„Honeypot vs Deception“, kaip pavyzdį naudojant „Xello“.

Jau yra keletas straipsnių apie Habré apie Honeypot ir Deception technologijas (1 straipsnis, 2 straipsnis). Tačiau vis dar susiduriame su nesuvokimu, kuo skiriasi šios apsaugos priemonių klasės. Už tai mūsų kolegos iš Sveiki Apgaulė (pirmasis Rusijos kūrėjas Platformos apgaulė) nusprendė išsamiai aprašyti šių sprendimų skirtumus, privalumus ir architektūrines ypatybes.

Išsiaiškinkime, kas yra „medaus puodai“ ir „apgaulė“:

Informacijos saugumo sistemų rinkoje „apgaulės technologijos“ pasirodė palyginti neseniai. Tačiau kai kurie ekspertai vis dar mano, kad saugumo apgaulė yra tik pažangesni medaus puodai.

Šiame straipsnyje pabandysime pabrėžti šių dviejų sprendimų panašumus ir esminius skirtumus. Pirmoje dalyje kalbėsime apie medaus puodą, kaip ši technologija vystėsi ir kokie jos privalumai bei trūkumai. O antroje dalyje išsamiai apsigyvensime platformų, skirtų sukurti paskirstytą jaukų infrastruktūrą (angl. Distributed Deception Platform – DDP), veikimo principus.

Pagrindinis medaus puodų principas yra sukurti spąstus įsilaužėliams. Patys pirmieji Deception sprendimai buvo sukurti tuo pačiu principu. Tačiau šiuolaikiniai DDP tiek funkcionalumu, tiek efektyvumu gerokai pranašesni už medaus puodus. Apgaulės platformos apima: jaukus, spąstus, masalus, programas, duomenis, duomenų bazes, „Active Directory“. Šiuolaikiniai DDP gali suteikti galingų grėsmių aptikimo, atakų analizės ir atsako automatizavimo galimybių.

Taigi, apgaulė yra būdas imituoti įmonės IT infrastruktūrą ir klaidinti įsilaužėlius. Dėl to tokios platformos leidžia sustabdyti atakas prieš padarant didelę žalą įmonės turtui. Honeypots, žinoma, neturi tokio plataus funkcionalumo ir tokio automatizavimo lygio, todėl jų naudojimas reikalauja daugiau kvalifikacijos iš informacijos saugumo skyrių darbuotojų.

1. Honeypots, Honeynets ir Sandboxing: kas tai yra ir kaip jie naudojami

Sąvoka „medaus puodai“ pirmą kartą pavartota 1989 metais Cliffordo Stollo knygoje „The Cuckoo's Egg“, kurioje aprašomi įsilaužėlio susekimo įvykiai Lawrence'o Berkeley nacionalinėje laboratorijoje (JAV). Šią idėją 1999 m. įgyvendino Lance'as Spitzneris, „Sun Microsystems“ informacijos saugumo specialistas, įkūręs „Honeynet Project“ tyrimų projektą. Pirmieji medaus vazonai buvo labai daug išteklių reikalaujantys, juos sunku įrengti ir prižiūrėti.

Pažiūrėkime atidžiau, kas tai yra medaus puodynės и medaus tinkleliai. „Honeypots“ yra individualūs kompiuteriai, kurių tikslas yra pritraukti užpuolikus, kad jie įsiskverbtų į įmonės tinklą ir bandytų pavogti vertingus duomenis, taip pat išplėsti tinklo aprėpties zoną. Honeypot (pažodžiui išvertus kaip „medaus statinė“) yra specialus serveris su įvairių tinklo paslaugų ir protokolų rinkiniu, pvz., HTTP, FTP ir kt. (žr. 1 pav.).

Jei sujungsite kelis medaus puodynės į tinklą, tada gausime efektyvesnę sistemą medaus tinklelis, kuri yra įmonės korporatyvinio tinklo (žiniatinklio serverio, failų serverio ir kitų tinklo komponentų) emuliacija. Šis sprendimas leidžia suprasti užpuolikų strategiją ir juos suklaidinti. Tipiškas medaus tinklas, kaip taisyklė, veikia lygiagrečiai su darbo tinklu ir yra visiškai nuo jo nepriklausomas. Toks „tinklas“ gali būti publikuojamas internete atskiru kanalu, jam taip pat gali būti skiriamas atskiras IP adresų diapazonas (žr. 2 pav.).

Honeynet naudojimo tikslas yra parodyti įsilaužėliui, kad jis neva įsiskverbė į organizacijos korporacinį tinklą; iš tikrųjų užpuolikas yra „izoliuotoje aplinkoje“ ir atidžiai prižiūrimas informacijos saugos specialistų (žr. 3 pav.).

Čia taip pat reikia paminėti tokį įrankį kaip „sandbox"(Anglų, ant metalinės kojelės), kuri leidžia užpuolikams įdiegti ir paleisti kenkėjiškas programas izoliuotoje aplinkoje, kur IT gali stebėti jų veiklą, kad nustatytų galimą riziką ir imtųsi atitinkamų atsakomųjų priemonių. Šiuo metu smėlio dėžė paprastai įgyvendinama tam skirtose virtualiose mašinose virtualiame pagrindiniame kompiuteryje. Tačiau reikia pažymėti, kad smėlio dėžė tik parodo, kaip elgiasi pavojingos ir kenkėjiškos programos, o „Homenet“ padeda specialistui analizuoti „pavojingų žaidėjų“ elgesį.

Akivaizdi honeynets nauda yra ta, kad jie klaidina užpuolikus, eikvodami savo energiją, išteklius ir laiką. Dėl to vietoj tikrų taikinių jie puola netikrus ir nieko nepasiekę gali nustoti atakuoti tinklą. Dažniausiai Honeynets technologijos naudojamos vyriausybinėse agentūrose ir didelėse korporacijose, finansinėse organizacijose, nes būtent šios struktūros yra didelių kibernetinių atakų taikiniai. Tačiau smulkiam ir vidutiniam verslui (SVV) taip pat reikalingos veiksmingos informacijos saugumo incidentų prevencijos priemonės, tačiau SVV sektoriuje Honeynets nėra taip paprasta naudotis, nes trūksta kvalifikuoto personalo tokiam sudėtingam darbui atlikti.

Honeypots ir Honeynets sprendimų apribojimai

Kodėl medaus indai ir medaus tinkleliai šiandien nėra geriausi sprendimai atremti atakas? Pažymėtina, kad atakos tampa vis didesnio masto, techniškai sudėtingesnės ir galinčios padaryti rimtą žalą organizacijos IT infrastruktūrai, o kibernetiniai nusikaltimai pasiekė visiškai kitą lygį ir reprezentuoja itin organizuotas šešėlinio verslo struktūras, aprūpintas visais reikalingais ištekliais. Prie to reikia pridėti „žmogiškąjį faktorių“ (programinės ir techninės įrangos nustatymų klaidos, savininkų veiksmai ir pan.), todėl šiuo metu naudoti tik technologijas atakų prevencijai nebepakanka.

Žemiau pateikiame pagrindinius medaus puodų (medaus tinklelių) apribojimus ir trūkumus:

1. „Honeypots“ iš pradžių buvo sukurta siekiant nustatyti grėsmes, kurios yra už įmonės tinklo ribų, yra labiau skirtos užpuolikų elgesiui analizuoti ir nėra skirtos greitai reaguoti į grėsmes.

2. Užpuolikai, kaip taisyklė, jau išmoko atpažinti emuliuojamas sistemas ir vengti medaus puodų.

3. Honeynets (honeypots) turi itin žemą interaktyvumo ir sąveikos su kitomis apsaugos sistemomis lygį, dėl to naudojant Honeypots sunku gauti išsamią informaciją apie atakas ir užpuolikus, todėl efektyviai ir greitai reaguoti į informacijos saugumo incidentus. . Be to, informacijos saugumo specialistai gauna daug klaidingų įspėjimų apie grėsmę.

4. Kai kuriais atvejais įsilaužėliai gali naudoti pažeistą medaus puodą kaip atskaitos tašką tęsti ataką prieš organizacijos tinklą.

5. Dažnai problemų kyla dėl medaus puodų mastelio, didelės eksploatacinės apkrovos ir tokių sistemų konfigūracijos (joms reikalingi aukštos kvalifikacijos specialistai, nėra patogios valdymo sąsajos ir pan.). Iškyla didelių sunkumų diegiant medaus puodus specializuotose aplinkose, tokiose kaip IoT, POS, debesų sistemos ir kt.

2. Apgaulės technologija: privalumai ir pagrindiniai veikimo principai

Ištyrę visus medaus puodų privalumus ir trūkumus, darome išvadą, kad norint sukurti greitą ir adekvatų atsaką į užpuolikų veiksmus, reikia visiškai naujo požiūrio į reagavimą į informacijos saugumo incidentus. Ir toks sprendimas yra technologija Kibernetinė apgaulė (saugumo apgaulė).

Terminai „Kibernetinė apgaulė“, „Saugumo apgaulė“, „Apgaulės technologija“, „Paskirstyta apgaulės platforma“ (DDP) yra palyginti nauja ir pasirodė ne taip seniai. Tiesą sakant, visi šie terminai reiškia „apgaulės technologijų“ arba „IT infrastruktūros modeliavimo ir užpuolikų dezinformacijos metodų“ naudojimą. Paprasčiausi Apgaulės sprendimai – tai medaus puodų idėjų plėtojimas, tik technologiškai pažangesnis, o tai apima didesnį grėsmių aptikimo ir reagavimo į jas automatizavimą. Tačiau rinkoje jau yra rimtų DDP klasės sprendimų, kuriuos lengva įdiegti ir padidinti, taip pat jie turi rimtą „spąstų“ ir „masalų“ užpuolikams. Pavyzdžiui, apgaulė leidžia emuliuoti IT infrastruktūros objektus, tokius kaip duomenų bazės, darbo vietos, maršrutizatoriai, jungikliai, bankomatai, serveriai ir SCADA, medicinos įranga ir daiktų internetas.

Kaip veikia paskirstytoji apgaulės platforma? Įdiegus DDP, organizacijos IT infrastruktūra bus kuriama tarsi iš dviejų sluoksnių: pirmasis sluoksnis yra reali įmonės infrastruktūra, o antrasis – „emuliuota“ aplinka, susidedanti iš jaukų ir jaukų. masalai), kurie yra išdėstyti. tikruose fiziniuose tinklo įrenginiuose (žr. 4 pav.).

Pavyzdžiui, užpuolikas gali aptikti netikras duomenų bazes su „konfidencialiais dokumentais“, suklastotus tariamai „privilegijuotųjų vartotojų“ kredencialus – visa tai yra apgaulė, galinti sudominti pažeidėjus ir taip nukreipti jų dėmesį nuo tikrosios įmonės informacijos turto (žr. 5 pav.).

DDP yra naujas produktas informacijos saugumo produktų rinkoje, šiems sprendimams dar tik keleri metai ir kol kas juos gali sau leisti tik verslo sektorius. Tačiau mažos ir vidutinės įmonės netrukus taip pat galės pasinaudoti apgaulės privalumais, nuomodamos DDP iš specializuotų paslaugų teikėjų „kaip paslaugą“. Ši parinktis yra dar patogesnė, nes nereikia savo aukštos kvalifikacijos personalo.

Žemiau pateikiami pagrindiniai apgaulės technologijos pranašumai:

• Autentiškumas (autentiškumas). Apgaulės technologija geba atkurti visiškai autentišką įmonės IT aplinką, kokybiškai emuliuoja operacines sistemas, daiktų internetą, POS, specializuotas sistemas (medicinines, pramonines ir kt.), paslaugas, programas, kredencialus ir kt. Masalai kruopščiai sumaišomi su darbo aplinka, ir užpuolikas negalės jų atpažinti kaip medaus vazonų.

• Įgyvendinimas. DDP savo darbe naudoja mašininį mokymąsi (ML). ML pagalba užtikrinamas Apgaulės diegimo paprastumas, lankstumas ir efektyvumas. „Spąstai“ ir „viliokliai“ atnaujinami labai greitai, įviliojant užpuoliką į įmonės „netikrą“ IT infrastruktūrą, o tuo tarpu pažangios dirbtinio intelekto pagrindu sukurtos analizės sistemos gali aptikti aktyvius įsilaužėlių veiksmus ir užkirsti jiems kelią (pvz. bandyti pasiekti „Active Directory“ pagrindu sukurtas apgaulingas paskyras).

• Veikimo paprastumas. Šiuolaikines paskirstytos apgaulės platformas lengva prižiūrėti ir valdyti. Paprastai jie valdomi per vietinę arba debesies konsolę, su integravimo su įmonės SOC (saugumo operacijų centru) galimybėmis per API ir su daugeliu esamų saugos valdiklių. DDP priežiūrai ir veikimui nereikia aukštos kvalifikacijos informacijos saugumo ekspertų paslaugų.

• Mastelis. Saugumo apgaulė gali būti naudojama fizinėje, virtualioje ir debesų aplinkoje. DDP taip pat sėkmingai veikia su specializuotomis aplinkomis, tokiomis kaip IoT, ICS, POS, SWIFT ir kt. Išplėstinės apgaulės platformos gali projektuoti „apgaulės technologijas“ į nutolusius biurus ir izoliuotas aplinkas, nereikalaujant papildomos visos platformos diegimo.

• Sąveika. Naudodama galingus ir patrauklius masalus, pagrįstus tikromis operacinėmis sistemomis ir sumaniai išdėstytus tikroje IT infrastruktūroje, Deception platforma renka daug informacijos apie užpuoliką. Tada DDP užtikrina, kad būtų perduodami įspėjimai apie grėsmę, generuojamos ataskaitos ir automatiškai reaguojama į informacijos saugumo incidentus.

• Atakos pradžios taškas. Šiuolaikinės apgaulės atveju spąstai ir masalai dedami tinklo diapazone, o ne už jo ribų (kaip tai daroma medaus puodų atveju). Šis apgaulės diegimo modelis neleidžia užpuolikui naudoti juos kaip sverto tašką atakuoti tikrąją įmonės IT infrastruktūrą. Pažangesni Deception klasės sprendimai turi srauto nukreipimo galimybes, todėl visą užpuolikų srautą galite nukreipti per specialiai tam skirtą ryšį. Tai leis analizuoti užpuolikų veiklą nerizikuojant vertingu įmonės turtu.

• „Apgaulės technologijų“ įtikinamumas. Pradiniame atakos etape užpuolikai renka ir analizuoja duomenis apie IT infrastruktūrą, tada naudoja juos horizontaliai judėti įmonės tinkle. Pasitelkęs „apgaulės technologijas“, užpuolikas tikrai pateks į „spąstus“, kurie nuves jį nuo tikrojo organizacijos turto. DDP analizuos galimus būdus pasiekti kredencialus įmonės tinkle ir pateiks užpuolikui „apgaulės taikinius“, o ne tikrus kredencialus. Šių galimybių labai trūko medaus puodų technologijose. (Žr. 6 pav.).

Apgaulė VS Honeypot

Ir galiausiai pasiekiame įdomiausią mūsų tyrimo momentą. Pabandysime išryškinti pagrindinius Deception ir Honeypot technologijų skirtumus. Nepaisant kai kurių panašumų, šios dvi technologijos vis tiek labai skiriasi – nuo ​​pagrindinės idėjos iki veikimo efektyvumo.

1. Įvairios pagrindinės idėjos. Kaip jau rašėme aukščiau, medaus puodai įrengiami kaip „viliokliai“ aplink vertingą įmonės turtą (už įmonės tinklo ribų), taip bandant atitraukti užpuolikus. „Honeypot“ technologija paremta organizacijos infrastruktūros supratimu, tačiau „Honeypot“ gali tapti atspirties tašku pradėti ataką prieš įmonės tinklą. Apgaulės technologija yra sukurta atsižvelgiant į užpuoliko požiūrį ir leidžia identifikuoti ataką ankstyvoje stadijoje, todėl informacijos saugumo specialistai įgyja reikšmingą pranašumą prieš užpuolikus ir laimi laiko.

2. „Pritrauka“ VS „Sumišimas“. Naudojant medaus puodus, sėkmė priklauso nuo užpuolikų dėmesio ir tolesnio jų motyvavimo judėti į taikinį medaus puode. Tai reiškia, kad užpuolikas vis tiek turi pasiekti medaus puodą, kad galėtumėte jį sustabdyti. Taigi, užpuolikų buvimas tinkle gali trukti kelis mėnesius ar ilgiau, o tai sukels duomenų nutekėjimą ir sugadinimą. DDP kokybiškai imituoja realią įmonės IT infrastruktūrą, jų diegimo tikslas yra ne tik patraukti užpuoliko dėmesį, bet ir suklaidinti jį taip, kad jis eikvotų laiką ir išteklius, bet nepasiektų tikrojo įmonės turto. bendrovė.

3. „Ribotas mastelio keitimas“ VS „automatinis mastelio keitimas“. Kaip minėta anksčiau, medaus indai ir medaus tinkleliai turi mastelio problemų. Tai sunku ir brangu, o norint padidinti korporatyvinės sistemos medaus puodų skaičių, turėsite pridėti naujų kompiuterių, OS, pirkti licencijas ir skirti IP. Be to, tokioms sistemoms valdyti būtina turėti kvalifikuotų darbuotojų. Apgaulės platformos automatiškai įdiegiamos plečiantis infrastruktūrai, be didelių papildomų išlaidų.

4. „Daugybė klaidingų teigiamų rezultatų“ VS „nėra klaidingų teigiamų rezultatų“. Problemos esmė ta, kad net paprastas vartotojas gali susidurti su medaus puodu, todėl šios technologijos „minusas“ – daugybė klaidingų teigiamų rezultatų, kurie atitraukia informacijos saugumo specialistus nuo darbo. „Jaukai“ ir „spąstai“ DDP yra kruopščiai paslėpti nuo paprasto vartotojo ir yra skirti tik užpuolikui, todėl kiekvienas signalas iš tokios sistemos yra pranešimas apie realią grėsmę, o ne klaidingas teigiamas.

išvada

Mūsų nuomone, apgaulės technologija yra didžiulis patobulinimas, palyginti su senesne Honeypots technologija. Iš esmės DDP tapo visapusiška saugos platforma, kurią lengva įdiegti ir valdyti.

Šiuolaikinės šios klasės platformos atlieka svarbų vaidmenį tiksliai aptikdamos ir efektyviai reaguodamos į tinklo grėsmes, o jų integravimas su kitais saugos kamino komponentais padidina automatizavimo lygį, padidina reagavimo į incidentus efektyvumą ir efektyvumą. Apgaulės platformos yra pagrįstos autentiškumu, mastelio keitimu, valdymo paprastumu ir integravimu su kitomis sistemomis. Visa tai suteikia didelį pranašumą reaguojant į informacijos saugumo incidentus.

Taip pat, remiantis įmonių, kuriose buvo įdiegta ar bandoma Xello Deception platforma, pentestų stebėjimais, galime daryti išvadas, kad net ir patyrę pentestuotojai dažnai negali atpažinti masalo korporaciniame tinkle ir sugenda, kai papuola į paspęstus spąstus. Šis faktas dar kartą patvirtina Deception efektyvumą ir dideles perspektyvas, kurios atsiveria šiai technologijai ateityje.

Produkto testavimas

Jei jus domina Deception platforma, mes pasiruošę atlikti bendrą tyrimą.

Sekite naujienas mūsų kanaluose (Telegram, Facebook, VK, TS sprendimų tinklaraštis)!

Šaltinis: www.habr.com