Xello мисалында Honeypot vs Deception

Habréде Honeypot жана Deception технологиялары жөнүндө бир нече макалалар бар (1 макала, 2 макала). Бирок, биз дагы эле коргоочу шаймандардын бул класстарынын ортосундагы айырманы түшүнбөгөндүккө туш болуп жатабыз. Бул учун биздин кесиптештерибиз Саламатсызбы Алдамчылык (биринчи орус иштеп чыгуучусу Platform Aldatma) бул чечимдердин айырмачылыктарын, артыкчылыктарын жана архитектуралык өзгөчөлүктөрүн кеңири баяндап берүүнү чечти.

Келгиле, "балдар" жана "алдамчылык" эмне экенин аныктап көрөлү:

Маалыматтык коопсуздук системаларынын рыногунда “алдамчылык технологиялары” салыштырмалуу жакында эле пайда болгон. Бирок, кээ бир эксперттер дагы эле Коопсуздук алдамчылыгын өнүккөн бал чөйчөктөрү деп эсептешет.

Бул макалада биз бул эки чечимдин ортосундагы окшоштуктарды жана негизги айырмачылыктарды баса көрсөтүүгө аракет кылабыз. Биринчи бөлүктө биз бал идиштери, бул технология кандайча өнүккөн жана анын кандай артыкчылыктары жана кемчиликтери тууралуу сөз кылабыз. Ал эми экинчи бөлүктө, биз алдамчылардын бөлүштүрүлгөн инфраструктурасын түзүү үчүн платформалардын иштөө принциптерине кеңири токтолобуз (англисче, Distributed Deception Platform - DDP).

Бал чөйчөкчөлөрүнүн негизги принциби хакерлер үчүн тузактарды түзүү болуп саналат. Биринчи алдамчылык чечимдери ушул эле принцип боюнча иштелип чыккан. Бирок заманбап DDPs функционалдуулугу жана натыйжалуулугу боюнча бал челектеринен кыйла жогору. Алдоо платформаларына төмөнкүлөр кирет: алдамчылар, тузактар, азгырыктар, тиркемелер, маалыматтар, маалымат базалары, Active Directory. Заманбап DDPs коркунучтарды аныктоо, чабуулдарды талдоо жана жооп кайтарууну автоматташтыруу үчүн күчтүү мүмкүнчүлүктөрдү бере алат.

Ошентип, алдамчылык - бул ишкананын IT инфраструктурасын имитациялоо жана хакерлерди адаштыруу ыкмасы. Натыйжада, мындай платформалар компаниянын активдерине олуттуу зыян келтиргенге чейин чабуулдарды токтотууга мүмкүндүк берет. Honeypots, албетте, мындай кеңири функционалдуулукка жана мындай автоматташтыруу деңгээлине ээ эмес, ошондуктан аларды пайдалануу маалыматтык коопсуздук бөлүмдөрүнүн кызматкерлеринен көбүрөөк квалификацияны талап кылат.

1. Honeypots, Honeynets жана Sandboxing: алар эмне жана алар кантип колдонулат

"Бал чөйчөкчөлөрү" термини биринчи жолу 1989-жылы Клиффорд Столлдун Лоуренс Беркли улуттук лабораториясында (АКШ) хакердин изине түшүү окуяларын сүрөттөгөн "Күкүктүн жумурткасы" китебинде колдонулган. Бул идеяны 1999-жылы Honeynet Project изилдөө долбоорун негиздеген Sun Microsystems компаниясынын маалымат коопсуздугу боюнча адиси Лэнс Спицнер ишке ашырган. Алгачкы бал чөйчөктөрү ресурстарды көп талап кылган, орнотуу жана тейлөө кыйын болгон.

Келгиле, бул эмне экенин кененирээк карап көрөлү honeypots и бал торлору. Honeypots жеке хосттор болуп саналат, алардын максаты - компаниянын тармагына кирип, баалуу маалыматтарды уурдоого аракет кылуу үчүн чабуулчуларды тартуу, ошондой эле тармактын камтуу аймагын кеңейтүү. Honeypot (сөзмө-сөз которгондо "бал баррели") - бул HTTP, FTP ж. (1-сүрөттү караңыз).

Эгер сиз бир нечесин бириктирсеңиз honeypots тармакка кирсек, анда биз эффективдүү системага ээ болобуз honeynet, бул компаниянын корпоративдик тармагынын эмуляциясы (веб сервер, файл сервери жана башка тармак компоненттери). Бул чечим чабуулчулардын стратегиясын түшүнүүгө жана аларды адаштырууга мүмкүндүк берет. Кадимки бал тор, эреже катары, жумуш тармагына параллелдүү иштейт жана андан толук көз карандысыз. Мындай «тармак» өзүнчө канал аркылуу Интернетте жарыяланышы мүмкүн, ал үчүн IP даректердин өзүнчө диапазону да бөлүнүшү мүмкүн (2-сүрөттү караңыз).

Honeynetти колдонуунун мааниси хакерге ал болжолдуу түрдө уюмдун корпоративдик тармагына кирип кеткендигин көрсөтүү болуп саналат, чындыгында, чабуулчу «обочолонгон чөйрөдө» жана маалыматтык коопсуздук боюнча адистердин тыкыр көзөмөлүндө (3-сүрөттү караңыз).

Бул жерде ошондой эле мындай курал жөнүндө сөз кылышыбыз керек "кум коргону"(Англисче, кумкоргон), бул чабуулчуларга зыяндуу программаларды обочолонгон чөйрөдө орнотууга жана иштетүүгө мүмкүндүк берет, ал жерде IT потенциалдуу тобокелдиктерди аныктоо жана тийиштүү каршы чараларды көрүү үчүн алардын иш-аракеттерин көзөмөлдөй алат. Учурда кумбокс адатта виртуалдык хосттогу атайын виртуалдык машиналарда ишке ашырылат. Бирок, белгилей кетчү нерсе, кумбоксинг кооптуу жана зыяндуу программаларды гана көрсөтөт, ал эми honeynet адиске "коркунучтуу оюнчулардын" жүрүм-турумун анализдөөгө жардам берет.

Бал торлордун ачык пайдасы – алар чабуулчуларды адаштырып, күчүн, ресурстарын жана убактысын текке кетирет. Натыйжада, чыныгы буталардын ордуна, алар жалгандарга кол салышат жана эч нерсеге жетишпестен тармакка чабуулун токтото алышат. Көбүнчө honeynets технологиялары мамлекеттик органдарда жана ири корпорацияларда, каржы уюмдарында колдонулат, анткени бул структуралар ири кибер чабуулдардын бутасы болуп саналат. Бирок, чакан жана орто бизнес (ЧО) да маалыматтык коопсуздук инциденттерин алдын алуу үчүн эффективдүү инструменттерге муктаж, бирок мындай татаал иш үчүн квалификациялуу кадрлардын жетишсиздигинен SMB секторундагы бал торлорун колдонуу анчалык деле оңой эмес.

Honeypots жана Honeynets Solutions чектөөлөрү

Эмне үчүн бал чөйчөкчөлөрү жана бал торлору бүгүнкү күндө чабуулдарга каршы туруу үчүн эң жакшы чечим эмес? Белгилей кетсек, кол салуулар барган сайын масштабдуу, техникалык жактан татаал жана уюмдун IT инфраструктурасына олуттуу зыян келтирүүгө жөндөмдүү болуп баратат, ал эми киберкылмыштуулук таптакыр башка деңгээлге жетип, бардык керектүү ресурстар менен жабдылган жогорку уюшкан көмүскө бизнес структураларын билдирет. Буга “адам факторун” кошуу керек (программалык жана аппараттык орнотуулардагы каталар, инсайдерлердин аракеттери ж.б.), андыктан учурда чабуулдардын алдын алуу үчүн бир гана технологияны колдонуу жетишсиз.

Төмөндө биз бал чөйчөкчөлөрүнүн негизги чектөөлөрүн жана кемчиликтерин тизмектейбиз:

1. Honeypots адегенде корпоративдик тармактан тышкаркы коркунучтарды аныктоо үчүн иштелип чыккан, тескерисинче, чабуулчулардын жүрүм-турумун талдоо үчүн арналган жана коркунучтарга тез жооп берүү үчүн иштелип чыкпаган.

2. Чабуулчулар, эреже катары, эмуляцияланган системаларды таанууга жана бал челектеринен качууга үйрөнүшкөн.

3. Honeynets (honeypots) башка коопсуздук системалары менен интерактивдүүлүктүн жана өз ара аракеттенүүнүн өтө төмөн деңгээлине ээ, мунун натыйжасында бал челектерин колдонуу менен чабуулдар жана чабуулчулар жөнүндө толук маалымат алуу кыйынга турат, демек, маалыматтык коопсуздук инциденттерине эффективдүү жана тез жооп кайтаруу кыйын. . Мындан тышкары, маалыматтык коопсуздук боюнча адистер көптөгөн жалган коркунуч эскертүүлөрүн алышат.

4. Кээ бир учурларда, хакерлер уюмдун тармагына чабуулун улантуу үчүн баштапкы чекит катары бузулган бал чөйчөгүн колдонушу мүмкүн.

5. Көйгөйлөр көбүнчө бал челектеринин масштабдуулугу, жогорку операциялык жүктөмү жана мындай системалардын конфигурациясы (алар жогорку квалификациялуу адистерди талап кылат, башкаруунун ыңгайлуу интерфейси жок ж.б.у.с.) менен келип чыгат. IoT, POS, булут тутумдары ж.

2. Алдоо технологиясы: артыкчылыктары жана негизги иштөө принциптери

Honeypots бардык артыкчылыктарын жана кемчиликтерин изилдеп чыгып, биз чабуулчулардын аракеттерине тез жана адекваттуу жооп иштеп чыгуу үчүн маалымат коопсуздугунун инциденттерине жооп берүү үчүн таптакыр жаңы мамиле керек деген тыянакка келдик. Жана мындай чечим технология болуп саналат Кибер алдамчылык (Коопсуздук боюнча алдамчылык).

"Кибералдоо", "Коопсуздук боюнча алдамчылык", "Алдамчылык технологиясы", "Бөлүштүрүлгөн алдамчылык платформасы" (DDP) терминологиясы салыштырмалуу жаңы жана жакында эле пайда болгон. Чынында, бул терминдердин баары "алдоо технологияларын" же "IT инфраструктурасын симуляциялоо жана чабуулчуларды дезинформациялоо ыкмаларын" колдонууну билдирет. Алдамчылыктын эң жөнөкөй чечимдери – бул коркунучтарды аныктоону жана аларга жооп кайтарууну көбүрөөк автоматташтырууну камтыган, технологиялык жактан өнүккөн деңгээлде гана бал челектеринин идеяларын иштеп чыгуу. Бирок, рынокто DDP классындагы олуттуу чечимдер бар, аларды жайылтуу жана масштабдоо оңой, ошондой эле чабуулчулар үчүн олуттуу "тузак" жана "жемдердин" арсеналы бар. Мисалы, алдамчылык маалымат базалары, жумушчу станциялар, роутерлер, коммутаторлор, банкоматтар, серверлер жана SCADA, медициналык жабдуулар жана IoT сыяктуу IT инфраструктурасынын объектилерин эмуляциялоого мүмкүндүк берет.

Бөлүштүрүлгөн алдамчылык платформасы кантип иштейт? DDP орнотулгандан кийин, уюмдун IT инфраструктурасы эки катмардан тургандай курулат: биринчи катмар - компаниянын реалдуу инфраструктурасы, экинчиси - алдоо жана жемдерден турган "эмуляцияланган" чөйрө. чыныгы физикалык тармак түзүлүштөрүндө (4-сүрөттү караңыз).

Мисалы, чабуулчу «жашыруун документтер» менен жалган маалымат базаларын, «артыкчылыктуу колдонуучулардын» жасалма эсептик маалыматтарын таба алат - мунун баары мыйзам бузуучуларды кызыктырып, ошону менен алардын көңүлүн компаниянын чыныгы маалымат активдеринен алаксыта турган алдамчылар (5-сүрөттү караңыз).

DDP маалыматтык коопсуздук продуктулары рыногунда жаңы продукт болуп саналат; бул чечимдер бир нече эле жыл жана азырынча аларды корпоративдик сектор гана сатып ала алат. Бирок кичи жана орто бизнес жакын арада DDPди адистештирилген провайдерлерден "кызмат катары" ижарага алуу менен алдамчылыктан пайдалана алышат. Бул параметр андан да ыңгайлуу, анткени сиздин жеке жогорку квалификациялуу кадрларга муктаждык жок.

Алдамчылык технологиясынын негизги артыкчылыктары төмөндө көрсөтүлгөн:

• аныктык (аныктык). Алдоо технологиясы компаниянын толук оригиналдуу IT чөйрөсүн кайра чыгарууга жөндөмдүү, операциялык системаларды, IoT, POS, адистештирилген системаларды (медициналык, өнөр жай ж.б.), кызматтарды, тиркемелерди, ишеним грамоталарын ж.б.у.с. Алдамчы иш чөйрөсү менен кылдат аралаштырылат жана чабуулчу аларды бал челектери катары аныктай албайт.

• киргизүү. DDPs өз иштеринде машиналык үйрөнүүнү (ML) колдонушат. ML жардамы менен жөнөкөйлүк, орнотуулардагы ийкемдүүлүк жана алдамчылыкты ишке ашыруунун натыйжалуулугу камсыз кылынат. "Тузактар" жана "алдамчылар" абдан тез жаңыланып, чабуулчуну компаниянын "жалган" IT-инфраструктурасына азгырат жана ошол эле учурда жасалма интеллектке негизделген өнүккөн талдоо системалары хакерлердин активдүү аракеттерин аныктап, алардын алдын алат (мисалы, Active Directory негизиндеги алдамчылык эсептерге кирүүгө аракет кылуу).

• Иштөөнүн жеңилдиги. Заманбап бөлүштүрүлгөн алдамчылык платформаларын тейлөө жана башкаруу оңой. Алар, адатта, API аркылуу корпоративдик SOC (Коопсуздук Операциялар Борбору) менен интеграциялык мүмкүнчүлүктөрү бар жергиликтүү же булут консолу аркылуу башкарылат. DDPди тейлөө жана иштетүү маалымат коопсуздугунун жогорку квалификациялуу адистеринин кызматын талап кылбайт.

• Масштабдуулук. Коопсуздук алдоо физикалык, виртуалдык жана булуттук чөйрөлөрдө колдонулушу мүмкүн. DDPs ошондой эле IoT, ICS, POS, SWIFT ж.б. сыяктуу адистештирилген чөйрөлөр менен ийгиликтүү иштешет. Advanced Deception платформалары кошумча толук платформаны жайылтууга муктаж болбостон, алыскы кеңселерге жана обочолонгон чөйрөлөргө “алдоо технологияларын” долбоорлой алат.

• өз ара аракеттенүү. Чыныгы операциялык тутумдарга негизделген жана чыныгы IT инфраструктурасынын арасында акылдуу түрдө жайгаштырылган күчтүү жана жагымдуу алдамчылыктарды колдонуу менен, Deception платформасы чабуулчу жөнүндө кеңири маалыматты чогултат. Андан кийин DDP коркунуч эскертүүлөрүнүн берилишин, отчетторду түзүүнү жана маалыматтык коопсуздук инциденттерине автоматтык түрдө жооп берүүнү камсыздайт.

• Кол салуунун башталышы. Заманбап Алдамчылыкта капкандар жана жемдер тармактын чегинен тышкары эмес, анын чегинде (бал чөйчөкчөлөрү сыяктуу) жайгаштырылат. Бул алдамчы жайгаштыруу модели чабуулчуга аларды компаниянын чыныгы IT инфраструктурасына чабуул коюу үчүн рычаг катары колдонуудан сактайт. Алдамчылык классынын өнүккөн чечимдеринде трафикти багыттоо мүмкүнчүлүктөрү бар, ошондуктан сиз бардык чабуулчу трафигин атайын бөлүнгөн туташуу аркылуу башкара аласыз. Бул компаниянын баалуу активдерин тобокелге салбастан чабуулчулардын ишмердүүлүгүн талдап чыгууга мүмкүндүк берет.

• "Алдоо технологияларынын" ынандыруучулугу. Чабуулдун алгачкы этабында чабуулчулар IT инфраструктурасы жөнүндө маалыматтарды чогултуп, талдап, андан кийин корпоративдик тармак аркылуу горизонталдуу өтүү үчүн колдонушат. "Алдоо технологияларынын" жардамы менен кол салган адам аны уюмдун чыныгы активдеринен алыстата турган "тузактарга" сөзсүз түшөт. DDP корпоративдик тармактагы эсептик дайындарга жетүү үчүн потенциалдуу жолдорду талдап, чабуулчуга чыныгы эсептик дайындардын ордуна "алдоочу максаттарды" берет. Бул мүмкүнчүлүктөр бал чөйчөкчө технологияларында өтө эле жетишсиз болгон. (6-сүрөттү караңыз).

Алдамчылык VS Honeypot

Акыры, биз изилдөөбүздүн эң кызыктуу учуруна келдик. Алдоо жана Honeypot технологияларынын ортосундагы негизги айырмачылыктарды көрсөтүүгө аракет кылабыз. Кээ бир окшоштуктарга карабастан, бул эки технология дагы эле негизги идеядан иштөө натыйжалуулугуна чейин абдан айырмаланат.

1. Ар кандай негизги идеялар. Биз жогоруда жазгандай, бал челектери компаниянын баалуу активдеринин айланасында (корпоративдик тармактан тышкаркы) “ачуучу” катары орнотулуп, чабуулчуларды алаксытууга аракет кылышат. Honeypot технологиясы уюмдун инфраструктурасын түшүнүүгө негизделген, бирок бал чөйчөктөрү компаниянын тармагына чабуул жасоо үчүн баштапкы чекит болуп калышы мүмкүн. Алдоо технологиясы чабуулчунун көз карашын эске алуу менен иштелип чыккан жана чабуулду алгачкы этапта аныктоого мүмкүндүк берет, ошентип, маалыматтык коопсуздук боюнча адистер чабуулчулардан олуттуу артыкчылыкка ээ болуп, убакытты утуп алышат.

2. "Атракцион" VS "Башаламандык". Бал чөйчөкчөлөрүн колдонууда ийгилик чабуулчулардын көңүлүн буруп, аларды бал чөйчөгүндөгү бутага жылдыруу үчүн андан ары түрткү берүүдөн көз каранды. Бул сиз аны токтотконго чейин кол салган адам дагы эле бал челекке жетиши керек дегенди билдирет. Ошентип, тармакта чабуулчулардын болушу бир нече айга же андан көпкө созулушу мүмкүн жана бул маалыматтардын агып кетишине жана бузулушуна алып келет. DDPлер компаниянын чыныгы IT-инфраструктурасын сапаттык жактан туурайт; аларды ишке ашыруунун максаты - чабуулчунун көңүлүн буруу эмес, аны чаташтыруу, ал убакытты жана ресурстарды текке кетирүү, бирок ал компаниянын реалдуу активдерине жетүү мүмкүнчүлүгүнө ээ болбошу үчүн. компания.

3. "Чектелген масштабдалуу" VS "автоматтык масштабдалуу". Мурда белгиленгендей, бал чөйчөкчөлөрү жана бал торлору масштабдуу көйгөйлөргө ээ. Бул татаал жана кымбат жана корпоративдик системадагы бал челектеринин санын көбөйтүү үчүн жаңы компьютерлерди, ОСти кошууга, лицензияларды сатып алууга жана IP бөлүштүрүүгө туура келет. Мындан тышкары, мындай системаларды башкаруу үчүн квалификациялуу кадрлар керек. Алдамчылык платформалары сиздин инфраструктураңыздын масштабы катары автоматтык түрдө жайгаштырылат, олуттуу кошумча чыгымдарсыз.

4. "Көп сандагы жалган позитивдер" VS "жалган позитивдер жок". Көйгөйдүн маңызы – жөнөкөй колдонуучу да бал челекке туш болушу мүмкүн, ошондуктан бул технологиянын «жаман жагы» - маалыматтык коопсуздук боюнча адистерди өз ишинен алаксыткан көп сандагы жалган позитивдер. DDPдеги "жемдер" жана "тузактар" жөнөкөй колдонуучудан кылдаттык менен жашырылган жана чабуулчу үчүн гана иштелип чыккан, ошондуктан мындай системанын ар бир сигналы жалган позитивдүү эмес, чыныгы коркунуч жөнүндө эскертүү болуп саналат.

жыйынтыктоо

Биздин оюбузча, алдамчылык технологиясы эски Honeypots технологиясына караганда абдан чоң жакшыртуу болуп саналат. Негизи, DDP орнотууга жана башкарууга оңой болгон комплекстүү коопсуздук платформасы болуп калды.

Бул класстын заманбап платформалары тармактык коркунучтарды так аныктоодо жана аларга эффективдүү жооп кайтарууда маанилүү ролду ойнойт жана аларды коопсуздук стекинин башка компоненттери менен интеграциялоо автоматташтыруу деңгээлин жогорулатат, инциденттерге жооп кайтаруунун эффективдүүлүгүн жана эффективдүүлүгүн жогорулатат. Алдамчылык платформалары аныктыкка, масштабдуулукка, башкаруунун жөнөкөйлүгүнө жана башка системалар менен интеграцияга негизделген. Мунун баары маалыматтык коопсуздук инциденттерине ыкчам жооп кайтарууда олуттуу артыкчылык берет.

Ошондой эле, Xello Deception платформасы ишке ашырылган же пилоттук түрдө ишке ашырылган компаниялардын пентесттерине байкоолордун негизинде биз тажрыйбалуу пентестерлер да корпоративдик тармактагы жемди тааный алышпайт жана тузакка түшкөндө ийгиликсиз болушат деген тыянак чыгарууга болот. Бул факт дагы бир жолу алдамчылыктын эффективдүүлүгүн жана келечекте бул технология үчүн ачылган чоң перспективаларды тастыктайт.

Продукцияны сыноо

Эгерде сизди алдамчылык платформасы кызыктырса, анда биз даярбыз биргелешкен тестирлөө жүргүзүү.

Биздин каналдардагы жаңылыктардан кабардар болуңуз (телеграмма, Facebook, VK, TS Solution блогу)!

Source: www.habr.com