Honeypot vs Deception benotzt Xello als Beispill

Et gi schonn e puer Artikelen iwwer Habré iwwer Honeypot an Deception Technologien (1 Artikel, 2 Artikel). Wéi och ëmmer, mir sinn nach ëmmer mat engem Manktem u Verständnis vum Ënnerscheed tëscht dëse Klassen vu Schutzausrüstung konfrontéiert. Fir dëst, eis Kollegen aus Moien Täuschung (éischt russesch Entwéckler Plattform Täuschung) decidéiert am Detail d'Ënnerscheeder, Virdeeler an architektonesch Fonctiounen vun dëse Léisungen ze beschreiwen.

Loosst eis erausfannen wat "Honeypots" an "Täuschungen" sinn:

"Täuschungstechnologien" erschéngen relativ viru kuerzem um Maart fir Informatiounssécherheetssystemer. Wéi och ëmmer, e puer Experten betruechten d'Security Deception nach ëmmer als just méi fortgeschratt Hunnegdëppen.

An dësem Artikel wäerte mir probéieren souwuel d'Ähnlechkeeten wéi och d'fundamental Differenzen tëscht dësen zwou Léisungen ze markéieren. Am éischten Deel wäerte mir iwwer Honeypot schwätzen, wéi dës Technologie entwéckelt huet a wat seng Virdeeler an Nodeeler sinn. An am zweeten Deel wäerte mir am Detail iwwer d'Prinzipien vun der Operatioun vu Plattformen wunnen fir eng verdeelt Infrastruktur vun Decoys ze kreéieren (Englesch, Distributed Deception Platform - DDP).

De Basisprinzip deen d'Honeypots ënnersträicht ass Fallen fir Hacker ze kreéieren. Déi éischt Täuschungsléisungen goufen nom selwechte Prinzip entwéckelt. Awer modern DDPs si wesentlech iwwer Honeypots, souwuel a Funktionalitéit wéi och Effizienz. Täuschungsplattformen enthalen: Decoys, Fallen, Lures, Uwendungen, Daten, Datenbanken, Active Directory. Modern DDPs kënne mächteg Fäegkeete fir Bedrohungserkennung, Attackanalyse an Äntwertautomatiséierung ubidden.

Also, Deception ass eng Technik fir d'IT Infrastruktur vun enger Entreprise ze simuléieren an Hacker ze irféieren. Als Resultat maachen esou Plattformen et méiglech Attacken ze stoppen ier e wesentleche Schued un d'Firma Verméigen verursaacht. Honeypots, natierlech, hunn net esou breet Funktionalitéit an esou engem Niveau vun Automatisatioun, sou hir Notzung verlaangt méi Qualifikatiounen aus Mataarbechter vun Informatiounen Sécherheet Departementer.

1. Honeypots, Honeynets a Sandboxing: wat si sinn a wéi se benotzt ginn

De Begrëff "Honeypots" gouf fir d'éischt am Joer 1989 am Clifford Stoll sengem Buch "The Cuckoo's Egg" benotzt, wat d'Evenementer beschreift fir en Hacker am Lawrence Berkeley National Laboratory (USA) ze verfolgen. Dës Iddi gouf 1999 vum Lance Spitzner, engem Informatiounssécherheetsspezialist bei Sun Microsystems an der Praxis ëmgesat, deen den Honeynet Project Fuerschungsprojet gegrënnt huet. Déi éischt Hunnegdëppen ware ganz ressourceintensiv, schwéier opzestellen an z'erhalen.

Loosst eis e bësse méi no kucken wat et ass honeypots и honeynets. Honeypots sinn individuell Hosten deenen hiren Zweck ass Ugräifer unzezéien fir an d'Netzwierk vun enger Firma ze penetréieren an ze probéieren wäertvoll Donnéeën ze klauen, souwéi d'Ofdeckungsgebitt vum Netz auszebauen. Honeypot (wuertwiertlech als "Fass Hunneg" iwwersat) ass e spezielle Server mat enger Rei vu verschiddene Netzwierkservicer a Protokoller, wéi HTTP, FTP, etc. (kuckt Fig. 1).

Wann Dir e puer kombinéiert honeypots an de Réseau, da kréie mer e méi efficace System Hunneg, wat eng Emulatioun vum Firmennetz vun enger Firma ass (Webserver, Dateiserver an aner Netzwierkkomponenten). Dës Léisung erlaabt Iech d'Strategie vun den Ugräifer ze verstoen an se ze täuschen. Eng typesch Honeynet, als Regel, funktionnéiert parallel mam Aarbechtsnetz an ass komplett onofhängeg dovun. Esou en "Netzwierk" kann iwwer e separaten Kanal um Internet publizéiert ginn, och eng separat Palette vun IP Adressen kann dofir zougewisen ginn (kuckt Fig. 2).

De Punkt fir Honeynet ze benotzen ass den Hacker ze weisen datt hien anscheinend an de Firmennetz vun der Organisatioun penetréiert huet; Tatsächlech ass den Ugräifer an engem "isoléierten Ëmfeld" an ënner der enker Iwwerwaachung vun Informatiounssécherheetsspezialisten (kuckt Fig. 3).

Hei musse mir och esou en Tool ernimmen wéi "Sandkëscht"(Englesch, Sandkëscht), wat et erlaabt Ugräifer Malware an engem isoléierten Ëmfeld z'installéieren an ze lafen, wou IT hir Aktivitéiten iwwerwaache kann fir potenziell Risiken z'identifizéieren an entspriechend Géigemoossnamen ze huelen. De Moment gëtt Sandboxing typesch op engagéierten virtuelle Maschinnen op engem virtuelle Host implementéiert. Wéi och ëmmer, et sollt bemierkt datt Sandboxing nëmme weist wéi geféierlech a béiswëlleg Programmer sech behuelen, während Honeynet hëlleft engem Spezialist d'Behuele vu "geféierleche Spiller" ze analyséieren.

De offensichtleche Virdeel vun honeynets ass datt se Ugräifer täuschen, hir Energie, Ressourcen an Zäit verschwenden. Als Resultat, amplaz vun echte Ziler, attackéieren se falsch a kënnen d'Netzwierk ophalen ouni eppes z'erreechen. Déi meescht Oft ginn Honeynets Technologien a Regierungsagenturen a grousse Firmen, Finanzorganisatiounen benotzt, well dëst sinn d'Strukturen, déi Ziler fir grouss Cyberattacken sinn. Wéi och ëmmer, kleng a mëttelgrouss Betriber (SMBs) brauchen och effektiv Tools fir Informatiounssécherheetsvirfäll ze vermeiden, awer Honeynets am SMB Secteur sinn net sou einfach ze benotzen wéinst dem Mangel u qualifizéiert Personal fir sou komplex Aarbecht.

Aschränkungen vun Honeypots an Honeynets Léisungen

Firwat sinn Honeypots an Honeynets net déi bescht Léisunge fir géint Attacken haut? Et sollt bemierkt datt Attacke ëmmer méi grouss ginn, technesch komplex a fäeg sinn e seriöse Schued un der IT-Infrastruktur vun enger Organisatioun ze verursaachen, an d'Cyberkriminalitéit huet e ganz aneren Niveau erreecht a representéiert héich organiséiert Schattengeschäftsstrukturen, déi mat all néideg Ressourcen ausgestatt sinn. Dozou muss de "mënschleche Faktor" (Feeler an Software- an Hardware-Astellungen, Handlungen vun Insider, etc.) bäigefüügt ginn, sou datt nëmmen Technologie benotzt gëtt fir Attacken ze verhënneren am Moment net méi duer.

Hei drënner lëschte mir d'Haaptbeschränkungen an Nodeeler vun Honeypots (Honeynets):

1. Honeypots goufen ursprénglech entwéckelt fir Geforen z'identifizéieren déi ausserhalb vum Firmennetz sinn, sinn éischter geduecht fir d'Verhalen vun Ugräifer ze analyséieren an net entwéckelt fir séier op Bedrohungen ze reagéieren.

2. Ugräifer, als Regel, hu scho geléiert emuléiert Systemer ze erkennen an Honeypots ze vermeiden.

3. Honeynets (Honeypots) hunn en extrem nidderegen Niveau vun Interaktivitéit an Interaktioun mat anere Sécherheetssystemer, als Resultat vun deem, mat Hëllef vun Honeypots, et schwéier ass, detailléiert Informatiounen iwwer Attacken an Ugräifer ze kréien, an dofir effektiv a séier op Informatiounssécherheetsincidenten ze reagéieren. . Ausserdeem kréien Informatiounssécherheetsspezialisten eng grouss Zuel vu falsche Bedrohungsalarmer.

4. An e puer Fäll kënnen Hacker e kompromittéierten Hunnegpot als Startpunkt benotzen fir hiren Attack op d'Netzwierk vun enger Organisatioun weiderzemaachen.

5. Probleemer entstinn dacks mat der Skalierbarkeet vun Hunnegpotten, héich operationell Belaaschtung a Konfiguratioun vun esou Systemer (si erfuerderen héichqualifizéiert Spezialisten, hunn keng praktesch Gestiounsinterface, etc.). Et gi grouss Schwieregkeeten fir Honeypots a spezialiséierten Ëmfeld z'installéieren wéi IoT, POS, Cloud Systemer, etc.

2. Täuschung Technologie: Virdeeler an Basis Betribsprinzipien

Nodeems mir all d'Virdeeler an Nodeeler vun Honeypots studéiert hunn, komme mir zu der Conclusioun datt eng komplett nei Approche fir op Informatiounssécherheetsfäll ze reagéieren néideg ass fir eng séier an adäquat Äntwert op d'Aktiounen vun Ugräifer z'entwéckelen. An esou eng Léisung ass Technologie Cyber ​​​​Deception (Security Deception).

D'Terminologie "Cyber ​​Deception", "Security Deception", "Deception Technology", "Distributed Deception Platform" (DDP) ass relativ nei a koum virun net esou laanger Zäit. Tatsächlech bedeiten all dës Begrëffer d'Benotzung vun "Täuschungstechnologien" oder "Techniken fir IT-Infrastrukturen an Desinformatioun vun Ugräifer ze simuléieren." Déi einfachst Täuschungsléisungen sinn eng Entwécklung vun den Iddien vun Hunnegdëppen, nëmmen op engem méi technologesch fortgeschrattem Niveau, wat eng méi grouss Automatisatioun vun der Bedrohungserkennung an der Äntwert op si involvéiert. Wéi och ëmmer, et gi scho seriéis DDP-Klass Léisungen um Maart, déi einfach z'installéieren an ze skaléieren, an och e seriöse Arsenal vu "Fallen" a "Baits" fir Ugräifer hunn. Zum Beispill, Deception erlaabt Iech IT Infrastrukturobjekter wéi Datenbanken, Aarbechtsstatiounen, Router, Schalter, Geldautomaten, Serveren an SCADA, medizinescht Ausrüstung an IoT ze emuléieren.

Wéi funktionnéiert d'Distributed Deception Plattform? Nodeems DDP ofgesat ass, gëtt d'IT Infrastruktur vun der Organisatioun opgebaut wéi aus zwou Schichten: déi éischt Layer ass déi richteg Infrastruktur vun der Firma, an déi zweet ass en "emuléierten" Ëmfeld, besteet aus Täuschen a Köder, déi lokaliséiert sinn. op real kierperlech Reseau Apparater (kuckt Fig. 4).

Zum Beispill kann en Ugräifer falsch Datenbanken mat "vertraulechen Dokumenter" entdecken, gefälschte Umeldungsinformatioune vu vermeintlech "privilegiéierten Benotzer" - all dës sinn Decoys, déi Verstéiss interesséiere kënnen, an doduerch hir Opmierksamkeet vun de richtegen Informatiounsverméigen vun der Firma oflenken (kuckt Figur 5).

DDP ass en neit Produkt um Informatiounssécherheetsproduktmaart; dës Léisunge sinn nëmmen e puer Joer al a bis elo kann nëmmen de Firmensecteur se leeschten. Awer kleng a mëttelgrouss Betriber wäerte geschwënn och fäeg sinn vun Deception ze profitéieren andeems se DDP vu spezialiséierten Ubidder "als Service" lounen. Dës Optioun ass nach méi praktesch, well et net néideg ass fir Är eege héichqualifizéiert Personal.

D'Haaptvirdeeler vun der Deception Technologie ginn hei ënnen gewisen:

• Authentizitéit (Authentizitéit). Täuschungstechnologie ass fäeg e komplett authentesch IT Ëmfeld vun enger Firma ze reproduzéieren, qualitativ Betriebssystemer, IoT, POS, spezialiséiert Systemer (medizinesch, industriell, etc.), Servicer, Uwendungen, Umeldungsinformatiounen, etc. Decoys si virsiichteg mat der Aarbechtsëmfeld gemëscht, an en Ugräifer kann se net als Hunnegpotten identifizéieren.

• Ëmsetzung. DDPs benotzen Maschinn Léieren (ML) an hirer Aarbecht. Mat der Hëllef vun ML sinn Einfachheet, Flexibilitéit an Astellungen an Effizienz vun der Implementatioun vun Deception gesuergt. "Fallen" an "Decoys" gi ganz séier aktualiséiert, lackelt en Ugräifer an d'Firma "falsch" IT Infrastruktur, an an der Tëschenzäit kënne fortgeschratt Analysesystemer baséiert op kënschtlecher Intelligenz aktiv Handlunge vun Hacker entdecken an ze verhënneren (zum Beispill eng Versuch Zougang zu Active Directory baséiert betrügeresche Konten).

• Einfachheet vun der Operatioun. Modern Distributed Deception Plattformen sinn einfach ze pflegen an ze managen. Si ginn normalerweis iwwer eng lokal oder Cloud Konsole geréiert, mat Integratiounsfäegkeeten mam Corporate SOC (Security Operations Center) iwwer API a mat ville existente Sécherheetskontrollen. Ënnerhalt an Operatioun vun DDP erfuerdert net d'Servicer vun héichqualifizéierten Informatiounssécherheetsexperten.

• Skalierbarkeet. Sécherheet Täuschung kann a kierperlech, virtuell a Wolleken Ëmfeld agesat ginn. DDPs schaffen och erfollegräich mat spezialiséierten Ëmfeld wéi IoT, ICS, POS, SWIFT, etc. Fortgeschratt Deception Plattforme kënnen "Täuschungstechnologien" an Fernbüroen an isoléiert Ëmfeld projizéieren, ouni de Besoin fir zousätzlech voll Plattform Deployment.

• Interaktioun. Mat mächtegen an attraktiven Decoys, déi op echte Betribssystemer baséieren a clever ënnert der realer IT Infrastruktur plazéiert sinn, sammelt d'Deception Plattform extensiv Informatioun iwwer den Ugräifer. DDP garantéiert dann datt Bedrohungsalarmer iwwerdroe ginn, Berichter generéiert ginn, an Informatiounssécherheetsvirfäll automatesch geäntwert ginn.

• Startpunkt vun der Attack. Am modernen Täuschung, Fallen a Köder ginn am Beräich vum Netz plazéiert, anstatt dobaussen (wéi de Fall mat Hunnegdëppen). Dësen Decoy-Deploymentmodell verhënnert datt en Ugräifer se als Heberpunkt benotzt fir déi richteg IT-Infrastruktur vun der Firma z'attackéieren. Méi fortgeschratt Léisunge vun der Deception Klass hunn Traffic Routing Fäegkeeten, sou datt Dir all Ugräifer Traffic duerch eng speziell engagéiert Verbindung dirigéiert. Dëst erlaabt Iech d'Aktivitéit vun den Ugräifer z'analyséieren ouni wertvoll Firma Verméigen ze riskéieren.

• D'Iwwerzeegungsfäegkeet vun "Täuschungstechnologien". An der éischter Etapp vum Attack sammelen an analyséieren d'Attacker Daten iwwer d'IT-Infrastruktur, a benotzen se dann fir horizontal duerch de Firmennetz ze bewegen. Mat der Hëllef vun "Täuschungstechnologien" wäert den Ugräifer definitiv an "Fallen" falen, déi him vun de richtege Verméigen vun der Organisatioun féieren. DDP analyséiert potenziell Weeër fir Zougang zu Umeldungsinformatiounen op engem Firmennetz ze analyséieren an den Ugräifer mat "Decoy Ziler" ze bidden anstatt echte Umeldungsinformatiounen. Dës Fäegkeeten fehlen an Honeypot Technologien. (Kuckt Bild 6).

Täuschung VS Honeypot

A schlussendlech komme mir zum interessantsten Moment vun eiser Fuerschung. Mir probéieren d'Haaptdifferenzen tëscht Deception an Honeypot Technologien ze markéieren. Trotz e puer Ähnlechkeeten sinn dës zwou Technologien nach ëmmer ganz ënnerschiddlech, vun der fundamentaler Iddi bis zur Operatiounseffizienz.

1. Verschidde Basis Iddien. Wéi mir uewe geschriwwen hunn, sinn Hunnegpotten als "Decoys" ronderëm wäertvoll Firmenverméigen (ausserhalb vum Firmennetz) installéiert, sou datt d'Ugräifer probéiert ze distractéieren. Honeypot Technologie baséiert op engem Versteesdemech vun enger Organisatioun d'Infrastruktur, mee honeypots kann e Startpunkt fir eng lancéiert Attack op engem Netz vun der Firma ginn. Täuschungstechnologie gëtt entwéckelt andeems d'Siicht vum Ugräifer berücksichtegt gëtt an erlaabt Iech en Attack op eng fréi Stuf z'identifizéieren, sou datt Informatiounssécherheetsspezialisten e wesentleche Virdeel iwwer Ugräifer gewannen an Zäit gewannen.

2. "Attraktioun" VS "Verwirrung". Wann Dir Honeypots benotzt, hänkt den Erfolleg dovun of, d'Opmierksamkeet vun den Ugräifer unzezéien an se weider ze motivéieren fir op d'Zil am Honeypot ze plënneren. Dëst bedeit datt den Ugräifer nach ëmmer an den Honeypot muss erreechen ier Dir him ophale kënnt. Also kann d'Präsenz vun Ugräifer am Netz e puer Méint oder méi daueren, an dëst féiert zu Datenleckage a Schued. DDPs imitéieren qualitativ déi richteg IT-Infrastruktur vun enger Firma; den Zweck vun hirer Ëmsetzung ass net nëmmen d'Opmierksamkeet vun engem Ugräifer unzezéien, mä hien duercherneen ze bréngen, sou datt hien Zäit a Ressourcen verschwendt, awer net Zougang zu de reelle Verméigen vun der Firma.

3. "Limitéiert Skalierbarkeet" VS "automatesch Skalierbarkeet". Wéi virdru bemierkt, Hunnegdëppen an Hunneg hunn Skaléierungsproblemer. Dëst ass schwéier an deier, a fir d'Zuel vun Hunnegpotten an engem Firmesystem ze erhéijen, musst Dir nei Computeren, OS, Lizenzen kafen an IP zouginn. Ausserdeem ass et och néideg qualifizéiert Personal ze hunn fir esou Systemer ze managen. Täuschungsplattformen deployéieren automatesch wéi Är Infrastruktur Skala, ouni bedeitend Overhead.

4. "Eng grouss Zuel vu falschen Positiver" VS "keng falsch Positiver". D'Essenz vum Problem ass datt souguer en einfache Benotzer en Hunnegpot begéinen, sou datt de "Nodeeler" vun dëser Technologie eng grouss Zuel vu falschen Positiven ass, déi Informatiounssécherheetsspezialisten vun hirer Aarbecht oflenken. "Baits" an "Fallen" an DDP si virsiichteg vum duerchschnëttleche Benotzer verstoppt a sinn nëmme fir en Ugräifer entworf, sou datt all Signal vun esou engem System eng Notifikatioun vun enger realer Bedrohung ass, an net eng falsch Positiv.

Konklusioun

An eiser Meenung no ass Deception Technologie eng grouss Verbesserung iwwer déi eeler Honeypots Technologie. Am Wesentlechen ass DDP eng ëmfaassend Sécherheetsplattform ginn déi einfach ass z'installéieren an ze managen.

Modern Plattforme vun dëser Klass spillen eng wichteg Roll bei der präzis Erkennung an effektiv reagéiert op Netzwierkbedrohungen, an hir Integratioun mat anere Komponenten vum Sécherheetsstack erhéicht den Niveau vun der Automatisatioun, erhéicht d'Effizienz an d'Effizienz vun der Tëschefallreaktioun. Täuschungsplattformen baséieren op Authentizitéit, Skalierbarkeet, Einfachheet vun der Gestioun an Integratioun mat anere Systemer. All dëst gëtt e wesentleche Virdeel an der Geschwindegkeet vun der Äntwert op Informatiounssécherheetsfäll.

Och, baséiert op Observatioune vu Pentests vu Firmen, wou d'Xello Deception Plattform implementéiert oder pilotéiert gouf, kënne mir Conclusiounen zéien datt och erfuerene Pentesters dacks de Köder am Firmennetz net erkennen an net falen wann se op d'Fallen falen. Dës Tatsaach bestätegt nach eng Kéier d'Effektivitéit vun Deception an déi grouss Perspektiven, déi fir dës Technologie an Zukunft opmaachen.

Produit Testen

Wann Dir un der Deception Plattform interesséiert sidd, da si mir prett gemeinsame Tester maachen.

Bleift ofgeschloss fir Updates an eise Kanäl (Hëllefe profitéieren, Facebook, VK, TS Léisung Blog)!

Source: will.com