Honeypot vs Xapandin li ser mînaka Xello

Jixwe gelek gotar li ser Habré li ser teknolojiyên Honeypot û Xapandinê hene (1 gotar, 2 gotar). Lêbelê, em hîn jî bi kêmasiya têgihîştina cûdahiya di navbera van çînên alavên parastinê de rû bi rû ne. Ji bo vê, hevkarên me ji Hello Deception (Yekemîn pêşdebirê rûsî Xapandina Platformê) biryar da ku bi hûrgulî cûdahî, avantaj û taybetmendiyên mîmarî yên van çareseriyan vebêje.

Ka em fêr bibin ka "honeypot" û "xapandin" çi ne:

"Teknolojiyên xapandinê" li ser bazara pergalên ewlehiya agahdariyê di van demên dawî de xuya bûn. Lêbelê, hin pispor hîn jî Xapandina Ewlekariyê wekî honeypotên pêşkeftî dibînin.

Di vê gotarê de em ê hewl bidin ku hem wekhevî û hem jî cûdahiyên bingehîn di navbera van her du çareseriyan de ronî bikin. Di beşa yekem de, em ê li ser honeypotê bipeyivin, ka ev teknolojî çawa pêş ketiye û awantaj û dezawantajên wê çi ne. Û di beşa duyemîn de, em ê bi hûrgulî li ser prensîbên xebitandina platforman ji bo afirandina binesaziyek belavkirî ya deqan (Îngilîzî, Platforma Xapandina Dabeşkirî - DDP) rawestin.

Prensîba bingehîn a ku di binê honeypotan de ye ew e ku ji bo hackeran kemînan çêbikin. Yekem çareseriyên Xapandinê li ser heman prensîbê hatin pêşve xistin. Lê DDP-yên nûjen hem di fonksîyon û hem jî di karîgeriyê de ji honeypot-an pir girîng in. Platformên xapandinê ev in: dek û dolaban, xefik, xefik, serîlêdan, dane, databas, Pelrêça Active. DDP-yên nûjen dikarin ji bo vedîtina tehdîdê, analîzkirina êrîşê, û otomatîkkirina bersivê kapasîteyên hêzdar peyda bikin.

Bi vî rengî, xapandin teknîkek e ji bo simulkirina binesaziya IT-ya pargîdaniyek û xapandina hackeran. Wekî encamek, platformên weha gengaz dikin ku êrişan rawestînin berî ku zirarek girîng bide malên pargîdanî. Honeypots, bê guman, ne xwedan fonksiyonek wusa berfireh û astek wusa otomasyonê ne, ji ber vê yekê karanîna wan ji karmendên beşên ewlehiya agahdariyê bêtir jêhatîbûnê hewce dike.

1. Honeypots, Honeynets and Sandboxing: ew çi ne û çawa têne bikar anîn

Têgeha "honeypots" cara yekem di sala 1989 de di pirtûka Clifford Stoll "Hêka Cuckoo" de hate bikar anîn, ku bûyerên peydakirina hackerek li Laboratoriya Neteweyî ya Lawrence Berkeley (DYA) vedibêje. Ev raman di sala 1999-an de ji hêla Lance Spitzner, pisporê ewlehiya agahdariyê li Sun Microsystems, ku projeya lêkolînê ya Projeya Honeynet damezrand, ket pratîkê. Honeypotên yekem pir çavkanî-dijwar bûn, sazkirin û domandin dijwar bûn.

Werin em ji nêz ve binihêrin ka ew çi ye honeypots и honeynets. Honeypots mêvandarên ferdî ne ku armanca wan ew e ku êrîşkaran bikişîne da ku bikevin nav tora pargîdaniyek û hewl bidin ku daneyên hêja bidizin, û her weha qada vegirtina torê berfireh bikin. Honeypot (bi rastî wekî "bermîla hingiv" tê wergerandin) serverek taybetî ye ku bi komek karûbarên torê û protokolên cihêreng, wek HTTP, FTP, hwd. (binêre Fig. 1).

Heke hûn çend hev bikin honeypots bikeve nav torê, wê hingê em ê pergalek bikêrtir bistînin honeynet, ku emûlasyonek tora pargîdanî ya pargîdaniyek e (pêşkêşkara malperê, servera pelê, û hêmanên torê yên din). Ev çareserî dihêle hûn stratejiya êrîşkaran fêm bikin û wan bixapînin. Honeynetek tîpîk, bi gelemperî, bi tora xebatê re paralel tevdigere û bi tevahî jê serbixwe ye. "Tor"ek weha dikare bi kanalek veqetandî li ser Înternetê were weşandin; rêzek navnîşanên IP-yê jî ji bo wê were veqetandin (binêre Fig. 2).

Mebesta karanîna honeynet ev e ku nîşanî hacker bide ku ew qaşo ketiye nav tora pargîdanî ya rêxistinê; bi rastî, êrîşkar di "hawirdorek veqetandî" de ye û di bin çavdêriya nêzîk a pisporên ewlehiya agahdariyan de ye (binihêre Fig. 3).

Li vir jî divê em behsa amûreke wek “sandbox"(Îngilîzî, sandbox), ku destûrê dide êrîşkaran ku malware li hawîrdorek veqetandî saz bikin û bimeşînin ku IT dikare çalakiyên wan bişopîne da ku xetereyên potansiyel nas bike û tedbîrên guncav bigire. Heya nuha, sandboxing bi gelemperî li ser makîneyên virtual yên taybetî yên li ser mêvandarek virtual tête bicîh kirin. Lêbelê, divê were zanîn ku sandboxing tenê nîşan dide ka bernameyên çiqas xeternak û xerab tevdigerin, di heman demê de honeynet ji pisporek re dibe alîkar ku behreya "lîstikên xeternak" analîz bike.

Feydeya eşkere ya honeynets ev e ku ew êrîşkaran dixapînin, enerjî, çavkanî û wextê xwe winda dikin. Di encamê de, li şûna armancên rastîn, ew êrîşî yên derewîn dikin û bêyî ku bigihîjin tiştekê dikarin êrîşa torê rawestînin. Bi gelemperî, teknolojiyên honeynets di saziyên hukûmetê û pargîdaniyên mezin, rêxistinên darayî de têne bikar anîn, ji ber ku ev strukturên ku ji bo êrîşên mezin ên sîber dibin hedef in. Lêbelê, karsaziyên piçûk û navîn (SMB) di heman demê de hewceyê amûrên bi bandor in ku pêşî li bûyerên ewlehiya agahdariyê bigirin, lê honeynets di sektora SMB de ji ber nebûna personelên jêhatî ji bo karên weha tevlihev ne ew qas hêsan têne bikar anîn.

Sînorên Honeypots û Çareseriyên Honeynets

Çima honeypots û honeynets ne baştirîn çareserî ji bo li dijî êrîşan îro? Divê were zanîn ku êrîş her ku diçe mezin dibin, ji hêla teknîkî ve tevlihev dibin û dikarin zirarek cidî bidin binesaziya IT a rêxistinê, û sûcê sîber gihîştiye astek bi tevahî cûda û nûnertiya strukturên karsaziya siya pir organîzekirî dike ku bi hemî çavkaniyên pêwîst ve hatine peyda kirin. Li ser vê yekê divê "faktora mirovî" (çewtiyên di mîhengên nermalavê û hardware, kiryarên hundurîn, hwd.) de were zêdekirin, ji ber vê yekê tenê karanîna teknolojiyê ji bo pêşîgirtina êrîşan êdî têrê nake.

Li jêr em sînor û dezawantajên sereke yên honeypots (honeynets) navnîş dikin:

1. Honeypots bi eslê xwe hatine pêşve xistin da ku tehdîdên ku li derveyî tora pargîdanî ne nas bikin, ji bo analîzkirina tevgera êrîşkaran têne armanc kirin û ne ji bo bersivdana bilez li gefan hatine çêkirin.

2. Êrîşker, wekî qaîdeyek, berê fêr bûne ku pergalên emulkirî nas bikin û xwe ji honeypots dûr bixin.

3. Honeynets (honeypots) xwedan asteke pir nizm a înteraktîf û danûstendinê bi pergalên din ên ewlehiyê re ne, ji ber vê yekê, bi karanîna honeypots, zehmet e ku meriv agahdariya hûrgulî derbarê êrîş û êrîşkaran de bi dest bixe, û ji ber vê yekê bersivdana bi bandor û bilez ji bûyerên ewlehiya agahdariyê re dijwar e. . Wekî din, pisporên ewlehiya agahdariyê hejmareke mezin a hişyariyên xeternak ên derewîn digirin.

4. Di hin rewşan de, hacker dikarin honeypotek lihevhatî wekî destpêkek bikar bînin da ku êrîşa xwe li ser tora rêxistinek bidomînin.

5. Pirsgirêkan bi gelemperî bi pîvanbûna honeypots, barkirina xebitandinê ya bilind û veavakirina pergalên weha re derdikevin (ew hewceyê pisporên pir jêhatî ne, ne xwedan navgînek rêveberiyê ya rehet, hwd.). Zehmetiyên mezin di danîna honeypots de li hawîrdorên pispor ên wekî IoT, POS, pergalên ewr, hwd.

2. Teknolojiya xapandinê: avantaj û prensîbên xebatê yên bingehîn

Piştî lêkolîna hemî awantaj û dezawantajên honeypots, em gihîştin vê encamê ku ji bo bersivdana bilez û têr bersivek li hember kiryarên êrîşkaran pêdivî bi nêzîkatiyek bi tevahî nû heye ji bo bersivdana bûyerên ewlehiya agahdariyê. Û çareseriyek wisa teknolojî ye Xapandina sîber (xapandina ewlehiyê).

Termînolojiya "xapandina sîber", "xapandina ewlehiyê", "teknolojiya xapandinê", "Platforma xapandinê ya belavkirî" (DDP) nisbeten nû ye û ne demek berê xuya bû. Di rastiyê de, hemî van peyvan tê wateya karanîna "teknolojiyên xapandinê" an "teknîkên ji bo simulkirina binesaziya IT û dezenformasyona êrîşkaran." Çareseriyên Xapandinê yên hêsan pêşkeftinek ramanên honeypotan e, tenê di astek teknolojîk pêşkeftî de, ku bixweberkirina mezintir a vedîtina xetereyê û bersivdana wan vedihewîne. Lêbelê, jixwe çareseriyên ciddî yên çîna DDP-ê li ser sûkê hene ku bi hêsanî têne bicîh kirin û pîvandin, û di heman demê de ji bo êrîşkaran cebilxaneyek cidî ya "xefik" û "xefik" hene. Mînakî, Xapandin dihêle hûn tiştên binesaziya IT-ê yên wekî databas, stasyonên xebatê, rêwer, guheztin, ATM, server û SCADA, alavên bijîjkî û IoT bişelînin.

Platforma Xapandinê ya Belavkirî çawa dixebite? Piştî ku DDP were bicîh kirin, dê binesaziya IT-ya rêxistinê mîna ku ji du qatan were çêkirin: qata yekem binesaziya rastîn a pargîdaniyê ye, û ya duyemîn jîngehek "emulated" e ku ji dek û dolaban pêk tê. li ser cîhazên torê yên fîzîkî yên rastîn (binêre Fig. 4).

Mînakî, êrîşkarek dikare databasên derewîn bi "belgeyên nepenî", pêbaweriyên sexte yên qaşo "bikarhênerên xwedî îmtiyaz" keşif bike - ev hemî dek û dolaban in ku dikarin binpêkeran eleqedar bikin, bi vî rengî bala wan ji sermayeyên agahdariya rastîn ên pargîdanî bikişîne (binihêre Figure 5).

DDP hilberek nû ye li ser bazara hilbera ewlehiya agahdarî; ev çareserî tenê çend sal in û heya nuha tenê sektora pargîdanî dikare wan peyda bike. Lê karsaziyên piçûk û navîn dê di demek nêzîk de jî karibin sûdê ji Xapandinê bigirin bi kirêkirina DDP ji pêşkêşkerên pispor "wek karûbar". Ev vebijark hê hêsantir e, ji ber ku hewcedariya we bi personelên weyên pir jêhatî tune.

Feydeyên sereke yên teknolojiya Xapandinê li jêr têne destnîşan kirin:

• Rastî (rastî). Teknolojiya xapandinê karibe hawîrdorek IT-ya pargîdaniyek bi tevahî otantîk ji nû ve hilberîne, pergalên xebitandinê, IoT, POS, pergalên pispor (bijîjkî, pîşesazî, hwd.), karûbar, serîlêdan, pêbawer, hwd. Deqên bi baldarî bi hawîrdora xebatê re têne tevlihev kirin, û êrîşkar dê nikaribe wan wekî hingiv nas bike.

• Jêvekirin. DDP di xebata xwe de fêrbûna makîneyê (ML) bikar tînin. Bi alîkariya ML, sadebûn, nermbûn di mîhengan de û bikêrhatina pêkanîna Xapandinê tê misoger kirin. "Trap" û "honeypots" pir zû têne nûve kirin, êrîşkarek di nav binesaziya IT ya "derew" ya pargîdaniyê de dikişîne, û di vê navberê de, pergalên analîzên pêşkeftî yên ku li ser bingeha îstîxbarata sûnî ne dikarin kiryarên çalak ên hakeran tespît bikin û pêşî li wan bigirin (mînak, hewl bidin ku bigihîjin hesabên xapînok ên bingehîn ên Active Directory).

• Hêsaniya operasyonê. Platformên Xapandinê yên Belavkirî yên Nûjen têne parastin û rêvebirin hêsan in. Ew bi gelemperî bi konsolek herêmî an ewr ve, bi kapasîteyên entegrasyonê yên bi SOC-ya pargîdanî (Navenda Operasyonên Ewlekariyê) bi API-yê û bi gelek kontrolên ewlehiyê yên heyî ve têne rêve kirin. Parastin û xebitandina DDP-ê hewceyê karûbarên pisporên ewlehiya agahdariya pir jêhatî nake.

• Scalability. Xapandina ewlehiyê dikare di hawîrdorên laşî, virtual û ewr de were bicîh kirin. DDP di heman demê de bi hawîrdorên pispor ên wekî IoT, ICS, POS, SWIFT, hwd re bi serfirazî dixebitin. Platformên xapandinê yên pêşkeftî dikarin "teknolojiyên xapandinê" li ofîsên dûr û hawîrdorên veqetandî proje bikin, bêyî ku hewcedariya bi cîhkirina platforma tevahî ya zêde hebe.

• Têkilî. Bi karanîna deqên hêzdar û balkêş ên ku li ser bingeha pergalên xebitandinê yên rastîn in û bi aqilane di nav binesaziya IT-ya rastîn de têne bicîh kirin, platforma Deception agahdariya berfireh li ser êrîşkar berhev dike. DDP wê hingê piştrast dike ku hişyariyên tehdîdê têne veguheztin, rapor têne çêkirin, û bûyerên ewlehiya agahdariyê bixweber têne bersivandin.

• Xala destpêkê ya êrîşê. Di Xapandina nûjen de, xefik û kemîn di nav rêza torê de têne danîn, ne li derveyî wê (wek ku di nav honeypots de ye). Ev modela birêkûpêkkirina xapînok rê nade êrîşkerek ku wan wekî xalek bikêr bikar bîne da ku êrîşî binesaziya IT-ya rastîn a pargîdanî bike. Çareseriyên pêşkeftî yên çîna Xapandinê xwedan kapasîteyên rêvekirina seyrûseferê ne, ji ber vê yekê hûn dikarin hemî seyrûsefera êrîşkar bi pêwendiyek taybetî ya taybetî rêve bibin. Ev ê bihêle ku hûn çalakiya êrîşkaran bêyî xetereya sermayeyên pargîdaniya hêja analîz bikin.

• Baweriya "teknolojiyên xapandinê". Di qonaxa destpêkê ya êrîşê de, êrîşkar daneyên di derbarê binesaziya IT-ê de berhev dikin û analîz dikin, dûv re wê bikar tînin da ku bi horizontî di nav tora pargîdanî de bigerin. Bi alîkariya "teknolojiyên xapandinê", êrîşkar dê bê guman bikeve "xefikên" ku dê wî ji hebûnên rastîn ên rêxistinê dûr bixe. DDP dê rêçên potansiyel ji bo gihîştina pêbaweriyên li ser tora pargîdanî analîz bike û li şûna pêbaweriyên rastîn "armancên xapînok" peyda bike. Van kapasîteyên di teknolojiyên honeypot de pir kêm bûn. (Binêre jimar 6).

Xapandin VS Honeypot

Û di dawiyê de, em hatin dema herî balkêş a lêkolîna xwe. Em ê hewl bidin ku cûdahiyên sereke di navbera teknolojiyên Xapandin û Honeypot de ronî bikin. Tevî hin wekheviyan, ev her du teknolojiyên hîn jî pir cûda ne, ji ramana bingehîn heya karbidestiya xebitandinê.

1. Ramanên bingehîn ên cihêreng. Wekî ku me li jor nivîsî, honeypots wekî "xapandin" li dora sermayeyên pargîdanî yên hêja (li derveyî tora pargîdanî) têne saz kirin, bi vî rengî hewl didin ku balê bikişînin ser êrîşkaran. Teknolojiya Honeypot li ser têgihîştina binesaziya rêxistinekê ye, lê honeypot dikare bibe xalek destpêkek ji bo destpêkirina êrîşek li ser tora pargîdaniyek. Teknolojiya xapandinê li gorî nêrîna êrîşker tête pêşve xistin û dihêle hûn êrîşek di qonaxek zû de nas bikin, bi vî rengî, pisporên ewlehiya agahdarî li hember êrîşkaran avantajek girîng bi dest dixin û wext qezenc dikin.

2. "Atraction" VS "Confusion". Dema ku honeypot bikar tînin, serkeftin bi kişandina bala êrîşkaran ve girêdayî ye û bêtir wan motîve dike ku di hingivê de berbi hedefê ve biçin. Ev tê wê wateyê ku êrîşkar hîn jî divê bigihîje honeypot berî ku hûn wî rawestînin. Bi vî rengî, hebûna êrîşkaran li ser torê dikare çend mehan an jî zêdetir bidome, û ev ê bibe sedema derketina daneyan û zirarê. DDP bi kalîte binesaziya IT-ya rastîn a pargîdaniyek teqlîd dike; mebesta pêkanîna wan ne tenê ew e ku bala êrîşkar bikişîne, lê wî tevlihev bike da ku ew dem û çavkaniyan winda bike, lê negihîje hebûnên rastîn ên şîrket.

3. "Pivazbûna bisînor" VS "berbiçavbûna otomatîk". Wekî ku berê hate destnîşan kirin, hingiv û hingiv pirsgirêkên mezinbûnê hene. Ev dijwar û biha ye, û ji bo ku hûn di pergalek pargîdanî de hejmara honeypotan zêde bikin, hûn neçar in ku komputer, OS-ya nû lê zêde bikin, lîsans bikirin, û IP-yê veqetînin. Wekî din, ji bo birêvebirina pergalên weha jî pêdivî ye ku personelên jêhatî hebin. Platformên xapandinê bixweber wekî pîvana binesaziya we, bêyî sermayek girîng, bicîh dikin.

4. "Hejmarek mezin ji erênîyên derewîn" VS "pozîtîfên derewîn tune". Esasê pirsgirêkê ev e ku tewra bikarhênerek sade jî dikare bi honeypotek re rû bi rû bimîne, ji ber vê yekê "nezah" ya vê teknolojiyê hejmareke mezin ji erênîyên derewîn e, ku pisporên ewlehiya agahdariyê ji karê wan dûr dixe. "Bait" û "xefik" di DDP de bi baldarî ji bikarhênerê navîn têne veşartin û tenê ji bo êrîşkerek têne sêwirandin, ji ber vê yekê her nîşanek ji pergalek wusa agahdariyek xeterek rastîn e, û ne erênîyek derewîn.

encamê

Bi dîtina me, teknolojiya Xapandinê li gorî teknolojiya kevintir Honeypots pêşkeftinek mezin e. Di eslê xwe de, DDP bûye platformek ewlehiyê ya berfereh ku bi hêsanî hatî danîn û rêvebirin.

Platformên nûjen ên vê polê rolek girîng di tesbîtkirin û bersivdana bi bandor a li ser gefên torê de dilîzin, û yekbûna wan bi pêkhateyên din ên stûna ewlehiyê re asta otomasyonê zêde dike, karîgerî û bandorkeriya bersiva bûyerê zêde dike. Platformên xapandinê li ser bingehê rastbûn, berbelavbûn, hêsaniya rêveberiyê û yekbûna bi pergalên din re ne. Hemî ev di leza bersivdana bûyerên ewlehiya agahdariyê de avantajek girîng dide.

Di heman demê de, li ser bingeha çavdêriyên pentestên pargîdaniyên ku platforma Xapandina Xello lê hatî bicîh kirin an pîlot kirin, em dikarin encaman derxînin ku tewra pencereyên bi tecrube jî bi gelemperî nekarin kemîna di tora pargîdanî de nas bikin û gava ku dikevin xefikên ku têne danîn têk diçin. Ev rastî careke din bandora Xapandinê û perspektîfên mezin ên ku di pêşerojê de ji bo vê teknolojiyê vedibe piştrast dike.

testkirina hilberê

Heke hûn bi platforma Xapandinê re eleqedar in, wê hingê em amade ne ceribandina hevbeş pêk bînin.

Li kanalên me li benda nûvekirinan bin (Têlxiram, facebook, VK, TS Çareseriya Blog)!

Source: www.habr.com