Honeypot vs Deception nggunakake Xello minangka conto

Wis ana sawetara artikel babagan Habré babagan teknologi Honeypot lan Deception (1 artikel, 2 artikel). Nanging, kita isih ngadhepi kekurangan pangerten babagan bedane antarane kelas peralatan pelindung kasebut. Kanggo iki, kita kolega saka Hallo Penipuan (pangembang Rusia pisanan Ngapusi Platform) mutusake kanggo njlèntrèhaké kanthi rinci beda, kaluwihan lan fitur arsitektur solusi kasebut.

Ayo ngerteni apa "honeypots" lan "deceptions" iku:

"Teknologi penipuan" muncul ing pasar sistem keamanan informasi bubar. Nanging, sawetara ahli isih nganggep Security Deception minangka honeypots sing luwih maju.

Ing artikel iki kita bakal nyoba kanggo nyorot loro podho lan beda dhasar antarane loro solusi iki. Ing bagean pisanan, kita bakal ngomong babagan honeypot, kepiye teknologi iki berkembang lan apa kaluwihan lan kekurangane. Lan ing bagean kapindho, kita bakal manggon kanthi rinci babagan prinsip operasi platform kanggo nggawe infrastruktur decoys sing disebarake (Inggris, Distributed Deception Platform - DDP).

Prinsip dhasar sing ndasari honeypots yaiku nggawe jebakan kanggo peretas. Solusi Deception pisanan dikembangake kanthi prinsip sing padha. Nanging DDP modern luwih unggul tinimbang honeypots, ing fungsi lan efisiensi. Platform penipuan kalebu: decoys, traps, lures, aplikasi, data, database, Active Directory. DDP modern bisa nyedhiyakake kemampuan sing kuat kanggo deteksi ancaman, analisis serangan, lan otomatisasi respon.

Dadi, Penipuan minangka teknik kanggo simulasi infrastruktur IT perusahaan lan peretas sing nyasab. Akibaté, platform kasebut bisa nyegah serangan sadurunge nyebabake karusakan sing signifikan marang aset perusahaan. Honeypots, mesthi, ora duwe fungsi sing wiyar lan tingkat otomatisasi kasebut, mula panggunaane mbutuhake kualifikasi luwih saka karyawan departemen keamanan informasi.

1. Honeypots, Honeynets lan Sandboxing: apa iku lan carane padha digunakake

Istilah "honeypots" pisanan digunakake ing taun 1989 ing buku Clifford Stoll "The Cuckoo's Egg", sing nggambarake acara nelusuri peretas ing Laboratorium Nasional Lawrence Berkeley (USA). Ide iki dileksanakake ing taun 1999 dening Lance Spitzner, spesialis keamanan informasi ing Sun Microsystems, sing ngedegake proyek riset Honeynet Project. Honeypots pisanan padha banget sumber-intensif, angel kanggo nyetel lan njaga.

Ayo padha nliti apa iku honeypots и honeynets. Honeypots minangka host individu sing tujuane kanggo narik panyerang kanggo nembus jaringan perusahaan lan nyoba nyolong data sing penting, uga nggedhekake area jangkoan jaringan. Honeypot (secara harfiah diterjemahake minangka "barel madu") minangka server khusus kanthi macem-macem layanan lan protokol jaringan, kayata HTTP, FTP, lsp. (ndeleng Fig. 1).

Yen sampeyan gabungke sawetara honeypots menyang jaringan, banjur kita bakal entuk sistem sing luwih efisien honeynet, sing minangka emulasi jaringan perusahaan perusahaan (server web, server file, lan komponen jaringan liyane). Solusi iki ngidini sampeyan ngerti strategi penyerang lan nyasarake. A honeynet khas, minangka aturan, makaryakke ing podo karo karo jaringan karya lan rampung independen saka iku. "Jaringan" kasebut bisa diterbitake ing Internet liwat saluran sing kapisah, sawetara alamat IP sing kapisah uga bisa dialokasikan (pirsani Gambar 2).

Titik nggunakake honeynet yaiku kanggo nuduhake peretas yen dheweke mesthine wis nembus jaringan perusahaan organisasi; nyatane, panyerang ana ing "lingkungan sing terisolasi" lan ing sangisore pengawasan spesialis keamanan informasi (pirsani Gambar 3).

Ing kene kita uga kudu nyebutake alat kayata "kothak wedhi"(Inggris, sandbox), sing ngidini panyerang nginstal lan mbukak malware ing lingkungan sing terisolasi ing ngendi IT bisa ngawasi aktivitase kanggo ngenali risiko potensial lan njupuk langkah-langkah pencegahan sing cocog. Saiki, sandboxing biasane dileksanakake ing mesin virtual khusus ing host virtual. Nanging, kudu dicathet yen sandboxing mung nuduhake carane program mbebayani lan mbebayani, dene honeynet mbantu spesialis nganalisa prilaku "pemain sing mbebayani."

Keuntungan sing jelas saka honeynets yaiku nyasarake panyerang, mbuwang energi, sumber daya lan wektu. Akibaté, tinimbang target nyata, dheweke nyerang sing palsu lan bisa mandheg nyerang jaringan tanpa entuk apa-apa. Paling asring, teknologi honeynets digunakake ing lembaga pemerintah lan perusahaan gedhe, organisasi finansial, amarga iki minangka struktur sing dadi target serangan cyber utama. Nanging, bisnis cilik lan menengah (UKM) uga mbutuhake alat sing efektif kanggo nyegah kedadeyan keamanan informasi, nanging honeynets ing sektor SMB ora gampang digunakake amarga kekurangan personel sing mumpuni kanggo karya rumit kasebut.

Watesan Solusi Honeypots lan Honeynets

Napa honeypots lan honeynets dudu solusi sing paling apik kanggo nglawan serangan saiki? Perlu dicathet yen serangan saya tambah akeh, sacara teknis rumit lan bisa nyebabake karusakan serius ing infrastruktur IT organisasi, lan kejahatan cyber wis tekan tingkat sing beda banget lan nggambarake struktur bisnis bayangan sing terorganisir kanthi kabeh sumber daya sing dibutuhake. Kanggo iki kudu ditambahake "faktor manungsa" (kesalahan ing setelan piranti lunak lan hardware, tumindak wong njero, lan liya-liyane), supaya mung nggunakake teknologi kanggo nyegah serangan saiki ora cukup.

Ing ngisor iki kita nyathet watesan lan kekurangan utama honeypots (honeynets):

1. Honeypots wiwitane dikembangake kanggo ngenali ancaman sing ana ing njaba jaringan perusahaan, luwih dimaksudake kanggo nganalisa prilaku para panyerang lan ora dirancang kanggo nanggapi ancaman kanthi cepet.

2. Penyerang, minangka aturan, wis sinau kanggo ngenali sistem sing ditiru lan ngindhari honeypots.

3. Honeynets (honeypots) duwe tingkat interaktivitas lan interaksi sing sithik banget karo sistem keamanan liyane, minangka asil, nggunakake honeypots, angel entuk informasi rinci babagan serangan lan panyerang, mula kanthi efektif lan cepet nanggapi kedadeyan keamanan informasi. . Kajaba iku, spesialis keamanan informasi nampa akeh tandha ancaman palsu.

4. Ing sawetara kasus, peretas bisa nggunakake honeypot sing dikompromi minangka titik wiwitan kanggo nerusake serangan ing jaringan organisasi.

5. Masalah asring muncul karo skalabilitas honeypots, beban operasional sing dhuwur lan konfigurasi sistem kasebut (padha mbutuhake spesialis sing mumpuni, ora duwe antarmuka manajemen sing trep, lan liya-liyane). Ana kesulitan gedhe kanggo nyebarake honeypot ing lingkungan khusus kayata IoT, POS, sistem awan, lsp.

2. Teknologi penipuan: kaluwihan lan prinsip operasi dhasar

Sawise sinau kabeh kaluwihan lan kekurangan honeypots, kita entuk kesimpulan manawa pendekatan anyar kanggo nanggapi kedadeyan keamanan informasi dibutuhake kanggo ngembangake respon sing cepet lan cukup kanggo tumindak para penyerang. Lan solusi kasebut yaiku teknologi Penipuan siber (Security deception).

Terminologi "Cyber ​​​​deception", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) relatif anyar lan muncul durung suwe. Nyatane, kabeh istilah kasebut tegese nggunakake "teknologi penipuan" utawa "teknik kanggo simulasi infrastruktur IT lan disinformasi para penyerang." Solusi Penipuan sing paling gampang yaiku pangembangan ide honeypots, mung ing tingkat sing luwih maju kanthi teknologi, sing kalebu otomatisasi deteksi ancaman lan nanggepi. Nanging, wis ana solusi kelas DDP serius ing pasar sing gampang disebarake lan ukuran, lan uga duwe arsenal serius "trap" lan "umpan" kanggo panyerang. Contone, Deception ngidini sampeyan niru obyek infrastruktur IT kayata database, workstation, router, switch, ATM, server lan SCADA, peralatan medis lan IoT.

Kepiye cara kerja Platform Penipuan Distribusi? Sawise DDP disebarake, infrastruktur IT organisasi bakal dibangun kaya-kaya saka rong lapisan: lapisan pisanan minangka infrastruktur nyata perusahaan, lan sing kapindho minangka lingkungan "ditiru" sing kalebu umpan lan umpan. lures), sing dumunung ing piranti jaringan fisik nyata (ndeleng Fig. 4).

Contone, panyerang bisa nemokake basis data palsu kanthi "dokumen rahasia", kredensial palsu sing dianggep "pengguna sing duwe hak istimewa" - kabeh iki minangka umpan sing bisa narik kawigaten para pelanggar, saéngga ngalihake perhatian saka aset informasi sejatine perusahaan (pirsani Gambar 5).

DDP minangka produk anyar ing pasar produk keamanan informasi; solusi kasebut mung sawetara taun lan nganti saiki mung sektor perusahaan sing bisa mbayar. Nanging bisnis cilik lan menengah uga bakal entuk manfaat saka Deception kanthi nyewa DDP saka panyedhiya khusus "minangka layanan." Pilihan iki malah luwih trep, amarga ora perlu kanggo personel Highly qualified dhewe.

Kauntungan utama teknologi Deception ditampilake ing ngisor iki:

• Keaslian (authenticity). Teknologi penipuan bisa ngasilake lingkungan IT perusahaan sing asli, niru sistem operasi kanthi kualitatif, IoT, POS, sistem khusus (medis, industri, lsp.), Layanan, aplikasi, kredensial, lsp. Decoys dicampur kanthi ati-ati karo lingkungan kerja, lan panyerang ora bakal bisa ngenali dheweke minangka honeypots.

• Implementasi. DDP nggunakake machine learning (ML) ing karyane. Kanthi bantuan ML, kesederhanaan, keluwesan ing setelan lan efisiensi implementasine Penipuan dijamin. "Traps" lan "honeypots" dianyari kanthi cepet, narik penyerang menyang infrastruktur IT "palsu" perusahaan, lan sauntara kuwi, sistem analisis canggih adhedhasar intelijen buatan bisa ndeteksi tumindak aktif peretas lan nyegah (contone, nyoba ngakses akun penipuan adhedhasar Active Directory).

• Kemudahan operasi. Platform Penipuan Distribusi Modern gampang dijaga lan dikelola. Biasane dikelola liwat konsol lokal utawa awan, kanthi kemampuan integrasi karo SOC perusahaan (Pusat Operasi Keamanan) liwat API lan akeh kontrol keamanan sing wis ana. Pangopènan lan operasi DDP ora mbutuhake layanan saka pakar keamanan informasi sing mumpuni.

• Skalabilitas. Penipuan keamanan bisa disebarake ing lingkungan fisik, virtual lan maya. DDP uga bisa sukses karo lingkungan khusus kayata IoT, ICS, POS, SWIFT, lsp. Platform Penipuan Lanjut bisa proyek "teknologi penipuan" menyang kantor terpencil lan lingkungan terpencil, tanpa perlu panyebaran platform lengkap tambahan.

• Interaksi. Nggunakake decoys kuat lan atraktif sing adhedhasar sistem operasi nyata lan pinter diselehake ing antarane infrastruktur IT nyata, platform Deception ngumpulake informasi ekstensif babagan panyerang. DDP banjur mesthekake yen tandha ancaman ditularake, laporan digawe, lan kedadeyan keamanan informasi kanthi otomatis ditanggapi.

• Titik wiwitan serangan. Ing Penipuan modern, jebakan lan umpan diselehake ing jangkoan jaringan, tinimbang ing njaba (kaya kasus honeypots). Model penyebaran decoy iki nyegah panyerang nggunakake minangka titik pengaruh kanggo nyerang infrastruktur IT nyata perusahaan. Solusi sing luwih maju saka kelas Deception duwe kemampuan nuntun lalu lintas, supaya sampeyan bisa ngarahake kabeh lalu lintas penyerang liwat sambungan khusus. Iki bakal ngidini sampeyan nganalisa kegiatan penyerang tanpa mbebayani aset perusahaan sing larang.

• Persuasiveness saka "teknologi penipuan". Ing tahap awal serangan, panyerang ngumpulake lan nganalisa data babagan infrastruktur IT, banjur digunakake kanggo mindhah horisontal liwat jaringan perusahaan. Kanthi bantuan "teknologi penipuan," panyerang mesthi bakal tiba ing "jebakan" sing bakal nuntun dheweke adoh saka aset nyata organisasi. DDP bakal nganalisa jalur potensial kanggo ngakses kredensial ing jaringan perusahaan lan menehi penyerang "target decoy" tinimbang kredensial nyata. Kapabilitas kasebut kurang banget ing teknologi honeypot. (Waca Gambar 6).

Ngapusi VS Honeypot

Lan pungkasane, kita teka ing wektu sing paling menarik ing riset kita. Kita bakal nyoba nyorot bedane utama antarane teknologi Deception lan Honeypot. Senadyan sawetara podho, rong teknologi iki isih beda banget, saka ide dhasar nganti efisiensi operasi.

1. Gagasan dhasar sing beda. Kaya sing kita tulis ing ndhuwur, honeypots dipasang minangka "decoys" ing sekitar aset perusahaan sing terkenal (ing njaba jaringan perusahaan), saéngga nyoba ngganggu panyerang. Teknologi Honeypot adhedhasar pemahaman babagan infrastruktur organisasi, nanging honeypot bisa dadi titik wiwitan kanggo ngluncurake serangan ing jaringan perusahaan. Teknologi penipuan dikembangake kanthi njupuk sudut pandang penyerang lan ngidini sampeyan ngenali serangan ing tahap awal, mula, spesialis keamanan informasi entuk keuntungan sing signifikan tinimbang para penyerang lan entuk wektu.

2. "Atraksi" VS "Kebingungan". Nalika nggunakake honeypots, sukses gumantung ing narik kawigaten manungsa waé saka panyerang lan luwih motivasi kanggo pindhah menyang target ing honeypot. Iki tegese penyerang isih kudu tekan honeypot sadurunge sampeyan bisa nyegah dheweke. Mangkono, anané panyerang ing jaringan bisa tahan nganti pirang-pirang wulan utawa luwih, lan iki bakal nyebabake kebocoran lan karusakan data. DDPs sacara kualitatif niru infrastruktur IT nyata saka perusahaan; tujuan implementasine ora mung kanggo narik perhatian penyerang, nanging kanggo mbingungake dheweke supaya mbuwang wektu lan sumber daya, nanging ora entuk akses menyang aset nyata saka perusahaan.

3. "Skalabilitas Terbatas" VS "Skalabilitas Otomatis". Kaya sing wis kasebut sadurunge, honeypots lan honeynets duwe masalah skala. Iki angel lan larang, lan kanggo nambah jumlah honeypots ing sistem perusahaan, sampeyan kudu nambah komputer anyar, OS, tuku lisensi, lan nyedhiyakake IP. Kajaba iku, uga kudu duwe personel sing mumpuni kanggo ngatur sistem kasebut. Platform penipuan kanthi otomatis dipasang minangka skala infrastruktur sampeyan, tanpa overhead sing signifikan.

4. "Akeh akeh positip palsu" VS "ora ana positip palsu". Intine masalah kasebut yaiku sanajan pangguna sing gampang bisa nemoni honeypot, saengga "kurang" teknologi iki minangka akeh positip palsu, sing ngganggu spesialis keamanan informasi saka pakaryane. "Baits" lan "traps" ing DDP kasebut kanthi teliti, didhelikake saka pangguna rata-rata lan dirancang mung kanggo panyerang, supaya saben sinyal saka sistem kuwi kabar saka ancaman nyata, lan ora positif palsu.

kesimpulan

Ing mratelakake panemume, teknologi Deception minangka dandan gedhe saka teknologi Honeypots sing lawas. Intine, DDP wis dadi platform keamanan lengkap sing gampang dipasang lan dikelola.

Platform modern saka kelas iki nduweni peran penting kanggo ndeteksi kanthi akurat lan nanggapi ancaman jaringan kanthi efektif, lan integrasi karo komponen liyane saka tumpukan keamanan nambah tingkat otomatisasi, nambah efisiensi lan efektifitas respon kedadeyan. Platform penipuan adhedhasar keaslian, skalabilitas, gampang manajemen lan integrasi karo sistem liyane. Kabeh iki menehi kauntungan sing signifikan ing kacepetan nanggepi kedadeyan keamanan informasi.

Uga, adhedhasar pengamatan saka pentests perusahaan ngendi platform Xello Deception dileksanakake utawa piloted, kita bisa nggawe kesimpulan sing malah pentesters experienced asring ora bisa ngenali umpan ing jaringan perusahaan lan gagal nalika padha tiba kanggo traps nyetel. Kasunyatan iki maneh nandheske efektifitas Penipuan lan prospek gedhe sing mbukak teknologi iki ing mangsa ngarep.

Pengujian produk

Yen sampeyan kasengsem ing platform Deception, mula kita siyap nindakake testing bebarengan.

Tetep dirungokake kanggo nganyari ing saluran kita (Telegram, Facebook, VK, Blog Solusi TS)!

Source: www.habr.com