Ci sono già diversi articoli su Habr sulle tecnologie Honeypot e Deception (, ). Tuttavia, riscontriamo ancora una scarsa comprensione della differenza tra queste classi di dispositivi di protezione. Per questo, i nostri colleghi di (il primo sviluppatore russo ) ha deciso di descrivere in dettaglio le differenze, i vantaggi e le caratteristiche architettoniche di queste soluzioni.
Cerchiamo di capire cosa sono gli "honeypot" e gli "inganni":
Le "tecnologie dell'inganno" (in inglese, Deception technology) sono apparse sul mercato dei sistemi di sicurezza informatica relativamente di recente. Tuttavia, alcuni esperti considerano ancora il Security Deception solo un "honeypot" più avanzato.
In questo articolo cercheremo di evidenziare sia le somiglianze che le differenze fondamentali tra queste due soluzioni. Nella prima parte parleremo dell'"honeypot", di come si è sviluppata questa tecnologia e dei suoi vantaggi e svantaggi. Nella seconda parte, ci soffermeremo in dettaglio sui principi di funzionamento delle piattaforme per la creazione di un'infrastruttura distribuita di falsi bersagli (in inglese, Distributed Deception Platform - DDP).
Il principio di base alla base degli honeypot è quello di creare trappole per gli hacker. Le primissime soluzioni di Deception sono state sviluppate seguendo lo stesso principio. Tuttavia, i moderni DDP superano di gran lunga gli honeypot sia in termini di funzionalità che di efficienza. Le piattaforme di Deception includono esche, esche, applicazioni, dati, database e Active Directory. I moderni DDP possono offrire ampie capacità per il rilevamento delle minacce, l'analisi degli attacchi e l'automazione delle azioni di risposta.
Pertanto, l'inganno è una tecnica per simulare l'infrastruttura IT di un'azienda e ingannare gli hacker. Di conseguenza, tali piattaforme consentono di bloccare gli attacchi prima che causino danni significativi alle risorse aziendali. Gli honeypot, ovviamente, non hanno una funzionalità così ampia e un tale livello di automazione, quindi il loro utilizzo richiede maggiori qualifiche da parte del personale del reparto sicurezza informatica.
1. Honeypot, Honeynet e Sandbox: cosa sono e come vengono utilizzati?
Il termine "honeypot" fu utilizzato per la prima volta nel 1989 nel libro di Clifford Stoll "The Cuckoo's Egg", che descrive le vicende del tracciamento di un hacker presso il Lawrence Berkeley National Laboratory (USA). In pratica, questa idea fu concretizzata nel 1999 da Lance Spitzner, specialista in sicurezza informatica presso Sun Microsystems, che fondò il progetto di ricerca "Honeynet Project". I primi honeypot erano molto dispendiosi in termini di risorse, difficili da configurare e mantenere.
Diamo un'occhiata più da vicino a cosa si tratta honeypot и reti di mieleGli honeypot sono host separati il cui scopo è quello di attrarre aggressori che vogliono penetrare nella rete aziendale e rubare dati preziosi, nonché di espandere l'area di copertura della rete. Un honeypot (letteralmente "barile di miele") è un server speciale con un set di vari servizi e protocolli di rete, come HTTP, FTP, ecc. (vedi Fig. 1).
Se si combinano più honeypot nella rete, allora otterremo un sistema più efficiente rete di miele, che è un'emulazione della rete aziendale (server web, file server e altri componenti di rete). Questa soluzione consente di comprendere la strategia degli aggressori e di confonderli. Una tipica honeynet, di norma, opera parallelamente alla rete operativa ed è completamente indipendente da essa. Tale "rete" può essere pubblicata su Internet tramite un canale separato e può essere allocata anche una gamma separata di indirizzi IP (vedi Fig. 2).
Lo scopo dell'utilizzo di una honeynet è quello di dimostrare all'hacker di essere presumibilmente penetrato nella rete aziendale dell'organizzazione; in realtà, l'aggressore si trova in un "ambiente isolato" e sotto la stretta supervisione di specialisti della sicurezza informatica (vedere Fig. 3).
Qui è anche necessario menzionare uno strumento come "sandbox" (Inglese, sandbox), che consente agli aggressori di installare ed eseguire malware in un ambiente isolato, dove gli specialisti IT possono monitorare le loro azioni per identificare potenziali rischi e adottare le contromisure necessarie. Attualmente, il sandboxing viene solitamente implementato su macchine virtuali dedicate su un host virtuale. Tuttavia, è importante notare che il sandboxing mostra solo il comportamento dei programmi pericolosi e dannosi, mentre un honeynet aiuta uno specialista ad analizzare il comportamento dei "giocatori pericolosi".
L'evidente vantaggio delle honeynet è che ingannano gli aggressori, sprecando i loro sforzi, risorse e tempo. Di conseguenza, invece di obiettivi reali, attaccano obiettivi falsi e possono interrompere l'attacco alla rete senza ottenere alcun risultato. Le tecnologie honeynet sono spesso utilizzate da agenzie governative, grandi aziende e organizzazioni finanziarie, poiché queste strutture sono bersaglio di importanti attacchi informatici. Tuttavia, anche le piccole e medie imprese (PMI) necessitano di strumenti efficaci per prevenire incidenti di sicurezza informatica, ma le honeynet nel settore delle PMI non sono così facili da usare, a causa della mancanza di personale qualificato per un lavoro così complesso.
Limitazioni di Honeypot e Honeynet
Perché honeypot e honeynet non sono le soluzioni migliori per contrastare gli attacchi informatici oggi? Va notato che gli attacchi stanno diventando sempre più su larga scala, tecnicamente complessi e in grado di causare gravi danni all'infrastruttura IT di un'organizzazione, e la criminalità informatica ha raggiunto un livello completamente diverso ed è rappresentata da strutture aziendali ombra altamente organizzate e dotate di tutte le risorse necessarie. A questo si aggiunge il "fattore umano" (errori nelle impostazioni software e hardware, azioni di insider, ecc.), quindi al momento utilizzare solo la tecnologia per prevenire gli attacchi non è più sufficiente.
Di seguito elenchiamo i principali limiti e svantaggi degli honeypot (honeynet):
Gli honeypot sono stati originariamente progettati per rilevare minacce esterne alla rete aziendale, sono più adatti ad analizzare il comportamento degli aggressori e non sono progettati per rispondere rapidamente alle minacce.
In genere, gli aggressori hanno già imparato a riconoscere i sistemi emulati ed evitare gli honeypot.
Le honeynet (honeypot) presentano un livello estremamente basso di interattività e interazione con altri sistemi di sicurezza, per cui, utilizzando gli honeypot, è difficile ottenere informazioni dettagliate sugli attacchi e sugli aggressori e, di conseguenza, rispondere in modo efficace e rapido agli incidenti di sicurezza informatica. Inoltre, gli specialisti della sicurezza informatica ricevono un gran numero di falsi allarmi sulle minacce.
In alcuni casi, gli hacker possono utilizzare un honeypot compromesso come punto di partenza per continuare il loro attacco alla rete di un'organizzazione.
Spesso si riscontrano problemi di scalabilità degli honeypot, elevato carico operativo e configurazione di tali sistemi (richiedono specialisti altamente qualificati, non dispongono di un'interfaccia di gestione pratica, ecc.). L'implementazione degli honeypot in ambienti specializzati come IoT, POS, sistemi cloud, ecc. presenta notevoli difficoltà.
2. Tecnologia dell'inganno: vantaggi e principi di funzionamento di base
Dopo aver analizzato tutti i vantaggi e gli svantaggi degli honeypot, giungiamo alla conclusione che è necessario un approccio completamente nuovo alla risposta agli incidenti di sicurezza informatica, al fine di sviluppare una risposta rapida e adeguata alle azioni degli aggressori. Una soluzione di questo tipo è rappresentata dalle tecnologie. Inganno informatico (inganno di sicurezza).
I termini "Cyber Deception", "Security Deception", "Tecnologie di Deception" e "Distributed Deception Platform" (DDP) sono relativamente nuovi e non molto tempo fa. In realtà, tutti questi termini indicano l'uso di "tecnologie di inganno" o "tecniche per simulare l'infrastruttura IT e la disinformazione degli aggressori". Le soluzioni di Deception più semplici sono lo sviluppo di idee honeypot, solo a un livello tecnologicamente più avanzato, che implica una maggiore automazione del rilevamento delle minacce e della risposta alle stesse. Tuttavia, sul mercato sono già disponibili soluzioni di classe DDP affidabili, facili da implementare e scalare, che dispongono anche di un vasto arsenale di "trappole" ed "esche" per gli aggressori. Ad esempio, Deception consente di emulare oggetti dell'infrastruttura IT come database, workstation, router, switch, bancomat, server e SCADA, apparecchiature mediche e IoT.
Come funziona la Distributed Deception Platform? Dopo l'implementazione della DDP, l'infrastruttura IT dell'organizzazione sarà strutturata come se fosse composta da due livelli: il primo livello è l'infrastruttura reale dell'azienda, mentre il secondo è un ambiente "emulato" costituito da esche e richiami posizionati su dispositivi di rete fisici reali (vedere Fig. 4).
Ad esempio, un aggressore potrebbe scoprire falsi database con "documenti riservati", false credenziali di presunti "utenti privilegiati": tutti questi sono esche che potrebbero interessare gli intrusi, distogliendo così la loro attenzione dalle vere risorse informative dell'azienda (vedere Figura 5).
DDP è un prodotto nuovo sul mercato della sicurezza informatica: queste soluzioni hanno solo pochi anni e finora solo il settore aziendale può permettersele. Ma presto anche le piccole e medie imprese potranno utilizzare Deception noleggiando DDP da fornitori specializzati, "as a service". Questa opzione è ancora più conveniente, poiché non richiede personale interno altamente qualificato.
Di seguito sono riportati i principali vantaggi della tecnologia Deception:
AutenticitàLa tecnologia di inganno è in grado di riprodurre un ambiente IT aziendale completamente autentico, emulando qualitativamente sistemi operativi, IoT, POS, sistemi specializzati (medici, industriali, ecc.), servizi, applicazioni, credenziali, ecc. Le esche sono completamente integrate nell'ambiente di lavoro e un aggressore non sarà in grado di identificarle come honeypot.
ВнедрениеI DDP utilizzano il machine learning (ML) nel loro lavoro. Il ML garantisce semplicità, flessibilità nelle impostazioni ed efficienza nell'implementazione del Deception. "Trappole" ed "esche" vengono aggiornate molto rapidamente, coinvolgendo l'attaccante nella "falsa" infrastruttura IT dell'azienda e, nel frattempo, sistemi di analisi avanzati basati sull'intelligenza artificiale possono rilevare le azioni attive degli hacker e prevenirle (ad esempio, un tentativo di accesso ad Active Directory basato su account fraudolenti).
Facilità di utilizzoLe moderne "Distributed Deception Platform" sono facili da manutenere e gestire. Di norma, vengono gestite tramite una console locale o cloud, e sono disponibili opzioni di integrazione con un SOC (Security Operations Center) aziendale tramite API e con molti strumenti di controllo della sicurezza esistenti. Per la manutenzione e il funzionamento delle DDP non sono necessari i servizi di esperti di sicurezza informatica altamente qualificati.
scalabilitàL'inganno di sicurezza può essere implementato in ambienti fisici, virtuali e cloud. I DDP funzionano con successo anche in ambienti specializzati come IoT, ICS, POS, SWIFT, ecc. Le piattaforme Advanced Deception possono proiettare "tecnologie di inganno" in uffici remoti e ambienti isolati, senza la necessità di un'ulteriore implementazione completa della piattaforma.
InterazioneUtilizzando esche efficaci e accattivanti, basate su sistemi operativi reali e sapientemente posizionate all'interno di infrastrutture IT reali, la piattaforma Deception raccoglie informazioni dettagliate sull'aggressore. DDP garantisce quindi la trasmissione di avvisi di minaccia, la generazione di report e la risposta automatica agli incidenti di sicurezza informatica.
Punto di inizio dell'attaccoNelle moderne tecniche di Deception, trappole ed esche vengono posizionate all'interno della rete, non all'esterno (come nel caso degli honeypot). Questo modello di distribuzione delle trappole non consente a un aggressore di utilizzarle come punto d'appoggio per un attacco alla reale infrastruttura IT dell'azienda. Le soluzioni più avanzate della classe Deception dispongono di funzionalità di routing del traffico, consentendo di indirizzare tutto il traffico dell'aggressore attraverso una connessione dedicata. Ciò consentirà di analizzare l'attività degli aggressori senza mettere a rischio i preziosi asset dell'azienda.
La persuasività delle "tecnologie dell'inganno"Nella fase iniziale di un attacco, gli aggressori raccolgono e analizzano i dati sull'infrastruttura IT, quindi li utilizzano per muoversi orizzontalmente all'interno della rete aziendale. Utilizzando "tecnologie di inganno", l'aggressore cadrà inevitabilmente in "trappole" che lo allontaneranno dalle reali risorse dell'organizzazione. Il DDP analizzerà i potenziali percorsi di accesso alle credenziali nella rete aziendale e fornirà all'aggressore "falsi obiettivi" invece di credenziali reali. Queste funzionalità erano gravemente carenti nelle tecnologie honeypot. (Vedi Figura 6).
Inganno contro Honeypot
E infine, arriviamo al punto più interessante della nostra ricerca. Cercheremo di evidenziare le principali differenze tra le tecnologie Deception e Honeypot. Nonostante alcune somiglianze, queste due tecnologie sono comunque molto diverse, a partire dall'idea di base fino all'efficienza del lavoro.
Diverse idee di baseCome già accennato in precedenza, gli honeypot vengono installati come "esche" attorno a risorse aziendali di valore (al di fuori della rete aziendale), cercando così di distrarre gli aggressori. La tecnologia honeypot si basa sul concetto di infrastruttura aziendale, ma gli honeypot possono diventare un punto d'appoggio per lanciare un attacco alla rete aziendale. La tecnologia di inganno viene sviluppata tenendo conto del punto di vista dell'aggressore e consente di identificare un attacco in una fase iniziale, consentendo così agli specialisti della sicurezza informatica di ottenere un vantaggio significativo sugli aggressori e di guadagnare tempo.
"Attrazione" vs. "Confusione"Quando si utilizzano gli honeypot, il successo dipende dall'attirare l'attenzione degli aggressori e poi motivarli a dirigersi verso il bersaglio nell'honeypot. Ciò significa che l'aggressore deve ancora raggiungere l'honeypot e solo allora è possibile fermarlo. Pertanto, la presenza degli aggressori nella rete può durare diversi mesi o più, causando perdite di dati e danni. I DDP imitano qualitativamente la reale infrastruttura IT dell'azienda; lo scopo della loro implementazione non è solo quello di attirare l'attenzione dell'aggressore, ma di confonderlo in modo che sprechi tempo e risorse invano, senza ottenere accesso alle risorse reali dell'azienda.
"Scalabilità limitata" VS "Scalabilità automatica"Come accennato in precedenza, honeypot e honeynet presentano problemi di scalabilità. È un'attività complessa e costosa, e per aumentare il numero di honeypot in un sistema aziendale è necessario aggiungere nuovi computer, sistemi operativi, acquistare licenze e allocare IP. Inoltre, è necessario disporre di personale qualificato per la gestione di tali sistemi. Le piattaforme di deception vengono implementate automaticamente con la scalabilità dell'infrastruttura, senza costi generali significativi.
"Un gran numero di falsi positivi" VS "nessun falso positivo"L'essenza del problema è che anche un utente semplice può imbattersi in un honeypot, quindi il "lato negativo" di questa tecnologia è un gran numero di falsi positivi, che distrae gli specialisti della sicurezza informatica dal loro lavoro. "Esche" e "trappole" nel DDP sono accuratamente nascoste all'utente semplice e sono progettate solo per l'intruso, quindi ogni segnale proveniente da un sistema di questo tipo è una notifica di una minaccia reale e non un falso positivo.
conclusione
A nostro avviso, la tecnologia Deception rappresenta un enorme passo avanti rispetto alla precedente tecnologia Honeypot. In sostanza, DDP è diventata una piattaforma di sicurezza completa, facile da implementare e gestire.
Le moderne piattaforme di questa classe svolgono un ruolo importante nel rilevamento accurato e nella risposta efficace alle minacce di rete, e la loro integrazione con altri componenti dello stack di sicurezza aumenta il livello di automazione, aumentando l'efficienza e l'efficacia della risposta agli incidenti. Le piattaforme di inganno si basano su autenticità, scalabilità, facilità di gestione e integrazione con altri sistemi. Tutto ciò offre un vantaggio significativo nella velocità di risposta agli incidenti di sicurezza informatica.
Inoltre, sulla base delle osservazioni dei pentest delle aziende in cui la piattaforma Xello Deception è stata implementata o sperimentata, possiamo concludere che anche i pentester più esperti spesso non riescono a riconoscere le esche nella rete aziendale e falliscono, cadendo nelle trappole predisposte. Questo fatto conferma ancora una volta l'efficacia di Deception e le grandi prospettive che si aprono per questa tecnologia in futuro.
Test del prodotto
Se sei interessato alle piattaforme Deception, siamo pronti .
Resta sintonizzato per gli aggiornamenti nei nostri canali (, , , )!
Fonte: habr.com
