Honeypot vs Deception בדוגמה של Xello

יש כבר כמה מאמרים על Habré על טכנולוגיות Honeypot ו-Deception (מאמר 1, מאמר 2). עם זאת, אנו עדיין מתמודדים עם חוסר הבנה של ההבדל בין סוגים אלה של ציוד מגן. כדי לעשות זאת, הקולגות שלנו מ שלום הונאה (המפתח הרוסי הראשון הטעיית פלטפורמה) החליטו לתאר בפירוט את ההבדלים, היתרונות והמאפיינים הארכיטקטוניים של פתרונות אלו.

בואו נבין מה הם "עציצי דבש" ו"הטעיות":

"טכנולוגיות הונאה" הופיעו בשוק מערכות אבטחת המידע לאחרונה יחסית. עם זאת, מומחים מסוימים עדיין רואים בהטעיית אבטחה רק עציצים מתקדמים יותר.

במאמר זה ננסה להדגיש את הדמיון וההבדלים המהותיים בין שני הפתרונות הללו. בחלק הראשון נדבר על סיר הדבש, כיצד התפתחה הטכנולוגיה הזו ומה היתרונות והחסרונות שלה. ובחלק השני, נתעכב בפירוט על עקרונות הפעולה של פלטפורמות ליצירת תשתית מבוזרת של פתיונות (אנגלית, Distributed Deception Platform - DDP).

העיקרון הבסיסי העומד בבסיס עציצי הדבש הוא יצירת מלכודות עבור האקרים. פתרונות ההטעיה הראשונים פותחו על אותו עיקרון. אבל DDPs מודרניים עדיפים באופן משמעותי על עציצי דבש, הן בפונקציונליות והן ביעילות. פלטפורמות הונאה כוללות: פתיונות, מלכודות, פתיונות, יישומים, נתונים, מסדי נתונים, Active Directory. DDPs מודרניים יכולים לספק יכולות עוצמתיות לזיהוי איומים, ניתוח התקפות ואוטומציה של תגובה.

לפיכך, Deception הן טכניקות לחיקוי תשתית ה-IT של ארגון ולהטעיית האקרים. כתוצאה מכך, פלטפורמות מסוג זה מאפשרות לעצור מתקפות לפני גרימת נזק משמעותי לנכסי החברה. ל-Honeypots כמובן אין מגוון רחב כל כך של פונקציונליות ורמת אוטומציה כזו, ולכן השימוש בהם מצריך יותר כישורים מעובדי מחלקות אבטחת מידע.

1. עציצי דבש, רשתות דבש וארגזי חול: מה הם וכיצד משתמשים בהם

המונח "עציצי דבש" שימש לראשונה בשנת 1989 בספרו של קליפורד סטול "ביצת הקוקיה", המתאר את אירועי מעקב אחר האקר במעבדה הלאומית של לורנס ברקלי (ארה"ב). רעיון זה הוצא לפועל בשנת 1999 על ידי לאנס שפיצנר, מומחה לאבטחת מידע ב-Sun Microsystems, שייסד את פרויקט המחקר של Honeynet Project. עציצי הדבש הראשונים היו עתירי משאבים, קשים להקמה ולתחזוקה.

בואו נסתכל מקרוב על מה זה צידקות и דבש. Honeypots הם מארחים בודדים שמטרתם למשוך תוקפים לחדור לרשת של חברה ולנסות לגנוב נתונים יקרי ערך, כמו גם להרחיב את שטח הכיסוי של הרשת. Honeypot (בתרגום מילולי כ"חבית דבש") הוא שרת מיוחד עם קבוצה של שירותי רשת ופרוטוקולים שונים, כגון HTTP, FTP וכו'. (ראה איור 1).

אם משלבים כמה צידקות לתוך הרשת, אז נקבל מערכת יעילה יותר רשת דבש, שהיא אמולציה של הרשת הארגונית של החברה (שרת אינטרנט, שרת קבצים ורכיבי רשת אחרים). פתרון זה מאפשר לך להבין את האסטרטגיה של התוקפים ולהטעות אותם. רשת דבש טיפוסית, ככלל, פועלת במקביל לרשת העבודה ואינה תלויה בה לחלוטין. ניתן לפרסם "רשת" כזו באינטרנט באמצעות ערוץ נפרד, ניתן להקצות לה גם טווח נפרד של כתובות IP (ראה איור 2).

העניין בשימוש ב-honeynet הוא להראות להאקר שהוא כביכול חדר לרשת הארגונית של הארגון; למעשה, התוקף נמצא ב"סביבה מבודדת" ותחת פיקוח צמוד של מומחי אבטחת מידע (ראה איור 3).

כאן עלינו להזכיר גם כלי כזה כמו "ארגז חול"(אנגלית, ארגז חול) המאפשרת לתוקפים להתקין ולהפעיל תוכנות זדוניות בסביבה מבודדת שבה מומחי IT יכולים לפקח על פעילותם על מנת לזהות סיכונים פוטנציאליים ולנקוט באמצעי הנגד הנדרשים. נכון לעכשיו, ארגז חול מיושם בדרך כלל במכונות וירטואליות ייעודיות במארח וירטואלי. עם זאת, יש לציין כי ארגז חול רק מראה כיצד תוכניות מסוכנות וזדוניות מתנהגות, בעוד ש-honeynet עוזר למומחה לנתח את ההתנהגות של "שחקנים מסוכנים".

היתרון הברור של רשתות הדבש הוא שהם מטעים תוקפים, מבזבזים את האנרגיה, המשאבים והזמן שלהם. כתוצאה מכך, במקום מטרות אמיתיות, הם תוקפים יעדים שקריים ויכולים להפסיק לתקוף את הרשת מבלי להשיג דבר. לרוב, נעשה שימוש בטכנולוגיות רשת דבש בסוכנויות ממשלתיות ובתאגידים גדולים, בארגונים פיננסיים, שכן מבנים אלו הם היעדים למתקפות סייבר גדולות. עם זאת, עסקים קטנים ובינוניים (SMB) זקוקים גם לכלים יעילים למניעת אירועי אבטחת מידע, אך רשתות דבש במגזר ה-SMB אינן כל כך קלות לשימוש, בשל המחסור בכוח אדם מוסמך לעבודה כה מורכבת.

מגבלות של Honeypots ו-Honeynets Solutions

מדוע עציצי דבש ו-honeynets אינם הפתרונות הטובים ביותר למניעת התקפות כיום? יש לציין כי התקפות הופכות לגדולות יותר ויותר, מורכבות מבחינה טכנית ומסוגלות לגרום נזק חמור לתשתית ה-IT של הארגון, ופשעי הסייבר הגיעו לרמה שונה לחלוטין ומייצגת מבנים עסקיים צללים מאורגנים ביותר המצוידים בכל המשאבים הדרושים. לכך יש להוסיף את "הגורם האנושי" (טעויות בהגדרות תוכנה וחומרה, פעולות של גורמים פנימיים וכו'), כך ששימוש בטכנולוגיה בלבד למניעת התקפות כבר אינו מספיק כרגע.

להלן נפרט את המגבלות והחסרונות העיקריים של עציצי דבש (רשתות דבש):

1. Honeypots פותחו במקור כדי לזהות איומים שנמצאים מחוץ לרשת הארגונית, נועדו דווקא לנתח את התנהגות התוקפים ואינם נועדו להגיב במהירות לאיומים.

2. רשעים, ככלל, כבר למדו לזהות את המערכות המחקות ולהימנע מעציצי דבש.

3. ל-Honeynets (Honeypots) רמה נמוכה ביותר של אינטראקטיביות ואינטראקציה עם מערכות אבטחה אחרות, כתוצאה מכך, באמצעות כלי דבש, קשה לקבל מידע מפורט על תקיפות ותוקפים, ולכן להגיב בצורה יעילה ומהירה לאירועי אבטחת מידע. . יתרה מכך, מומחי אבטחת מידע מקבלים מספר רב של התראות על איומים כוזבים.

4. במקרים מסוימים, האקרים עשויים להשתמש בסיר דבש שנפגע כנקודת התחלה להמשך ההתקפה שלהם על רשת של ארגון.

5. לעתים קרובות מתעוררות בעיות עם מדרגיות של עציצים, עומס תפעולי גבוה ותצורה של מערכות כאלה (הן דורשות מומחים מוסמכים, אין להם ממשק ניהול נוח וכו'). ישנם קשיים גדולים בפריסת עציצי דבש בסביבות מיוחדות כמו IoT, POS, מערכות ענן וכו'.

2. טכנולוגיית הטעיה: יתרונות ועקרונות תפעול בסיסיים

לאחר שלמדנו את כל היתרונות והחסרונות של עציצי הדבש, הגענו למסקנה שיש צורך בגישה חדשה לחלוטין לתגובה לאירועי אבטחת מידע על מנת לפתח מענה מהיר והולם לפעולות התוקפים. ופתרון כזה הוא טכנולוגיה הטעיית סייבר (הטעיית אבטחה).

המינוח "הטעיית סייבר", "הטעיית אבטחה", "טכנולוגיית הונאה", "פלטפורמת הונאה מבוזרת" (DDP) הוא חדש יחסית והופיע לפני זמן לא רב. למעשה, כל המונחים הללו מתכוונים לשימוש ב"טכנולוגיות הונאה" או "טכניקות להדמיית תשתית IT ודיסאינפורמציה של תוקפים". פתרונות ההטעיה הפשוטים ביותר הם פיתוח הרעיונות של עציצי הדבש, רק ברמה מתקדמת יותר מבחינה טכנולוגית, הכרוכה באוטומציה גדולה יותר של זיהוי האיומים והתגובה אליהם. עם זאת, יש כבר בשוק פתרונות רציניים בדרגת DDP שקל לפרוס ולהרחבה, ויש להם גם ארסנל רציני של "מלכודות" ו"פיתיונות" לתוקפים. לדוגמה, Deception מאפשרת לך לחקות אובייקטים של תשתית IT כגון מסדי נתונים, תחנות עבודה, נתבים, מתגים, כספומטים, שרתים ו-SCADA, ציוד רפואי ו-IoT.

כיצד פועלת פלטפורמת ההונאה מבוזרת? לאחר פריסת DDP, תשתית ה-IT של הארגון תיבנה כאילו משתי שכבות: השכבה הראשונה היא התשתית האמיתית של החברה, והשנייה היא סביבה "דמייתית" המורכבת ממטעים ופיתיונות. על התקני רשת פיזיים אמיתיים (ראה איור 4).

לדוגמה, תוקף יכול לגלות מסדי נתונים כוזבים עם "מסמכים חסויים", אישורים מזויפים של "משתמשים מועדפים" כביכול - כל אלה הם פתילים שיכולים לעניין מפרים, ובכך להסיט את תשומת לבם מנכסי המידע האמיתיים של החברה (ראה איור 5).

DDP הוא מוצר חדש בשוק מוצרי אבטחת המידע, הפתרונות הללו בני שנים ספורות בלבד ועד כה רק המגזר העסקי יכול להרשות זאת לעצמו. אבל עסקים קטנים ובינוניים יוכלו בקרוב גם לנצל את ההטעיה על ידי השכרת DDP מספקים מיוחדים "כשירות". אפשרות זו נוחה אפילו יותר, מכיוון שאין צורך בכוח אדם מיומן משלך.

היתרונות העיקריים של טכנולוגיית Deception מוצגים להלן:

• אותנטיות (אותנטיות). טכנולוגיית Deception מסוגלת לשחזר סביבת IT אותנטית לחלוטין של חברה, לחקות באופן איכותי מערכות הפעלה, IoT, POS, מערכות ייעודיות (רפואיות, תעשייתיות וכו'), שירותים, יישומים, אישורים וכו'. מלכודות (פתילים) מעורבבים בקפידה בסביבת הייצור, ותוקף לא יוכל לזהות אותם כעציצי דבש.

• Внедрение. DDPs משתמשים בלמידת מכונה (ML) בעבודתם. בעזרת ML מובטחות פשטות, גמישות בהגדרות ויעילות הטמעת Deception. "מלכודות" ו-"honeypots" מתעדכנות במהירות רבה, ומפתים תוקף לתשתית ה-IT "שקרית" של החברה, ובינתיים, מערכות ניתוח מתקדמות המבוססות על בינה מלאכותית יכולות לזהות פעולות אקטיביות של האקרים ולמנוע אותן (למשל, ניסיון לגשת לחשבונות הונאה מבוססי Active Directory).

• קלות תפעול. פלטפורמות הטעיה מבוזרות מודרניות קלות לתחזוקה ולניהול. הם מנוהלים בדרך כלל באמצעות קונסולת מקומית או ענן, עם יכולות אינטגרציה עם ה-SOC הארגוני (Security Operations Center) באמצעות API ועם בקרות אבטחה קיימות רבות. תחזוקה ותפעול של DDP אינם מצריכים שירותים של מומחי אבטחת מידע מוסמכים.

• מדרגיות. ניתן לפרוס הטעיית אבטחה בסביבות פיזיות, וירטואליות וענן. DDPs גם עובדים בהצלחה עם סביבות מיוחדות כמו IoT, ICS, POS, SWIFT וכו'. פלטפורמות מתקדמות של Deception יכולות להקרין "טכנולוגיות הונאה" לתוך משרדים מרוחקים, סביבות מבודדות, ללא צורך בפריסת פלטפורמה מלאה נוספת.

• אינטראקציה. באמצעות פתילים יעילים ואטרקטיביים המבוססים על מערכת הפעלה אמיתית וממוקמים בחוכמה בין תשתית IT אמיתית, פלטפורמת Deception אוספת מידע נרחב על התוקף. לאחר מכן, DDP מבטיח כי מועברות התראות על איומים, מופקים דוחות ואירועי אבטחת מידע מקבלים תגובה אוטומטית.

• נקודת התחלה של התקפה. בהטעיה המודרנית, מלכודות ופיתיונות ממוקמות בטווח של הרשת, ולא מחוצה לה (כפי שקורה בעציצים). מודל פריסה זה של מלכודות מונע מהתוקף להשתמש בהן כבסיס לתקוף את תשתית ה-IT האמיתית של החברה. בפתרונות מתקדמים יותר של מחלקת Deception, קיימות יכולות ניתוב תעבורה, כך שניתן לכוון את כל תעבורת התוקפים דרך חיבור ייעודי. זה יאפשר לך לנתח את פעילותם של פולשים מבלי להסתכן בנכסי חברה יקרי ערך.

• יכולת השכנוע של "טכנולוגיות הונאה". בשלב הראשוני של המתקפה, התוקפים אוספים ומנתחים נתונים על תשתית ה-IT, ולאחר מכן משתמשים בו כדי לנוע אופקית דרך הרשת הארגונית. בעזרת "טכנולוגיות הונאה" התוקף בהחלט ייפול ל"מלכודות" שיובילו אותו הרחק מהנכסים האמיתיים של הארגון. DDP תנתח נתיבי גישה פוטנציאליים לאישורים ברשת הארגונית ותספק לתוקף "מטרות שווא" במקום אישורים אמיתיים. היכולות הללו היו חסרות מאוד בטכנולוגיות סיר הדבש. (ראה איור 6).

הונאה VS Honeypot

ולבסוף, הגענו לרגע המעניין ביותר במחקר שלנו. ננסה להדגיש את ההבדלים העיקריים בין טכנולוגיות Deception ו-Honeypot. למרות כמה קווי דמיון, בכל זאת, שתי הטכנולוגיות הללו שונות מאוד, מהרעיון הבסיסי ועד ליעילות העבודה.

1. רעיונות בסיסיים שונים. כפי שכתבנו למעלה, עציצי דבש מותקנים כ"פיתיון" סביב הנכסים היקרים של החברה (מחוץ לרשת הארגונית), ובכך מנסים להסיח את דעתם של פולשים. בעוד שטכנולוגיית הדבש מבוססת על הבנה של התשתית של הארגון, סירי הדבש יכולים להוות נקודת מוצא לתקיפת רשת של חברה. טכנולוגיית ההטעיה מפותחת תוך התחשבות בנקודת המבט של התוקף ומאפשרת לזהות תקיפה בשלב מוקדם, ובכך, מומחי אבטחת מידע מקבלים יתרון משמעותי על התוקפים ומרוויחים זמן.

2. "אטרקציה" לעומת "בלבול". כשמשתמשים בעציצי הדבש, ההצלחה תלויה במשיכת תשומת לבם של התוקפים והנעתם להמשיך הלאה אל היעד שבסיר הדבש. זה אומר שהתוקף עדיין צריך להגיע לסיר הדבש לפני שתוכל לעצור אותו. כך, נוכחות פולשים לרשת יכולה להימשך מספר חודשים או יותר, והדבר יוביל לדליפת נתונים ולנזק. DDP מחקים באופן איכותי את תשתית ה-IT האמיתית של החברה, מטרת הטמעתם היא לא רק למשוך את תשומת ליבו של התוקף, אלא לבלבל אותו כך שהוא מבזבז זמן ומשאבים, אך לא יקבל גישה לנכסים האמיתיים של החברה.

3. "מדרגיות מוגבלת" לעומת "מדרגיות אוטומטית". כפי שצוין קודם לכן, לעציצי דבש ו-honeynets יש בעיות קנה מידה. זה קשה ויקר, ובכדי להגדיל את מספר ה-honeypots במערכת ארגונית, תצטרכו להוסיף מחשבים חדשים, מערכת הפעלה, לקנות רישיונות ולהקצות IP. יתרה מכך, יש צורך גם בכוח אדם מוסמך לניהול מערכות כאלה. פלטפורמות הונאה נפרסות אוטומטית כסולמות תשתית, ללא תקורה משמעותית.

4. "מספר רב של תוצאות שגויות" לעומת "אין תוצאות שגויות". מהות הבעיה היא שגם משתמש פשוט יכול להיתקל בסיר דבש, כך שה"חיסרון" של הטכנולוגיה הזו הוא מספר רב של תוצאות שגויות, שמסיחות את דעתם של מומחי אבטחת מידע מעבודתם. "Baits" ו-"Traps" ב-DDP מוסתרים בקפידה מהמשתמש הממוצע ומיועדים רק לתוקף, כך שכל אות ממערכת כזו הוא התראה על איום אמיתי, ולא חיובי כוזב.

מסקנה

לדעתנו, טכנולוגיית Deception היא שיפור עצום ביחס לטכנולוגיית Honeypots הישנה יותר. למעשה, DDP הפכה לפלטפורמת אבטחה מקיפה שקל לפריסה ולנהל אותה.

פלטפורמות מודרניות ממעמד זה ממלאות תפקיד חשוב בזיהוי מדויק ותגובה יעילה לאיומי רשת, והשילוב שלהן עם רכיבים אחרים של מחסנית האבטחה מגבירה את רמת האוטומציה, מגבירה את היעילות והאפקטיביות של תגובה לאירועים. פלטפורמות הונאה מבוססות על אותנטיות, מדרגיות, קלות ניהול ואינטגרציה עם מערכות אחרות. כל זה נותן יתרון משמעותי במהירות התגובה לאירועי אבטחת מידע.

כמו כן, בהתבסס על תצפיות של בדיקות של חברות שבהן פלטפורמת Xello Deception הוטמעה או בוצעה בפיילוט, אנו יכולים להסיק מסקנות שאפילו פנטסטים מנוסים לרוב לא יכולים לזהות את הפיתיון ברשת הארגונית ונכשלים כשהם נופלים במלכודות שהוצבו. עובדה זו מאשרת שוב את יעילותה של Deception ואת הסיכויים הגדולים שנפתחים לטכנולוגיה זו בעתיד.

בדיקת מוצר

אם אתה מעוניין בפלטפורמת Deception, אז אנחנו מוכנים לבצע בדיקות משותפות.

הישאר מעודכן לעדכונים בערוצים שלנו (מברק, פייסבוק, VK, בלוג פתרונות TS)!

מקור: www.habr.com