Xello мысалында Honeypot vs Deception

Habré-де Honeypot және Deception технологиялары туралы бірнеше мақалалар бар (1 мақала, 2 мақала). Дегенмен, біз әлі де қорғаныс құралдарының осы сыныптары арасындағы айырмашылықты түсінбеушілікпен бетпе-бет келеміз. Бұл үшін біздің әріптестеріміз Сәлем алдау (бірінші ресейлік әзірлеуші Платформаны алдау) осы шешімдердің айырмашылықтарын, артықшылықтарын және архитектуралық ерекшеліктерін егжей-тегжейлі сипаттауды шешті.

«Балдар» мен «алдау» дегеніміз не екенін анықтайық:

Ақпараттық қауіпсіздік жүйелері нарығында «алдау технологиялары» салыстырмалы түрде жақында пайда болды. Дегенмен, кейбір сарапшылар әлі де Қауіпсіздікті алдауды тек жетілдірілген бал құмыралары деп санайды.

Бұл мақалада біз осы екі шешімнің ұқсастықтары мен түбегейлі айырмашылықтарын көрсетуге тырысамыз. Бірінші бөлімде біз бал құмырасы, бұл технологияның қалай дамығаны және оның артықшылықтары мен кемшіліктері туралы айтатын боламыз. Ал екінші бөлімде біз алаяқтардың бөлінген инфрақұрылымын құруға арналған платформалардың жұмыс істеу принциптеріне егжей-тегжейлі тоқталамыз (ағылшынша, Distributed Deception Platform - DDP).

Бал құмыраларының негізгі принципі - хакерлерге тұзақ жасау. Алғашқы алдау шешімдері дәл сол принцип бойынша жасалған. Бірақ қазіргі заманғы DDP-лер функционалдылық пен тиімділік бойынша бал құмырасына қарағанда айтарлықтай жоғары. Алдау платформаларына мыналар жатады: алаяқтар, тұзақтар, алаяқтар, қолданбалар, деректер, дерекқорлар, Active Directory. Қазіргі заманғы DDP қателерді анықтау, шабуылдарды талдау және жауап беруді автоматтандыру үшін қуатты мүмкіндіктерді қамтамасыз ете алады.

Осылайша, алдау - бұл кәсіпорынның АТ-инфрақұрылымын имитациялау және хакерлерді адастыру әдісі. Нәтижесінде, мұндай платформалар компания активтеріне айтарлықтай зиян келтірмес бұрын шабуылдарды тоқтатуға мүмкіндік береді. Бал балшықтары, әрине, мұндай кең функционалдылыққа және автоматтандырудың мұндай деңгейіне ие емес, сондықтан оларды пайдалану ақпараттық қауіпсіздік бөлімшелерінің қызметкерлерінен жоғары біліктілікті талап етеді.

1. Honeypots, Honeynets және Sandboxing: бұл не және олар қалай қолданылады

«Бал құмыралары» термині алғаш рет 1989 жылы Клиффорд Столлдың Лоуренс Беркли ұлттық зертханасында (АҚШ) хакерді қадағалайтын оқиғаларды сипаттайтын «Көкектің жұмыртқасы» кітабында қолданылған. Бұл идеяны 1999 жылы Honeynet Project зерттеу жобасының негізін қалаған Sun Microsystems компаниясының ақпараттық қауіпсіздік жөніндегі маманы Лэнс Шпицнер іске асырды. Алғашқы бал құмыралары өте ресурстарды қажет ететін, орнату және күтіп ұстау қиын болды.

Оның не екенін егжей-тегжейлі қарастырайық honeypots и бал торлары. Honeypots - жеке хосттар, олардың мақсаты компанияның желісіне ену және құнды деректерді ұрлауға тырысу үшін шабуылдаушыларды тарту, сондай-ақ желінің қамту аймағын кеңейту. Honeypot (сөзбе-сөз аударғанда «бал бөшкесі») — HTTP, FTP және т.б. сияқты әртүрлі желілік қызметтер мен протоколдар жиынтығы бар арнайы сервер. (1-суретті қараңыз).

Бірнеше біріктірсеңіз honeypots желіге енгізсек, біз тиімдірек жүйеге ие боламыз бал торы, бұл компанияның корпоративтік желісінің эмуляциясы (веб-сервер, файл сервері және басқа желі құрамдастары). Бұл шешім шабуылдаушылардың стратегиясын түсінуге және оларды адастыруға мүмкіндік береді. Әдеттегі бал торы, әдетте, жұмыс желісімен параллель жұмыс істейді және одан толығымен тәуелсіз. Мұндай «желі» Интернетте бөлек арна арқылы жариялануы мүмкін, оған IP мекенжайларының бөлек диапазоны да бөлінуі мүмкін (2-суретті қараңыз).

Honeynet-ті пайдаланудың мәні хакерге ұйымның корпоративтік желісіне еніп кеткенін көрсету болып табылады, шын мәнінде, шабуылдаушы «оқшауланған ортада» және ақпараттық қауіпсіздік мамандарының мұқият бақылауында (3-суретті қараңыз).

Бұл жерде біз сондай-ақ осындай құралды атап өтуіміз керек «құмсалғыш«(ағылшын, құмсалғыш), бұл зиянкестерге зиянды бағдарламаларды оқшауланған ортада орнатуға және іске қосуға мүмкіндік береді, мұнда АТ ықтимал тәуекелдерді анықтау және тиісті қарсы шаралар қабылдау үшін олардың әрекеттерін бақылай алады. Қазіргі уақытта құмсалғыш әдетте виртуалды хосттағы арнайы виртуалды машиналарда жүзеге асырылады. Дегенмен, құмсалғыш тек қауіпті және зиянды бағдарламалардың әрекетін көрсетеді, ал honeynet маманға «қауіпті ойыншылардың» мінез-құлқын талдауға көмектеседі.

Бал торларының айқын пайдасы - олар шабуылдаушыларды адастырып, күштерін, ресурстарын және уақыттарын босқа жұмсайды. Нәтижесінде, олар нақты нысандардың орнына жалғандарға шабуыл жасайды және ештеңеге қол жеткізбестен желіге шабуыл жасауды тоқтата алады. Көбінесе honeynets технологиялары мемлекеттік органдарда және ірі корпорацияларда, қаржы ұйымдарында қолданылады, өйткені бұл құрылымдар ірі кибершабуылдардың нысанасына айналады. Дегенмен, шағын және орта бизнес (ШОБ) үшін де ақпараттық қауіпсіздік инциденттерінің алдын алудың тиімді құралдары қажет, бірақ мұндай күрделі жұмыстарды орындау үшін білікті кадрлардың жетіспеушілігінен ШОБ секторындағы бал торларын пайдалану оңай емес.

Honeypots және Honeynets шешімдерінің шектеулері

Неліктен бал құмыралары мен торлар бүгінгі күні шабуылдарға қарсы тұрудың ең жақсы шешімдері емес? Айта кету керек, шабуылдар барған сайын ауқымды, техникалық жағынан күрделі және ұйымның АТ-инфрақұрылымына елеулі зиян келтіруге қабілетті болып келеді, ал киберқылмыс мүлде басқа деңгейге жетті және барлық қажетті ресурстармен жабдықталған жоғары деңгейде ұйымдастырылған көлеңкелі бизнес құрылымдарын білдіреді. Бұған «адам факторын» қосу керек (бағдарламалық және аппараттық құралдар параметрлеріндегі қателер, инсайдерлердің әрекеттері және т.б.), сондықтан шабуылдарды болдырмау үшін тек технологияны пайдалану қазіргі уақытта жеткіліксіз.

Төменде біз бал құмыраларының (бал торларының) негізгі шектеулері мен кемшіліктерін тізімдейміз:

1. Honeypots бастапқыда корпоративтік желіден тыс қауіптерді анықтау үшін жасалған, шабуылдаушылардың мінез-құлқын талдауға арналған және қауіптерге тез жауап беруге арналмаған.

2. Шабуылшылар, әдетте, эмуляцияланған жүйелерді тануды және бал құмыраларынан аулақ болуды үйренді.

3. Honeynets (honeypots) басқа қауіпсіздік жүйелерімен интерактивтілігі мен өзара әрекеттесуінің өте төмен деңгейіне ие, соның салдарынан honeypots көмегімен шабуылдар мен шабуылдаушылар туралы егжей-тегжейлі ақпарат алу қиын, сондықтан ақпараттық қауіпсіздік инциденттеріне тиімді және жылдам әрекет ету қиын. . Сонымен қатар, ақпараттық қауіпсіздік мамандары көптеген жалған қауіп туралы ескертулерді алады.

4. Кейбір жағдайларда хакерлер ұйымның желісіне шабуылын жалғастыру үшін бастапқы нүкте ретінде бұзылған бал құмырасын пайдалана алады.

5. Көбінесе бал құмыраларының ауқымдылығымен, жоғары операциялық жүктемемен және мұндай жүйелердің конфигурациясымен проблемалар туындайды (олар жоғары білікті мамандарды қажет етеді, басқарудың ыңғайлы интерфейсі жоқ және т.б.). IoT, POS, бұлттық жүйелер және т.

2. Алдау технологиясы: артықшылықтары мен негізгі жұмыс принциптері

Балдың барлық артықшылықтары мен кемшіліктерін зерттей келе, біз шабуылдаушылардың әрекеттеріне жылдам және барабар жауап беруді дамыту үшін ақпараттық қауіпсіздік инциденттеріне жауап берудің мүлдем жаңа тәсілі қажет деген қорытындыға келдік. Ал мұндай шешім – технология Кибералдау (Қауіпсіздікті алдау).

«Кибералдау», «Қауіпсіздікті алдау», «Алдау технологиясы», «Таратылған алдау платформасы» (DDP) терминологиясы салыстырмалы түрде жаңа және жақында пайда болды. Шын мәнінде, бұл терминдердің барлығы «алдау технологияларын» немесе «АТ-инфрақұрылымын имитациялау және шабуылдаушыларды жалған ақпараттандыру әдістерін» пайдалануды білдіреді. Алдаудың ең қарапайым шешімдері - бұл қауіпті анықтау және оларға әрекет етуді автоматтандыруды қамтитын неғұрлым технологиялық деңгейде ғана бал құмыралары идеяларының дамуы. Дегенмен, нарықта DDP сыныбының маңызды шешімдері бар, оларды орналастыру және масштабтау оңай, сонымен қатар шабуылдаушылар үшін «тұзақтар» мен «жемдердің» маңызды арсеналы бар. Мысалы, Deception дерекқорлар, жұмыс станциялары, маршрутизаторлар, коммутаторлар, банкоматтар, серверлер және SCADA, медициналық жабдықтар және IoT сияқты АТ инфрақұрылым нысандарын эмуляциялауға мүмкіндік береді.

Бөлінген алдау платформасы қалай жұмыс істейді? DDP енгізілгеннен кейін ұйымның АТ-инфрақұрылымы екі қабаттан тұратындай құрылады: бірінші қабат – компанияның нақты инфрақұрылымы, ал екіншісі – алаяқтар мен жемдерден тұратын «эмуляцияланған» орта, олар орналасқан. нақты физикалық желі құрылғыларында (4-суретті қараңыз).

Мысалы, шабуылдаушы «құпия құжаттары» бар жалған дерекқорларды, «артықшылықты пайдаланушылардың» жалған тіркелгі деректерін таба алады - мұның бәрі бұзушыларды қызықтыратын, осылайша олардың назарын компанияның шынайы ақпараттық активтерінен басқа жаққа аударатын айла-шарғылар (5-суретті қараңыз).

DDP – бұл ақпараттық қауіпсіздік өнімдері нарығындағы жаңа өнім; бұл шешімдерге небәрі бірнеше жыл болды және әзірге оларды тек корпоративтік сектор сатып ала алады. Бірақ шағын және орта бизнес жақын арада «қызмет ретінде» мамандандырылған провайдерлерден DDP жалға алу арқылы алдаудың артықшылығын пайдалана алады. Бұл опция одан да ыңғайлы, өйткені өзіңіздің жоғары білікті мамандарыңыз қажет емес.

Алдау технологиясының негізгі артықшылықтары төменде көрсетілген:

• Түпнұсқалық (түпнұсқалық). Алдау технологиясы компанияның толық түпнұсқалық АТ ортасын жаңғыртуға қабілетті, операциялық жүйелерді, IoT, POS, мамандандырылған жүйелер (медициналық, өндірістік және т.б.), қызметтерді, қосымшаларды, тіркелгі деректерін және т.б. Алаяқтар жұмыс ортасымен мұқият араласады және шабуылдаушы оларды бал құмыралары ретінде анықтай алмайды.

• Кіріспе. DDP өз жұмысында машиналық оқытуды (ML) пайдаланады. ML көмегімен қарапайымдылық, параметрлердегі икемділік және алдауды жүзеге асырудың тиімділігі қамтамасыз етіледі. «Тұзақтар» мен «тұзаулар» өте тез жаңартылып, шабуылдаушыны компанияның «жалған» АТ-инфрақұрылымына тартады, ал бұл арада жасанды интеллектке негізделген жетілдірілген талдау жүйелері хакерлердің белсенді әрекеттерін анықтап, олардың алдын алады (мысалы, Active Directory негізіндегі жалған тіркелгілерге кіру әрекеті).

• Оңай жұмыс істеу. Қазіргі таратылған алдау платформаларына техникалық қызмет көрсету және басқару оңай. Олар әдетте API арқылы корпоративтік SOC (Қауіпсіздік операциялары орталығы) және көптеген қолданыстағы қауіпсіздік басқару элементтерімен біріктіру мүмкіндіктері бар жергілікті немесе бұлттық консоль арқылы басқарылады. DDP техникалық қызмет көрсету және пайдалану ақпараттық қауіпсіздік бойынша жоғары білікті мамандардың қызметтерін қажет етпейді.

• Масштабтылық. Қауіпсіздікті алдауды физикалық, виртуалды және бұлттық орталарда қолдануға болады. DDPs сонымен қатар IoT, ICS, POS, SWIFT және т.б. сияқты мамандандырылған орталармен сәтті жұмыс істейді. Жетілдірілген алдау платформалары платформаны қосымша толық орналастыруды қажет етпей, қашықтағы кеңселер мен оқшауланған орталарға «алдау технологияларын» жобалай алады.

• Өзара әрекеттесу. Нақты операциялық жүйелерге негізделген және нақты АТ-инфрақұрылымы арасында ақылды түрде орналастырылған қуатты және тартымды айлаларды пайдалана отырып, Deception платформасы шабуылдаушы туралы кең ақпаратты жинайды. Содан кейін DDP қауіп ескертулерінің берілуін, есептердің жасалуын және ақпараттық қауіпсіздік инциденттеріне автоматты түрде жауап беруін қамтамасыз етеді.

• Шабуылдың басталу нүктесі. Заманауи Алдауда тұзақтар мен жемдер желіден тыс емес, оның ауқымына орналастырылады (бал құмыралары сияқты). Бұл алдамшы орналастыру үлгісі шабуылдаушының оларды компанияның нақты АТ инфрақұрылымына шабуыл жасау үшін левередж нүктесі ретінде пайдалануына жол бермейді. Deception класының жетілдірілген шешімдерінде трафикті бағыттау мүмкіндіктері бар, сондықтан барлық шабуылдаушы трафигін арнайы бөлінген қосылым арқылы бағыттай аласыз. Бұл компанияның құнды активтеріне қауіп төндірмей, шабуылдаушылардың белсенділігін талдауға мүмкіндік береді.

• «Алдау технологияларының» нанымдылығы. Шабуылдың бастапқы кезеңінде шабуылдаушылар АТ-инфрақұрылымы туралы деректерді жинайды және талдайды, содан кейін оны корпоративтік желі арқылы көлденеңінен жылжыту үшін пайдаланады. «Алдау технологияларының» көмегімен шабуылдаушы міндетті түрде оны ұйымның нақты активтерінен алшақтататын «тұзақтарға» түседі. DDP корпоративтік желідегі тіркелгі деректеріне қол жеткізудің әлеуетті жолдарын талдайды және шабуылдаушыға нақты тіркелгі деректерінің орнына «алмау мақсаттарымен» қамтамасыз етеді. Бұл мүмкіндіктер бал құмырасы технологияларында өте жетіспеді. (6-суретті қараңыз).

Алдау VS Honeypot

Сонымен, біз зерттеуіміздің ең қызықты сәтіне келдік. Біз Deception және Honeypot технологияларының негізгі айырмашылықтарын көрсетуге тырысамыз. Кейбір ұқсастықтарға қарамастан, бұл екі технология негізгі идеядан жұмыс тиімділігіне дейін әлі де өте ерекшеленеді.

1. Әр түрлі негізгі идеялар. Жоғарыда жазғанымыздай, бал құмыралары компанияның құнды активтерінің айналасында (корпоративтік желіден тыс) «алу» ретінде орнатылады, осылайша шабуылдаушыларды алаңдатуға тырысады. Honeypot технологиясы ұйымның инфрақұрылымын түсінуге негізделген, бірақ бал құмыралары компания желісіне шабуыл жасаудың бастапқы нүктесі бола алады. Алдау технологиясы шабуылдаушының көзқарасын ескере отырып әзірленген және шабуылды ерте кезеңде анықтауға мүмкіндік береді, осылайша, ақпараттық қауіпсіздік мамандары шабуылдаушылардан айтарлықтай артықшылыққа ие болып, уақыт ұтады.

2. «Тартымдылық» VS «Шатасу». Бал құмыраларын пайдаланған кезде табысқа шабуыл жасаушылардың назарын аударуға және оларды бал құмырасында нысанаға өтуге одан әрі ынталандыруға байланысты. Бұл сіз оны тоқтатпастан бұрын шабуылдаушы әлі де балға жетуі керек дегенді білдіреді. Осылайша, желіде шабуылдаушылардың болуы бірнеше айға немесе одан да көп уақытқа созылуы мүмкін және бұл деректердің ағып кетуіне және зақымдалуына әкеледі. DDP-лер компанияның нақты АТ-инфрақұрылымына сапалы түрде еліктейді; оларды жүзеге асырудың мақсаты шабуылдаушының назарын аудару ғана емес, оны уақыт пен ресурстарды босқа кетіретіндей шатастыру, бірақ оның нақты активтеріне қол жеткізе алмайды. компания.

3. «Шектеулі масштабтау» VS «автоматты масштабтау». Жоғарыда айтылғандай, бал құмыралары мен бал торларында масштабтау мәселелері бар. Бұл қиын және қымбат, сондықтан корпоративтік жүйеде бал ұяларының санын көбейту үшін сізге жаңа компьютерлер, ОЖ қосу, лицензияларды сатып алу және IP бөлу қажет болады. Сонымен қатар, мұндай жүйелерді басқару үшін білікті мамандар қажет. Алдамдық платформалар сіздің инфрақұрылымыңыздың ауқымы ретінде айтарлықтай үстеме шығындарсыз автоматты түрде орналастырылады.

4. «Жалған позитивтердің көп саны» VS «жалған позитивтер жоқ». Мәселенің мәні мынада, тіпті қарапайым қолданушы да бал құмырасына кезігуі мүмкін, сондықтан бұл технологияның «кемшілігі» ақпараттық қауіпсіздік мамандарын өз жұмысынан алшақтататын көптеген жалған позитивтер болып табылады. DDP-дегі «жем» және «тұзақтар» қарапайым пайдаланушыдан мұқият жасырылған және тек шабуылдаушыға арналған, сондықтан мұндай жүйенің әрбір сигналы жалған позитив емес, нақты қауіп туралы хабарлама болып табылады.

қорытынды

Біздің ойымызша, Deception технологиясы ескі Honeypots технологиясына қарағанда үлкен жақсарту болып табылады. Негізінде, DDP қолдану және басқару оңай кешенді қауіпсіздік платформасына айналды.

Бұл класстың заманауи платформалары желілік қауіптерді дәл анықтауда және оларға тиімді әрекет етуде маңызды рөл атқарады және олардың қауіпсіздік стекінің басқа компоненттерімен интеграциясы автоматтандыру деңгейін жоғарылатады, инциденттерге әрекет етудің тиімділігі мен тиімділігін арттырады. Алдаудың платформалары түпнұсқалыққа, масштабтауға, басқарудың қарапайымдылығына және басқа жүйелермен интеграцияға негізделген. Мұның бәрі ақпараттық қауіпсіздік инциденттеріне әрекет ету жылдамдығында айтарлықтай артықшылық береді.

Сондай-ақ, Xello Deception платформасы енгізілген немесе сынақтан өткізілген компаниялардың пентесттерін бақылауға сүйене отырып, біз тәжірибелі пентестерлер де корпоративтік желідегі жемді жиі тани алмайды және тұзаққа түскен кезде сәтсіздікке ұшырайды деген қорытынды жасауға болады. Бұл факт алдаудың тиімділігін және болашақта осы технология үшін ашылатын үлкен перспективаларды тағы бір рет растайды.

Өнімді сынау

Егер сізді алдау платформасы қызықтырса, біз дайынбыз бірлескен сынақтар өткізу.

Біздің арналардағы жаңартуларды күтіңіз (Telegram, Facebook, VK, TS Solution блогы)!

Ақпарат көзі: www.habr.com