Honeypot vs Deception בדוגמה של Xello

כבר יש כמה מאמרים ב-Habr על טכנולוגיות Honeypot והטעיה (מאמר אחד, מאמר אחד). עם זאת, אנו עדיין נתקלים בחוסר הבנה של ההבדל בין סוגי ציוד המיגון הללו. לשם כך, עמיתינו מ הונאת קסלו (המפתח הרוסי הראשון פלטפורמות הטעיה) החליטו לתאר בפירוט את ההבדלים, היתרונות והמאפיינים הארכיטקטוניים של פתרונות אלה.

בואו נבין מהן "סירות דבש" ו"הונאות":

"טכנולוגיות הטעיה" (באנגלית, Deception technology) הופיעו בשוק מערכות אבטחת המידע יחסית לאחרונה. עם זאת, ישנם מומחים שעדיין רואים ב-Security Deception רק "סיר דבש" מתקדם יותר.

במאמר זה ננסה להדגיש הן את הדמיון והן את ההבדלים המהותיים בין שני הפתרונות הללו. בחלק הראשון נדבר על "סיר הדבש", כיצד התפתחה טכנולוגיה זו ומהם יתרונותיה וחסרונותיה. ובחלק השני נתעכב בפירוט על עקרונות הפעולה של פלטפורמות ליצירת תשתית מבוזרת של מטרות שווא (באנגלית, Distributed Deception Platform - DDP).

העיקרון הבסיסי העומד בבסיס פלטפורמות הטעיה הוא יצירת מלכודות עבור האקרים. פתרונות הטעיה הראשונים פותחו על פי אותו עיקרון. עם זאת, פלטפורמות DDP מודרניות עולות משמעותית על פלטפורמות הטעיה הן בפונקציונליות והן ביעילות. פלטפורמות הטעיה כוללות פיתיונות, פתיונות, יישומים, נתונים, מסדי נתונים ו-Active Directory. פלטפורמות DDP מודרניות יכולות לספק יכולות רחבות לגילוי איומים, ניתוח התקפות ואוטומציה של פעולות תגובה.

לפיכך, הטעיה היא טכניקה לסימולציה של תשתית ה-IT של ארגון והטעיית האקרים. כתוצאה מכך, פלטפורמות כאלה מאפשרות לעצור התקפות לפני שנגרם נזק משמעותי לנכסי החברה. ל-Honeypots, כמובן, אין פונקציונליות כה רחבה ורמת אוטומציה כה גבוהה, ולכן השימוש בהם דורש כישורים גבוהים יותר מעובדי מחלקת אבטחת המידע.

1. רשתות דבש, רשתות דבש וארגזי חול: מהן וכיצד הן משמשות?

המונח "honeypots" (בתי דבש) שימש לראשונה בשנת 1989 בספרו של קליפורד סטול "ביצת הקוקייה", המתאר את אירועי המעקב אחר האקר במעבדה הלאומית לורנס ברקלי (ארה"ב). בפועל, רעיון זה גולם בשנת 1999 על ידי לאנס ספיצנר, מומחה אבטחת מידע בסאן מיקרוסיסטמס, שייסד את פרויקט המחקר "פרויקט Honeynet". בתי הדבש הראשונים היו עתירי משאבים מאוד, קשים להגדרה ותחזוקה.

בואו נבחן מקרוב מה זה צידקות и רשתות דבש. Honeypots הם מארחים נפרדים שמטרתם למשוך תוקפים לחדור לרשת של חברה ולנסות לגנוב נתונים יקרי ערך, כמו גם להרחיב את אזור הכיסוי של הרשת. honeypot (בתרגום מילולי "חבית דבש") הוא שרת מיוחד עם קבוצה של שירותי רשת ופרוטוקולים שונים, כגון HTTP, FTP וכו' (ראה איור 1).

אם תשלבו כמה צידקות לתוך הרשת, אז נקבל מערכת יעילה יותר דבשנט, שהיא אמולציה של הרשת הארגונית של החברה (שרת אינטרנט, שרת קבצים ורכיבי רשת אחרים). פתרון זה מאפשר להבין את האסטרטגיה של התוקפים ולהטעות אותם. רשת דבש טיפוסית, ככלל, פועלת במקביל לרשת העובדת ואינה תלויה בה לחלוטין. "רשת" כזו ניתנת לפרסום באינטרנט דרך ערוץ נפרד, וניתן גם להקצות לה טווח נפרד של כתובות IP (ראה איור 2).

מטרת השימוש ברשת דבש היא להראות להאקר שהוא לכאורה חדר לרשת הארגונית של הארגון; למעשה, התוקף נמצא ב"סביבה מבודדת" ותחת פיקוח צמוד של מומחי אבטחת מידע (ראה איור 3).

כאן יש גם להזכיר כלי כזה כמו "ארגז חול» (אנגלית, ארגז חול), המאפשר לתוקפים להתקין ולהפעיל תוכנות זדוניות בסביבה מבודדת שבה מומחי IT יכולים לנטר את פעולותיהם כדי לזהות סיכונים פוטנציאליים ולנקוט באמצעי נגד נחוצים. נכון לעכשיו, sandboxing מיושם בדרך כלל על מכונות וירטואליות ייעודיות על גבי מארח וירטואלי. עם זאת, יש לציין כי sandboxing מראה רק כיצד תוכניות מסוכנות וזדוניות מתנהגות, בעוד ש-honeynet מסייע למומחה לנתח את התנהגותם של "שחקנים מסוכנים".

היתרון הברור של רשתות סייבר (honeynets) הוא שהן מטעות תוקפים, מבזבזות את מאמציהם, משאביהם וזמנם. כתוצאה מכך, במקום מטרות אמיתיות, הן תוקפות מטרות שקריות ויכולות להפסיק לתקוף את הרשת מבלי להשיג דבר. טכנולוגיות Honeynet משמשות לרוב בסוכנויות ממשלתיות ותאגידים גדולים וארגונים פיננסיים, שכן מבנים אלה הם מטרות למתקפות סייבר גדולות. עם זאת, עסקים קטנים ובינוניים (SMBs) זקוקים גם הם לכלים יעילים כדי למנוע אירועי אבטחת מידע, אך רשתות סייבר במגזר ה-SMB אינן כה קלות לשימוש, עקב מחסור בכוח אדם מוסמך לעבודה מורכבת שכזו.

מגבלות של Honeypots ו-Honeynets

מדוע "honeypots" ו"honeynets" אינם הפתרונות הטובים ביותר למניעת התקפות כיום? יש לציין כי התקפות הופכות להיות גדולות יותר, מורכבות יותר מבחינה טכנית ומסוגלות לגרום נזק חמור לתשתית ה-IT של הארגון, ופשעי סייבר הגיעו לרמה שונה לחלוטין ומיוצגים על ידי מבני עסקיים מאורגנים מאוד המצוידים בכל המשאבים הדרושים. לכך יש להוסיף את "הגורם האנושי" (שגיאות בהגדרות תוכנה וחומרה, פעולות של גורמים פנימיים וכו'), כך ששימוש בטכנולוגיה בלבד למניעת התקפות אינו מספיק עוד כרגע.

להלן נפרט את המגבלות והחסרונות העיקריים של רשתות דבש (honeypots):

1. מערכות Honeypots תוכננו במקור לגילוי איומים שנמצאים מחוץ לרשת הארגונית, נועדו יותר לניתוח התנהגות התוקפים ואינן נועדו להגיב במהירות לאיומים.

2. תוקפים בדרך כלל כבר למדו לזהות מערכות חיקוי ולהימנע מ"כוונות דבש".

3. לרשתות אבטחה (Honeynets) יש רמת אינטראקטיביות ואינטראקציה נמוכה ביותר עם מערכות אבטחה אחרות, וכתוצאה מכך, באמצעות רשתות אבטחה, קשה לקבל מידע מפורט על התקפות ותוקפים, ולכן, להגיב ביעילות ובמהירות לאירועי אבטחת מידע. יתר על כן, מומחי אבטחת מידע מקבלים מספר רב של אזעקות שווא על איומים.

4. במקרים מסוימים, האקרים עשויים להשתמש ב-honeypot פרוץ כנקודת התחלה להמשך ההתקפה שלהם על רשת של ארגון.

5. לעיתים קרובות ישנן בעיות עם יכולת ההרחבה של מערכות honeypot, עומס תפעולי גבוה ותצורה של מערכות כאלה (הן דורשות מומחים מוסמכים ביותר, אין להן ממשק ניהול נוח וכו'). ישנם קשיים גדולים בפריסת מערכות honeypot בסביבות ייעודיות כמו IoT, POS, מערכות ענן וכו'.

2. טכנולוגיית הטעיה: יתרונות ועקרונות בסיסיים של פעולה

לאחר שלמדנו את כל היתרונות והחסרונות של מערכות הגנה מפני נזקי מידע (honeypots), הגענו למסקנה כי נדרשת גישה חדשה לחלוטין לתגובה לאירועי אבטחת מידע על מנת לפתח תגובה מהירה ומספקת לפעולות התוקפים. ופתרון כזה הוא טכנולוגיות... הונאת סייבר (הונאת אבטחה).

המונחים "הונאת סייבר", "הונאת אבטחה", "טכנולוגיית הונאה", "פלטפורמת הונאה מבוזרת" (DDP) הם חדשים יחסית והופיעו לא מזמן. למעשה, כל המונחים הללו משמעותם שימוש ב"טכנולוגיות הונאה" או "טכניקות לסימולציה של תשתית IT ודיסאינפורמציה של תוקפים". פתרונות ההונאה הפשוטים ביותר הם פיתוח רעיונות של "honeypot", רק ברמה מתקדמת יותר מבחינה טכנולוגית, הכוללת אוטומציה רבה יותר של גילוי איומים ותגובה אליהם. עם זאת, כבר קיימים בשוק פתרונות רציניים ברמת DDP שקלים לפריסה ולהרחבה, ויש להם גם ארסנל רציני של "מלכודות" ו"פיתיונות" עבור תוקפים. לדוגמה, Deception מאפשרת לך לחקות אובייקטים של תשתית IT כמו מסדי נתונים, תחנות עבודה, נתבים, מתגים, כספומטים, שרתים ו-SCADA, ציוד רפואי ו-IoT.

כיצד פועלת פלטפורמת ההטעיה המבוזרת? לאחר פריסת פלטפורמת ה-DDP, תשתית ה-IT של הארגון תיבנה כאילו משתי שכבות: השכבה הראשונה היא התשתית האמיתית של החברה, והשנייה היא סביבה "חיקומית" המורכבת מפיתיונות ופתיונות הממוקמים על גבי התקני רשת פיזיים אמיתיים (ראה איור 4).

לדוגמה, תוקף עלול לגלות מסדי נתונים כוזבים עם "מסמכים חסויים", אישורים מזויפים של "משתמשים בעלי זכויות יוצרים" לכאורה - כל אלה הם פיתיונות שעשויים לעניין פולשים, ובכך להסיט את תשומת ליבם מנכסי המידע האמיתיים של החברה (ראה איור 5).

DDP הוא מוצר חדש בשוק אבטחת המידע, פתרונות אלה בני מספר שנים בלבד ובינתיים רק המגזר העסקי יכול להרשות לעצמו אותם. אך בקרוב גם עסקים קטנים ובינוניים יוכלו להשתמש ב-Deception על ידי השכרת DDP מספקים מתמחים, "כשירות". אפשרות זו נוחה אף יותר, מכיוון שאין צורך בכוח אדם מוסמך משלכם.

להלן היתרונות העיקריים של טכנולוגיית הטעיה:

• אוֹתֶנְטִיוּתטכנולוגיית הטעיה מסוגלת לשחזר סביבת IT אותנטית לחלוטין של חברה, תוך אמולציה איכותית של מערכות הפעלה, IoT, נקודת מכירה, מערכות ייעודיות (רפואיות, תעשייתיות וכו'), שירותים, יישומים, אישורים וכו'. פתיונות מעורבבים היטב עם סביבת העבודה, ותוקף לא יוכל לזהות אותם כ"כוונות דבש".

• Внедрениеספקי DDP משתמשים בלמידת מכונה (ML) בעבודתם. ML מבטיח פשטות, גמישות בהגדרות ויעילות של יישום Deception. "מלכודות" ו"פיתיונות" מתעדכנים במהירות רבה, מה שמערב את התוקף בתשתית ה-IT "השקרית" של החברה, ובינתיים, מערכות ניתוח מתקדמות המבוססות על בינה מלאכותית יכולות לזהות פעולות פעילות של האקרים ולמנוע אותן (לדוגמה, ניסיון גישה ל-Active Directory על סמך חשבונות הונאה).

• קלות תפעול"פלטפורמות הטעיה מבוזרות" מודרניות קלות לתחזוקה וניהול. ככלל, הן מנוהלות באמצעות קונסולה מקומית או ענן, ישנן אפשרויות לשילוב עם SOC (מרכז תפעול אבטחה) ארגוני באמצעות API ועם כלי בקרת אבטחה קיימים רבים. שירותיהם של מומחי אבטחת מידע מוסמכים ביותר אינם נדרשים לתחזוקה ותפעול של DDP.

• מדרגיותניתן לפרוס טכנולוגיות הטעיה ביטחוניות בסביבות פיזיות, וירטואליות וענן. פלטפורמות DDP פועלות בהצלחה גם עם סביבות ייעודיות כגון IoT, ICS, POS, SWIFT וכו'. פלטפורמות הטעיה מתקדמות יכולות להקרין "טכנולוגיות הטעיה" למשרדים מרוחקים וסביבות מבודדות, ללא צורך בפריסה מלאה נוספת של הפלטפורמה.

• אינטראקציהבאמצעות פיתיונות יעילים ואטרקטיביים, המבוססים על מערכות הפעלה אמיתיות וממוקמים בחוכמה בין תשתיות IT אמיתיות, פלטפורמת Deception אוספת מידע נרחב על התוקף. לאחר מכן, DDP מבטיח שידור התראות איום, יצירת דוחות ותגובה אוטומטית לאירועי אבטחת מידע.

• נקודת התחלה של התקפהב-Deception המודרנית, מלכודות ופיתיונות ממוקמים בתוך טווח הרשת, ולא מחוצה לו (כמו במקרה של honeypots). מודל פריסת מלכודות זה אינו מאפשר לתוקף להשתמש בהן כבסיס להתקפה על תשתית ה-IT האמיתית של החברה. פתרונות מתקדמים יותר מסוג Deception כוללים יכולות ניתוב תעבורה, כך שניתן לכוון את כל תעבורת התוקפים דרך חיבור ייעודי במיוחד. זה יאפשר לכם לנתח את פעילות התוקפים מבלי לסכן את נכסי החברה היקרים.

• כוח השכנוע של "טכנולוגיות הטעיה"בשלב הראשוני של מתקפה, תוקפים אוספים ומנתחים נתונים על תשתית ה-IT, ולאחר מכן משתמשים בהם כדי לנוע אופקית ברשת הארגונית. באמצעות "טכנולוגיות הטעיה", התוקף ייפול באופן בלתי נמנע ל"מלכודות" שיובילו אותו הרחק מהנכסים האמיתיים של הארגון. DDP ינתח נתיבי גישה פוטנציאליים לאישורים ברשת הארגונית ויספק לתוקף "מטרות שווא" במקום אישורים אמיתיים. יכולות אלו היו חסרות מאוד בטכנולוגיות Honeypot (ראה איור 6).

הונאה מול דבשפוט

ולבסוף, אנו מגיעים לנקודה המעניינת ביותר במחקר שלנו. ננסה להדגיש את ההבדלים העיקריים בין טכנולוגיות Deception ו-Honeypot. למרות קווי דמיון מסוימים, שתי טכנולוגיות אלו עדיין שונות מאוד, החל מהרעיון הבסיסי וכלה ביעילות העבודה.

1. רעיונות בסיסיים שוניםכפי שכבר כתבנו לעיל, תרמילי דבש מותקנים כ"פיתיונות" סביב נכסי חברה יקרי ערך (מחוץ לרשת הארגונית), ובכך מנסים להסיח את דעתם של התוקפים. טכנולוגיית תרמילי הדבש מבוססת על רעיון התשתית של הארגון, אך תרמילי הדבש יכולים להפוך לנקודת אחיזה לשיגור מתקפה על רשת החברה. טכנולוגיית הטעיה מפותחת תוך התחשבות בנקודת המבט של התוקף ומאפשרת זיהוי מתקפה בשלב מוקדם, וכך, מומחי אבטחת מידע משיגים יתרון משמעותי על פני התוקפים ומרוויחים זמן.

2. "משיכה" לעומת "בלבול"בעת שימוש ב-honeypots, ההצלחה תלויה במשיכת תשומת ליבם של התוקפים ולאחר מכן בהנעתם להמשיך אל המטרה ב-honeypot. משמעות הדבר היא שהתוקף עדיין צריך להגיע ל-honeypot, ורק אז ניתן לעצור אותו. לפיכך, נוכחות התוקפים ברשת יכולה להימשך מספר חודשים או יותר, וזה יוביל לדליפת נתונים ונזק. DDPs מחקים איכותית את תשתית ה-IT האמיתית של החברה, מטרת יישומם אינה רק למשוך את תשומת ליבו של התוקף, אלא לבלבל אותו כך שיבזבז זמן ומשאבים לשווא, אך לא יקבל גישה לנכסים האמיתיים של החברה.

3. "מדרגיות מוגבלת" לעומת "מדרגיות אוטומטית"כפי שצוין קודם לכן, ל-honeypots ול-honeynets יש בעיות בהרחבה. זה קשה ויקר, וכדי להגדיל את מספר ה-honeypots במערכת ארגונית, תצטרכו להוסיף מחשבים חדשים, מערכת הפעלה, לקנות רישיונות, להקצות IP. יתר על כן, תצטרכו גם כוח אדם מוסמך לניהול מערכות כאלה. פלטפורמות הטעיה נפרסות אוטומטית ככל שהתשתית מתרחבת, ללא עלויות תקורה משמעותיות.

4. "מספר גדול של תוצאות חיוביות שגויות" לעומת "אין תוצאות חיוביות שגויות"מהות הבעיה היא שאפילו משתמש פשוט יכול להיתקל ב"קופת דבש", כך שה"חיסרון" של טכנולוגיה זו הוא מספר רב של תוצאות חיוביות שגויות, אשר מסיחות את דעתם של מומחי אבטחת מידע מעבודתם. "פיתיונות" ו"מלכודות" ב-DDP מוסתרים בקפידה מהמשתמש הפשוט ומיועדים רק לפורץ, כך שכל אות ממערכת כזו הוא הודעה על איום ממשי, ולא תוצאה חיובית שגויות.

מסקנה

לדעתנו, טכנולוגיית Deception היא קפיצת מדרגה משמעותית לעומת טכנולוגיית Honeypot הישנה. במהות, DDP הפכה לפלטפורמת אבטחה מקיפה שקל לפרוס ולנהל.

פלטפורמות מודרניות מסוג זה ממלאות תפקיד חשוב בגילוי מדויק ותגובה יעילה לאיומי רשת, והשילוב שלהן עם רכיבים אחרים של מחסנית האבטחה מגביר את רמת האוטומציה, מגביר את היעילות והאפקטיביות של תגובה לאירועים. פלטפורמות הטעיה מבוססות על אותנטיות, גמישות, קלות ניהול ואינטגרציה עם מערכות אחרות. כל זה מספק יתרון משמעותי במהירות התגובה לאירועי אבטחת מידע.

כמו כן, בהתבסס על תצפיות של מבחני חדירה של חברות בהן פלטפורמת Xello Deception יושמה או נוסתה בפיילוט, אנו יכולים להסיק שאפילו בודקי חדירה מנוסים לעיתים קרובות אינם יכולים לזהות פיתיונות ברשת הארגונית ונכשלים, ונופלים במלכודות שהוטמנו. עובדה זו מאשרת שוב את יעילותה של Deception ואת הסיכויים הגדולים שנפתחים לטכנולוגיה זו בעתיד.

בדיקת מוצר

אם אתם מעוניינים בפלטפורמות Deception, אנחנו מוכנים לבצע בדיקות משותפות.

הישאר מעודכן לעדכונים בערוצים שלנו (טלגרם, פייסבוק, VK, בלוג פתרונות TS)!

מקור: www.habr.com