Xello の例におけるハニーポットとデセプション

Habré には、ハニーポットとデセプション技術に関する記事がすでにいくつかあります (1の記事, 2の記事）。 しかし、これらのクラスの保護具の違いについては依然として理解が不足しています。 このために、私たちの同僚は、 こんにちは、欺瞞 (ロシア初の開発者 プラットフォームの欺瞞) は、これらのソリューションの違い、利点、アーキテクチャ上の特徴を詳細に説明することにしました。

「ハニーポット」と「欺瞞」とは何かを理解してみましょう。

「デセプション技術」が情報セキュリティシステム市場に登場したのは比較的最近のことです。 しかし、一部の専門家は依然として、セキュリティ デセプションをより高度なハニーポットにすぎないと考えています。

この記事では、これら XNUMX つのソリューションの類似点と基本的な違いの両方を強調していきます。 最初の部分では、ハニーポットについて、このテクノロジーがどのように開発されたか、そしてその長所と短所について説明します。 そして、第 XNUMX 部では、デコイの分散インフラストラクチャ (英語、Distributed Deception Platform - DDP) を作成するためのプラットフォームの動作原理について詳しく説明します。

ハニーポットの基礎となる基本原理は、ハッカーのための罠を作成することです。 まさに最初のデセプション ソリューションは同じ原理に基づいて開発されました。 しかし、最新の DDP は、機能と効率の両方においてハニーポットよりも大幅に優れています。 欺瞞プラットフォームには、おとり、トラップ、ルアー、アプリケーション、データ、データベース、Active Directory が含まれます。 最新の DDP は、脅威の検出、攻撃分析、対応の自動化のための強力な機能を提供できます。

したがって、デセプションは企業の IT インフラストラクチャをシミュレートし、ハッカーを誤解させるための手法です。 結果として、このようなプラットフォームにより、企業資産に重大な損害を与える前に攻撃を阻止することが可能になります。 もちろん、ハニーポットにはそれほど広範な機能や自動化レベルはありません。そのため、ハニーポットを使用するには、情報セキュリティ部門の従業員によるより多くの資格が必要です。

1. ハニーポット、ハニーネット、サンドボックス: その概要と使用方法

「ハニーポット」という用語は、1989 年にローレンス バークレー国立研究所 (米国) でハッカーを追跡した出来事を説明したクリフォード ストールの著書「カッコーの卵」の中で初めて使用されました。 このアイデアは、Honeynet Project 研究プロジェクトを設立した Sun Microsystems の情報セキュリティ専門家、Lance Spitzner によって 1999 年に実践されました。 最初のハニーポットは非常にリソースを大量に消費し、セットアップと維持が困難でした。

それが何なのか詳しく見てみましょう ハニーポット и ハニーネット。 ハニーポットは、攻撃者を引きつけて企業のネットワークに侵入し、貴重なデータを盗み出したり、ネットワークのカバーエリアを拡大したりすることを目的とした個別のホストです。 ハニーポット (直訳すると「蜂蜜の樽」) は、HTTP、FTP などのさまざまなネットワーク サービスとプロトコルのセットを備えた特別なサーバーです。 (図1を参照)。

いくつか組み合わせると ハニーポット ネットワークに接続すると、より効率的なシステムが得られます ハニーネット、これは企業の企業ネットワーク (Web サーバー、ファイル サーバー、およびその他のネットワーク コンポーネント) のエミュレーションです。 このソリューションを使用すると、攻撃者の戦略を理解し、攻撃者を欺くことができます。 典型的なハニーネットは、原則として、業務ネットワークと並行して動作し、業務ネットワークからは完全に独立しています。 このような「ネットワーク」は、別のチャネルを介してインターネット上に公開でき、別の範囲の IP アドレスを割り当てることもできます (図 2 を参照)。

ハニーネットを使用するポイントは、組織の企業ネットワークに侵入したと思われることをハッカーに示すことです; 実際、攻撃者は「隔離された環境」にいて、情報セキュリティ専門家の厳重な監督下にいます (図 3 を参照)。

ここでは、次のようなツールについても言及する必要があります。サンドボックス"（英語、 サンドボックス) により、攻撃者は隔離された環境にマルウェアをインストールして実行することができ、IT 部門はその活動を監視して潜在的なリスクを特定し、適切な対策を講じることができます。 現在、サンドボックスは通常、仮想ホスト上の専用の仮想マシンに実装されます。 ただし、サンドボックスは危険で悪意のあるプログラムがどのように動作するかを示すだけであり、ハニーネットは専門家が「危険なプレーヤー」の動作を分析するのに役立つことに注意してください。

ハニーネットの明白な利点は、攻撃者を欺き、エネルギー、リソース、時間を浪費することです。 その結果、本当のターゲットではなく偽のターゲットを攻撃し、何も達成せずにネットワークへの攻撃を中止することができます。 ほとんどの場合、ハニーネット テクノロジーは政府機関や大企業、金融機関で使用されています。これらの構造は大規模なサイバー攻撃の標的となるためです。 ただし、中小企業 (SMB) も情報セキュリティ インシデントを防ぐための効果的なツールを必要としていますが、SMB 部門のハニーネットは、そのような複雑な作業を行う資格のある人材が不足しているため、それほど簡単には使用できません。

ハニーポットおよびハニーネット ソリューションの制限

ハニーポットやハニーネットが今日の攻撃に対抗する最適なソリューションではないのはなぜですか? 攻撃はますます大規模かつ技術的に複雑になり、組織の IT インフラストラクチャに重大な損害を引き起こす可能性があり、サイバー犯罪はまったく異なるレベルに達しており、必要なリソースをすべて備えた高度に組織化されたシャドウ ビジネス構造を表していることに注意する必要があります。 これに「人的要因」（ソフトウェアやハードウェアの設定ミス、内部関係者の行為など）を加える必要があるため、現時点ではテクノロジーだけで攻撃を防ぐだけでは十分ではありません。

以下に、ハニーポット (ハニーネット) の主な制限事項と欠点を示します。

1. ハニーポットはもともと企業ネットワークの外部にある脅威を特定するために開発されたもので、むしろ攻撃者の行動を分析することを目的としており、脅威に迅速に対応するようには設計されていません。

2. 攻撃者は通常、エミュレートされたシステムを認識し、ハニーポットを回避する方法をすでに学習しています。

3. ハニーネット (ハニーポット) は、他のセキュリティ システムとの対話性や相互作用のレベルが非常に低いため、ハニーポットを使用しても攻撃や攻撃者に関する詳細な情報を入手することが困難であり、情報セキュリティ インシデントに効果的かつ迅速に対応することができません。 。 さらに、情報セキュリティの専門家は、大量の誤った脅威の警告を受け取ります。

4. 場合によっては、ハッカーは侵害されたハニーポットを開始点として使用し、組織のネットワークへの攻撃を継続する可能性があります。

5. ハニーポットのスケーラビリティ、高い運用負荷、およびそのようなシステムの構成に関して問題が発生することがよくあります (高度な資格を持つ専門家が必要である、便利な管理インターフェイスがないなど)。 IoT、POS、クラウド システムなどの特殊な環境にハニーポットを展開するのは非常に困難です。

2. デセプション技術: 利点と基本動作原理

ハニーポットの長所と短所をすべて検討した結果、攻撃者の行為に迅速かつ適切に対応するには、情報セキュリティ インシデントに対応するまったく新しいアプローチが必要であるという結論に達しました。 そしてそのような解決策はテクノロジーです サイバー詐欺（セキュリティ詐欺）.

「サイバーデセプション」、「セキュリティデセプション」、「デセプションテクノロジー」、「分散型デセプションプラットフォーム」（DDP）という用語は比較的新しく、それほど昔に登場したものではありません。 実際、これらの用語はすべて、「欺瞞技術」または「IT インフラストラクチャと攻撃者の偽情報をシミュレートする技術」の使用を意味します。 最も単純なデセプション ソリューションは、ハニーポットのアイデアをより技術的に高度なレベルで発展させたものであり、脅威の検出と脅威への対応の自動化がさらに強化されています。 ただし、市場にはすでに本格的な DDP クラスのソリューションがあり、導入と拡張が容易で、攻撃者にとっての「罠」と「おとり」の強力な武器も備えています。 たとえば、Deception を使用すると、データベース、ワークステーション、ルーター、スイッチ、ATM、サーバー、SCADA、医療機器、IoT などの IT インフラストラクチャ オブジェクトをエミュレートできます。

分散型デセプション プラットフォームはどのように機能しますか? DDP の展開後、組織の IT インフラストラクチャは 4 つの層から構成されるかのように構築されます。最初の層は企業の実際のインフラストラクチャであり、XNUMX 番目の層は、おとりと餌で構成される「エミュレートされた」環境です。実際の物理ネットワーク デバイス上で実行されます (図 XNUMX を参照)。

たとえば、攻撃者は、「機密文書」を含む偽のデータベースや「特権ユーザー」とされる偽の資格情報を発見する可能性があります。これらはすべて、違反者の興味を引くおとりであり、それによって企業の真の情報資産から注意をそらすことができます (図 5 を参照)。

DDP は情報セキュリティ製品市場では新しい製品ですが、これらのソリューションはまだ数年しか誕生していないため、これまでのところ企業部門のみが購入できるようになっています。 しかし、中小企業も間もなく、専門プロバイダーから DDP を「サービスとして」レンタルすることで、デセプションを利用できるようになります。 このオプションは、高度な資格を持つ担当者を自社で雇う必要がないため、さらに便利です。

デセプション技術の主な利点を以下に示します。

• 真正性（真正性）。 デセプションテクノロジーは、企業の完全に本物のIT環境を再現し、オペレーティングシステム、IoT、POS、特殊システム（医療、産業など）、サービス、アプリケーション、認証情報などを定性的にエミュレートすることができます。 デコイは作業環境に慎重に混合されているため、攻撃者はそれをハニーポットとして識別できません。

• 実装。 DDP は仕事で機械学習 (ML) を使用します。 ML の助けにより、設定のシンプルさ、柔軟性、およびデセプションの実装の効率が確保されます。 「トラップ」と「おとり」は非常に迅速に更新され、企業の「偽の」IT インフラストラクチャに攻撃者を誘い込みます。その間、人工知能に基づく高度な分析システムがハッカーの積極的な行動を検出して阻止します（たとえば、 Active Directory ベースの不正なアカウントへのアクセスを試みます）。

• 簡単操作。 最新の分散型欺瞞プラットフォームは、保守と管理が簡単です。 これらは通常、ローカルまたはクラウドのコンソールを介して管理され、API を介した企業 SOC (セキュリティ オペレーション センター) との統合機能や多くの既存のセキュリティ制御を備えています。 DDP の保守と運用には、高度な資格を持つ情報セキュリティ専門家のサービスは必要ありません。

• スケーラビリティ。 セキュリティの欺瞞は、物理、仮想、クラウド環境に導入できます。 DDP は、IoT、ICS、POS、SWIFT などの特殊な環境でも正常に動作します。 高度なデセプション プラットフォームは、追加の完全なプラットフォーム展開を必要とせずに、リモート オフィスや隔離された環境に「デセプション テクノロジー」を投影できます。

• 相互作用。 デセプション プラットフォームは、実際のオペレーティング システムをベースにし、実際の IT インフラストラクチャに巧みに配置された強力で魅力的なおとりを使用して、攻撃者に関する広範な情報を収集します。 DDP は、脅威アラートの送信、レポートの生成、情報セキュリティ インシデントへの自動的な対応を保証します。

• 攻撃の起点。 現代のデセプションでは、罠と餌はネットワークの外側ではなく、ネットワークの範囲内に配置されます (ハニーポットの場合のように)。 このおとり展開モデルは、攻撃者が企業の実際の IT インフラストラクチャを攻撃するためのてことして使用することを防ぎます。 Deception クラスのより高度なソリューションにはトラフィック ルーティング機能があるため、すべての攻撃者のトラフィックを特別な専用接続を通じて誘導できます。 これにより、貴重な企業資産を危険にさらすことなく、攻撃者のアクティビティを分析できるようになります。

• 「デセプション技術」の説得力。 攻撃の初期段階で、攻撃者は IT インフラストラクチャに関するデータを収集および分析し、それを使用して企業ネットワーク内を水平方向に移動します。 「欺瞞技術」の助けを借りて、攻撃者は確実に組織の実際の資産から遠ざける「罠」にはまるでしょう。 DDP は、企業ネットワーク上の資格情報にアクセスする潜在的なパスを分析し、実際の資格情報の代わりに「おとりターゲット」を攻撃者に提供します。 これらの機能はハニーポット テクノロジーには大きく欠けていました。 (図6を参照)。

デセプション VS ハニーポット

そして最後に、私たちの研究の最も興味深い瞬間に到達します。 デセプション技術とハニーポット技術の主な違いを強調していきます。 いくつかの類似点はありますが、これら XNUMX つのテクノロジーは、基本的な考え方から運用効率に至るまで、依然として大きく異なります。

1. 基本的な考え方が違う。 上で書いたように、ハニーポットは貴重な企業資産 (企業ネットワークの外側) の周りに「おとり」としてインストールされ、攻撃者の注意をそらそうとします。 ハニーポット テクノロジーは組織のインフラストラクチャの理解に基づいていますが、ハニーポットは企業のネットワークに対して攻撃を開始する開始点になる可能性があります。 デセプション技術は攻撃者の視点を考慮して開発されており、攻撃を早期に特定できるため、情報セキュリティの専門家は攻撃者に対して大幅な優位性を獲得し、時間を稼ぐことができます。

2. 「魅力」VS「混乱」。 ハニーポットを使用する場合、成功は攻撃者の注意を引き付け、ハニーポット内のターゲットに移動するようさらに動機付けるかどうかにかかっています。 これは、攻撃者を阻止する前に、攻撃者がハニーポットに到達する必要があることを意味します。 したがって、攻撃者がネットワーク上に存在する状態は数か月以上続く可能性があり、データの漏洩や損害につながる可能性があります。 DDP は企業の実際の IT インフラストラクチャを定性的に模倣します。その実装の目的は、攻撃者の注意を引くだけでなく、攻撃者を混乱させて時間とリソースを浪費させ、実際の資産にはアクセスできないようにすることです。会社。

3. 「限定的なスケーラビリティ」 VS 「自動スケーラビリティ」。 前述したように、ハニーポットとハニーネットにはスケーリングの問題があります。 これは難しく、費用がかかります。企業システム内のハニーポットの数を増やすには、新しいコンピューター、OS を追加し、ライセンスを購入し、IP を割り当てる必要があります。 さらに、そのようなシステムを管理する資格のある人材も必要です。 デセプション プラットフォームは、インフラストラクチャの規模の拡大に応じて、大きなオーバーヘッドを発生させることなく自動的に展開されます。

4. 「多数の誤検知」VS「誤検知なし」。 問題の本質は、単純なユーザーでもハニーポットに遭遇する可能性があることです。そのため、このテクノロジーの「欠点」は、誤検知が多数発生し、情報セキュリティの専門家が仕事に集中できなくなることです。 DDP の「おとり」と「トラップ」は平均的なユーザーから注意深く隠蔽され、攻撃者専用に設計されているため、そのようなシステムからのすべての信号は本当の脅威の通知であり、誤検知ではありません。

まとめ

私たちの意見では、Deception テクノロジーは古い Honeypots テクノロジーに比べて大幅に改善されています。 本質的に、DDP は導入と管理が簡単な包括的なセキュリティ プラットフォームになっています。

このクラスの最新のプラットフォームは、ネットワークの脅威を正確に検出して効果的に対応する上で重要な役割を果たしており、セキュリティ スタックの他のコンポーネントと統合することで自動化のレベルが向上し、インシデント対応の効率と有効性が向上します。 欺瞞プラットフォームは、信頼性、拡張性、管理の容易さ、および他のシステムとの統合に基づいています。 これらすべてにより、情報セキュリティ インシデントへの対応速度が大幅に向上します。

また、Xello Deception プラットフォームが実装または試験運用された企業の侵入テストの観察に基づいて、経験豊富な侵入テスト者でも企業ネットワーク内の餌を認識できず、仕掛けられた罠にかかると失敗することが多いという結論を導き出すことができます。 この事実は、デセプションの有効性と、このテクノロジーに将来開かれる大きな可能性を改めて裏付けています。

製品テスト

Deception プラットフォームに興味がある場合は、準備ができています 共同テストを実施する.

私たちのチャンネルで最新情報をチェックしてください（Telegram, Facebook, VK, TSソリューションブログ)!

出所： habr.com