nell’implementazione degli honeypot in ambienti specializzati come IoT, POS, sistemi cloud, ecc.

2. Tecnologia dell'inganno: vantaggi e principi operativi fondamentali

Dopo aver studiato tutti i vantaggi e gli svantaggi degli honeypot, siamo giunti alla conclusione che è necessario un approccio completamente nuovo alla risposta agli incidenti sulla sicurezza delle informazioni al fine di sviluppare una risposta rapida e adeguata alle azioni degli aggressori. E una tale soluzione è la tecnologia Inganno informatico (inganno di sicurezza).

La terminologia “inganno informatico”, “inganno di sicurezza”, “tecnologia dell’inganno”, “piattaforma di inganno distribuito” (DDP) è relativamente nuova ed è apparsa non molto tempo fa. In realtà, tutti questi termini significano l’uso di “tecnologie di inganno” o “tecniche per simulare l’infrastruttura IT e la disinformazione degli aggressori”. Le soluzioni di Deception più semplici sono uno sviluppo delle idee degli honeypot, solo a un livello tecnologicamente più avanzato, che comporta una maggiore automazione del rilevamento delle minacce e della risposta ad esse. Tuttavia, sul mercato esistono già soluzioni serie di classe DDP, facili da implementare e scalare, che dispongono anche di un serio arsenale di “trappole” ed “esche” per gli aggressori. Ad esempio, Deception consente di emulare oggetti dell'infrastruttura IT come database, workstation, router, switch, bancomat, server e SCADA, apparecchiature mediche e IoT.

Come funziona la piattaforma di inganno distribuito? Dopo l'implementazione del DDP, l'infrastruttura IT dell'organizzazione sarà costruita come se fosse composta da due livelli: il primo livello è l'infrastruttura reale dell'azienda e il secondo è un ambiente "emulato" costituito da esche ed esche), che si trovano su dispositivi fisici di rete reali (vedi Fig. 4).

Honeypot vs Deception usando Xello come esempio

Ad esempio, un utente malintenzionato può scoprire falsi database con "documenti riservati", credenziali false di presunti "utenti privilegiati": tutti questi sono esche che possono interessare i trasgressori, distogliendo così la loro attenzione dal vero patrimonio informativo dell'azienda (vedere Figura 5).

Honeypot vs Deception usando Xello come esempio

DDP è un prodotto nuovo nel mercato dei prodotti per la sicurezza informatica; queste soluzioni hanno solo pochi anni e finora solo il settore aziendale può permettersele. Ma presto anche le piccole e medie imprese potranno trarre vantaggio da Deception, noleggiando il DDP “come servizio” da fornitori specializzati. Questa opzione è ancora più conveniente poiché non è necessario il proprio personale altamente qualificato.

I principali vantaggi della tecnologia Deception sono mostrati di seguito:

  • Autenticità (autenticità). La tecnologia Deception è in grado di riprodurre un ambiente IT completamente autentico di un'azienda, emulando qualitativamente sistemi operativi, IoT, POS, sistemi specializzati (medici, industriali, ecc.), servizi, applicazioni, credenziali, ecc. Le esche vengono accuratamente mescolate con l'ambiente di lavoro e un utente malintenzionato non sarà in grado di identificarle come honeypot.

  • Внедрение. I DDP utilizzano l'apprendimento automatico (ML) nel loro lavoro. Con l'aiuto del ML, sono garantite semplicità, flessibilità nelle impostazioni ed efficienza nell'implementazione dell'inganno. Le “trappole” e le “esche” vengono aggiornate molto rapidamente, attirando l'aggressore nella “falsa” infrastruttura IT dell'azienda e, nel frattempo, avanzati sistemi di analisi basati sull'intelligenza artificiale sono in grado di rilevare le azioni attive degli hacker e di prevenirle (ad esempio, un tentativo di accedere ad account fraudolenti basati su Active Directory).

  • Facilità di utilizzo. Le moderne piattaforme di inganno distribuito sono facili da mantenere e gestire. Sono tipicamente gestiti tramite una console locale o cloud, con capacità di integrazione con il SOC (Security Operations Center) aziendale tramite API e con molti controlli di sicurezza esistenti. La manutenzione e il funzionamento di DDP non richiedono i servizi di esperti di sicurezza delle informazioni altamente qualificati.

  • scalabilità. Gli inganni legati alla sicurezza possono essere implementati in ambienti fisici, virtuali e cloud. I DDP funzionano con successo anche con ambienti specializzati come IoT, ICS, POS, SWIFT, ecc. Le piattaforme Advanced Deception possono proiettare “tecnologie di inganno” in uffici remoti e ambienti isolati, senza la necessità di un’ulteriore implementazione della piattaforma completa.

  • Interazione. Utilizzando esche potenti e attraenti basate su sistemi operativi reali e sapientemente posizionate nell'infrastruttura IT reale, la piattaforma Deception raccoglie ampie informazioni sull'aggressore. DDP garantisce quindi la trasmissione degli avvisi sulle minacce, la generazione di report e la risposta automatica agli incidenti di sicurezza delle informazioni.

  • Punto iniziale dell'attacco. Nell'inganno moderno, le trappole e le esche vengono posizionate all'interno del raggio d'azione della rete, anziché all'esterno (come nel caso degli honeypot). Questo modello di distribuzione ingannevole impedisce a un utente malintenzionato di utilizzarli come punto di leva per attaccare la reale infrastruttura IT dell'azienda. Le soluzioni più avanzate della classe Deception hanno capacità di instradamento del traffico, quindi puoi indirizzare tutto il traffico dell'aggressore attraverso una connessione appositamente dedicata. Ciò ti consentirà di analizzare l'attività degli aggressori senza rischiare preziosi beni aziendali.

  • La persuasività delle “tecnologie dell’inganno”. Nella fase iniziale dell'attacco, gli aggressori raccolgono e analizzano i dati sull'infrastruttura IT, quindi li utilizzano per spostarsi orizzontalmente attraverso la rete aziendale. Con l'aiuto delle "tecnologie ingannevoli", l'aggressore cadrà sicuramente in "trappole" che lo porteranno lontano dalle reali risorse dell'organizzazione. DDP analizzerà i potenziali percorsi per accedere alle credenziali su una rete aziendale e fornirà all'aggressore "bersagli esca" invece di credenziali reali. Queste capacità erano gravemente carenti nelle tecnologie honeypot. (Vedi Figura 6).

Honeypot vs Deception usando Xello come esempio

Inganno VS Honeypot

E finalmente arriviamo al momento più interessante della nostra ricerca. Cercheremo di evidenziare le principali differenze tra le tecnologie Deception e Honeypot. Nonostante alcune somiglianze, queste due tecnologie sono ancora molto diverse, dall’idea fondamentale all’efficienza operativa.

  1. Idee di base diverse. Come abbiamo scritto sopra, gli honeypot vengono installati come “esche” attorno a risorse aziendali di valore (al di fuori della rete aziendale), cercando così di distrarre gli aggressori. La tecnologia honeypot si basa sulla comprensione dell'infrastruttura di un'organizzazione, ma gli honeypot possono diventare un punto di partenza per lanciare un attacco alla rete di un'azienda. La tecnologia di inganno è sviluppata tenendo conto del punto di vista dell'aggressore e consente di identificare un attacco in una fase iniziale, pertanto gli specialisti della sicurezza informatica ottengono un vantaggio significativo sugli aggressori e guadagnano tempo.

  2. "Attrazione" VS "Confusione". Quando si utilizzano gli honeypot, il successo dipende dall'attirare l'attenzione degli aggressori e motivarli ulteriormente a spostarsi verso il bersaglio nell'honeypot. Ciò significa che l'aggressore deve ancora raggiungere l'honeypot prima che tu possa fermarlo. Pertanto, la presenza di aggressori sulla rete può durare diversi mesi o più e ciò porterà alla perdita e al danneggiamento dei dati. I DDP imitano qualitativamente la reale infrastruttura informatica di un'azienda; lo scopo della loro implementazione non è solo attirare l'attenzione di un aggressore, ma confonderlo in modo che sprechi tempo e risorse, ma non acceda al reale patrimonio dell'azienda. azienda.

  3. “Scalabilità limitata” VS “scalabilità automatica”. Come notato in precedenza, gli honeypot e gli honeynet presentano problemi di ridimensionamento. Questo è difficile e costoso e per aumentare il numero di honeypot in un sistema aziendale sarà necessario aggiungere nuovi computer, sistemi operativi, acquistare licenze e allocare IP. Inoltre, è necessario disporre anche di personale qualificato per la gestione di tali sistemi. Le piattaforme di inganno si distribuiscono automaticamente man mano che la tua infrastruttura si ridimensiona, senza costi aggiuntivi significativi.

  4. “Un gran numero di falsi positivi” VS “nessun falso positivo”. L'essenza del problema è che anche un semplice utente può incontrare un honeypot, quindi lo "svantaggio" di questa tecnologia è un gran numero di falsi positivi, che distrae gli specialisti della sicurezza informatica dal loro lavoro. Le "esche" e le "trappole" in DDP sono accuratamente nascoste all'utente medio e sono progettate solo per un utente malintenzionato, quindi ogni segnale proveniente da un tale sistema è un avviso di una minaccia reale e non un falso positivo.

conclusione

A nostro avviso, la tecnologia Deception rappresenta un enorme miglioramento rispetto alla vecchia tecnologia Honeypots. In sostanza, DDP è diventata una piattaforma di sicurezza completa, facile da implementare e gestire.

Le moderne piattaforme di questa classe svolgono un ruolo importante nel rilevamento accurato e nella risposta efficace alle minacce di rete e la loro integrazione con altri componenti dello stack di sicurezza aumenta il livello di automazione, aumenta l'efficienza e l'efficacia della risposta agli incidenti. Le piattaforme di inganno si basano su autenticità, scalabilità, facilità di gestione e integrazione con altri sistemi. Tutto ciò offre un vantaggio significativo nella velocità di risposta agli incidenti di sicurezza informatica.

Inoltre, sulla base delle osservazioni dei pentest delle aziende in cui è stata implementata o sperimentata la piattaforma Xello Deception, possiamo trarre la conclusione che anche i pentest più esperti spesso non riescono a riconoscere l'esca nella rete aziendale e falliscono quando cadono nelle trappole tese. Questo fatto conferma ancora una volta l'efficacia di Deception e le grandi prospettive che si aprono per questa tecnologia in futuro.

Test del prodotto

Se sei interessato alla piattaforma Deception, allora siamo pronti condurre test congiunti.

Resta sintonizzato per gli aggiornamenti nei nostri canali (TelegramFacebookVKBlog sulle soluzioni TS)!

Fonte: habr.com

Aggiungi un commento