Honeypot vs Deception uz Xello piemēra

Par Habrē jau ir vairāki raksti par Honeypot un Deception tehnoloģijām (1 raksts, 2 raksts). Tomēr mēs joprojām saskaramies ar izpratnes trūkumu par atšķirību starp šīm aizsardzības līdzekļu klasēm. Par to mūsu kolēģi no Sveiki Maldināšana (pirmais krievu izstrādātājs Platformas maldināšana) nolēma detalizēti aprakstīt šo risinājumu atšķirības, priekšrocības un arhitektoniskās iezīmes.

Izdomāsim, kas ir “medus podi” un “mānīšana”:

“Maldināšanas tehnoloģijas” informācijas drošības sistēmu tirgū parādījās salīdzinoši nesen. Tomēr daži eksperti joprojām uzskata, ka drošības maldināšana ir tikai uzlabotas meduspodas.

Šajā rakstā mēs centīsimies izcelt gan līdzības, gan būtiskās atšķirības starp šiem diviem risinājumiem. Pirmajā daļā runāsim par honeypot, kā šī tehnoloģija attīstījās un kādas ir tās priekšrocības un trūkumi. Un otrajā daļā mēs detalizēti pakavēsimies pie platformu darbības principiem izplatītas mānekļu infrastruktūras izveidei (angļu valodā, Distributed Deception Platform - DDP).

Meduspodu pamatprincips ir izveidot slazdus hakeriem. Paši pirmie Deception risinājumi tika izstrādāti pēc tāda paša principa. Taču mūsdienu DDP ir ievērojami pārāki par meduspodiem gan funkcionalitātes, gan efektivitātes ziņā. Maldināšanas platformas ietver: mānekļus, slazdus, ​​mānekļus, lietojumprogrammas, datus, datu bāzes, Active Directory. Mūsdienu DDP var nodrošināt jaudīgas iespējas draudu noteikšanai, uzbrukumu analīzei un atbildes automatizēšanai.

Tādējādi maldināšana ir paņēmiens uzņēmuma IT infrastruktūras simulēšanai un hakeru maldināšanai. Rezultātā šādas platformas ļauj apturēt uzbrukumus, pirms tiek nodarīts būtisks kaitējums uzņēmuma aktīviem. Honeypots, protams, nav tik plašas funkcionalitātes un tāda automatizācijas līmeņa, tāpēc to izmantošana prasa lielāku kvalifikāciju no informācijas drošības nodaļu darbiniekiem.

1. Honeypots, Honeynets un Sandboxing: kas tie ir un kā tie tiek izmantoti

Termins "medus podi" pirmo reizi tika lietots 1989. gadā Kliforda Stola grāmatā "The Cuckoo's Egg", kurā aprakstīti notikumi, izsekojot hakeru Lorensa Bērklija Nacionālajā laboratorijā (ASV). Šo ideju 1999. gadā realizēja Sun Microsystems informācijas drošības speciālists Lenss Spitzners, kurš nodibināja Honeynet Project pētniecības projektu. Pirmie meduspodi bija ļoti resursietilpīgi, tos bija grūti uzstādīt un uzturēt.

Apskatīsim tuvāk, kas tas ir honeypots и medustīkli. Honeypots ir individuāli resursdatori, kuru mērķis ir piesaistīt uzbrucējus, lai tie iekļūtu uzņēmuma tīklā un mēģinātu nozagt vērtīgus datus, kā arī paplašināt tīkla pārklājuma zonu. Honeypot (burtiski tulkots kā “medus muca”) ir īpašs serveris ar dažādu tīkla pakalpojumu un protokolu kopumu, piemēram, HTTP, FTP utt. (skat. 1. att.).

Ja apvienojat vairākus honeypots tīklā, tad iegūsim efektīvāku sistēmu medustīkls, kas ir uzņēmuma korporatīvā tīkla (tīmekļa servera, failu servera un citu tīkla komponentu) emulācija. Šis risinājums ļauj izprast uzbrucēju stratēģiju un viņus maldināt. Tipisks honeynet, kā likums, darbojas paralēli darba tīklam un ir pilnībā no tā neatkarīgs. Šāds “tīkls” var tikt publicēts internetā, izmantojot atsevišķu kanālu, tam var atvēlēt arī atsevišķu IP adrešu diapazonu (skat. 2. att.).

Honeynet izmantošanas mērķis ir parādīt hakeram, ka viņš it kā ir iekļuvis organizācijas korporatīvajā tīklā; patiesībā uzbrucējs atrodas “izolētā vidē” un atrodas stingrā informācijas drošības speciālistu uzraudzībā (sk. 3. att.).

Šeit mums jāpiemin arī tāds rīks kā "sandbox"(Angļu, smilšukaste), kas ļauj uzbrucējiem instalēt un palaist ļaunprātīgu programmatūru izolētā vidē, kur IT var pārraudzīt viņu darbības, lai identificētu iespējamos riskus un veiktu atbilstošus pretpasākumus. Pašlaik smilškaste parasti tiek ieviesta īpašās virtuālajās mašīnās virtuālajā resursdatorā. Tomēr jāņem vērā, ka smilškaste tikai parāda, kā uzvedas bīstamas un ļaunprātīgas programmas, savukārt honeynet palīdz speciālistam analizēt “bīstamo spēlētāju” uzvedību.

Acīmredzamais medustīklu ieguvums ir tas, ka tie maldina uzbrucējus, tērējot viņu enerģiju, resursus un laiku. Rezultātā reālu mērķu vietā viņi uzbrūk viltus mērķiem un var pārtraukt uzbrukumu tīklam, neko nesasniedzot. Visbiežāk honeynets tehnoloģijas tiek izmantotas valsts aģentūrās un lielās korporācijās, finanšu organizācijās, jo tieši šīs struktūras izrādās lielu kiberuzbrukumu mērķi. Taču arī mazajiem un vidējiem uzņēmumiem (MVU) nepieciešami efektīvi instrumenti, lai novērstu informācijas drošības incidentus, taču SMB sektorā honeynets nav tik vienkārši lietojams, jo trūkst kvalificēta personāla tik sarežģītam darbam.

Honeypots un Honeynets risinājumu ierobežojumi

Kāpēc medus podi un medustīkli mūsdienās nav labākie risinājumi pretuzbrukumiem? Jāpiebilst, ka uzbrukumi kļūst arvien apjomīgāki, tehniski sarežģītāki un spēj nodarīt nopietnu kaitējumu organizācijas IT infrastruktūrai, un kibernoziedzība ir sasniegusi pavisam citu līmeni un pārstāv augsti organizētas ēnu biznesa struktūras, kas aprīkotas ar visiem nepieciešamajiem resursiem. Tam vēl jāpieskaita “cilvēciskais faktors” (kļūdas programmatūras un aparatūras iestatījumos, iekšējās personas darbības u.c.), tāpēc ar tikai tehnoloģiju izmantošanu uzbrukumu novēršanai šobrīd vairs nepietiek.

Zemāk mēs uzskaitām galvenos medus podu (medustīklu) ierobežojumus un trūkumus:

1. Honeypots sākotnēji tika izstrādāti, lai identificētu draudus, kas atrodas ārpus korporatīvā tīkla, ir paredzēti, lai analizētu uzbrucēju uzvedību, un tie nav paredzēti, lai ātri reaģētu uz draudiem.

2. Uzbrucēji, kā likums, jau ir iemācījušies atpazīt emulētas sistēmas un izvairīties no medus podiem.

3. Honeynets (honeypots) ir ārkārtīgi zems interaktivitātes un mijiedarbības līmenis ar citām drošības sistēmām, kā rezultātā, izmantojot honeypots, ir grūti iegūt detalizētu informāciju par uzbrukumiem un uzbrucējiem, līdz ar to efektīvi un ātri reaģēt uz informācijas drošības incidentiem. . Turklāt informācijas drošības speciālisti saņem lielu skaitu viltus brīdinājumu par draudiem.

4. Dažos gadījumos hakeri var izmantot uzlauztu meduspodu kā sākumpunktu, lai turpinātu uzbrukumu organizācijas tīklam.

5. Problēmas bieži rodas ar meduspodu mērogojamību, lielu ekspluatācijas slodzi un šādu sistēmu konfigurāciju (tām ir nepieciešami augsti kvalificēti speciālisti, nav ērta vadības saskarnes utt.). Ir lielas grūtības izvietot medus podus specializētās vidēs, piemēram, IoT, POS, mākoņsistēmās utt.

2. Maldināšanas tehnoloģija: priekšrocības un darbības pamatprincipi

Izpētot visas meduspodu priekšrocības un trūkumus, nonākam pie secinājuma, ka ir nepieciešama pilnīgi jauna pieeja reaģēšanai uz informācijas drošības incidentiem, lai izstrādātu ātru un adekvātu reakciju uz uzbrucēju rīcību. Un šāds risinājums ir tehnoloģija Kibermaldināšana (drošības maldināšana).

Terminoloģija “Kibermaldināšana”, “Drošības maldināšana”, “Maldināšanas tehnoloģija”, “Izkliedētā maldināšanas platforma” (DDP) ir salīdzinoši jauna un parādījās ne tik sen. Faktiski visi šie termini nozīmē "maldināšanas tehnoloģiju" vai "IT infrastruktūras simulācijas un uzbrucēju dezinformācijas paņēmienu" izmantošanu. Vienkāršākie Maldināšanas risinājumi ir meduspodu ideju attīstība, tikai tehnoloģiski progresīvākā līmenī, kas ietver lielāku draudu noteikšanas un reaģēšanas uz tiem automatizāciju. Tomēr tirgū jau ir nopietni DDP klases risinājumi, kas ir viegli izvietojami un mērogojami, kā arī tiem ir nopietns uzbrucēju “slazdu” un “ēsmu” arsenāls. Piemēram, Deception ļauj emulēt IT infrastruktūras objektus, piemēram, datu bāzes, darbstacijas, maršrutētājus, slēdžus, bankomātus, serverus un SCADA, medicīnas iekārtas un IoT.

Kā darbojas izplatītā maldināšanas platforma? Pēc DDP izvietošanas organizācijas IT infrastruktūra tiks veidota it kā no diviem slāņiem: pirmais slānis ir uzņēmuma reālā infrastruktūra, bet otrais ir “emulēta” vide, kas sastāv no mānekļiem un ēsmas. lures), kas atrodas. reālās fiziskā tīkla ierīcēs (skat. 4. att.).

Piemēram, uzbrucējs var atklāt viltotas datu bāzes ar “konfidenciāliem dokumentiem”, viltotiem it kā “priviliģētu lietotāju” akreditācijas datiem — tie visi ir mānekļi, kas var ieinteresēt pārkāpējus, tādējādi novēršot viņu uzmanību no uzņēmuma patiesajiem informācijas līdzekļiem (sk. 5. attēlu).

DDP ir jauns produkts informācijas drošības produktu tirgū, šie risinājumi ir tikai dažus gadus veci un līdz šim tos var atļauties tikai korporatīvais sektors. Taču drīzumā arī mazie un vidējie uzņēmumi varēs izmantot Deception priekšrocības, īrējot DDP no specializētiem pakalpojumu sniedzējiem “kā pakalpojumu”. Šī iespēja ir vēl ērtāka, jo nav nepieciešams savs augsti kvalificēts personāls.

Galvenās maldināšanas tehnoloģijas priekšrocības ir parādītas zemāk:

• Autentiskums (autentiskums). Maldināšanas tehnoloģija spēj reproducēt pilnīgi autentisku uzņēmuma IT vidi, kvalitatīvi emulējot operētājsistēmas, IoT, POS, specializētās sistēmas (medicīnas, rūpnieciskās u.c.), pakalpojumus, lietojumprogrammas, akreditācijas datus utt. Mānekļi tiek rūpīgi sajaukti ar darba vidi, un uzbrucējs tos nevarēs identificēt kā meduspodus.

• Īstenošana. DDP savā darbā izmanto mašīnmācīšanos (ML). Ar ML palīdzību tiek nodrošināta vienkāršība, iestatījumu elastība un Deception ieviešanas efektivitāte. “Slazdi” un “meduspodi” tiek atjaunināti ļoti ātri, ievilinot uzbrucēju uzņēmuma “viltus” IT infrastruktūrā, un tikmēr uzlabotas, uz mākslīgā intelekta balstītas analīzes sistēmas var atklāt hakeru aktīvās darbības un novērst tās (piemēram, mēģināt piekļūt krāpnieciskiem kontiem, kuru pamatā ir Active Directory).

• Vienkārša darbība. Mūsdienu izplatītās maldināšanas platformas ir viegli uzturēt un pārvaldīt. Tos parasti pārvalda, izmantojot lokālo vai mākoņa konsoli, ar integrācijas iespējām ar korporatīvo SOC (drošības operāciju centru), izmantojot API, un ar daudzām esošajām drošības kontrolēm. DDP uzturēšanai un darbībai nav nepieciešami augsti kvalificētu informācijas drošības ekspertu pakalpojumi.

• Mērogojamība. Drošības maldināšanu var izmantot fiziskā, virtuālā un mākoņa vidē. DDP veiksmīgi darbojas arī ar specializētām vidēm, piemēram, IoT, ICS, POS, SWIFT utt. Uzlabotās maldināšanas platformas var projicēt “maldināšanas tehnoloģijas” attālos birojos un izolētā vidē bez papildu pilnas platformas izvietošanas.

• Mijiedarbība. Izmantojot jaudīgus un pievilcīgus mānekļus, kas ir balstīti uz reālām operētājsistēmām un gudri izvietoti starp reālu IT infrastruktūru, Deception platforma apkopo plašu informāciju par uzbrucēju. Pēc tam DDP nodrošina, ka tiek pārsūtīti brīdinājumi par draudiem, tiek ģenerēti ziņojumi un automātiski tiek reaģēts uz informācijas drošības incidentiem.

• Uzbrukuma sākuma punkts. Mūsdienu Deception slazdi un ēsmas tiek novietotas tīkla diapazonā, nevis ārpus tā (kā tas ir medus podiņu gadījumā). Šis mānekļu izvietošanas modelis neļauj uzbrucējam tos izmantot kā sviras punktu, lai uzbruktu uzņēmuma reālajai IT infrastruktūrai. Uzlabotākiem Deception klases risinājumiem ir trafika maršrutēšanas iespējas, lai jūs varētu novirzīt visu uzbrucēju trafiku, izmantojot īpaši speciālu savienojumu. Tas ļaus analizēt uzbrucēju darbību, neriskējot ar vērtīgiem uzņēmuma aktīviem.

• "Maldināšanas tehnoloģiju" pārliecība. Sākotnējā uzbrukuma stadijā uzbrucēji apkopo un analizē datus par IT infrastruktūru, pēc tam izmanto tos, lai pārvietotos horizontāli pa korporatīvo tīklu. Ar “maldināšanas tehnoloģiju” palīdzību uzbrucējs noteikti iekritīs “slazdos”, kas viņu novedīs prom no organizācijas reālajiem aktīviem. DDP analizēs iespējamos ceļus, lai piekļūtu akreditācijas datiem korporatīvajā tīklā un īstu akreditācijas datu vietā uzbrucējam nodrošinās “mānīšanas mērķus”. Šo iespēju ļoti trūka medus podu tehnoloģijās. (Skatīt 6. attēlu).

Maldināšana VS Honeypot

Un visbeidzot mēs nonākam pie mūsu pētījuma interesantākā brīža. Mēģināsim izcelt galvenās atšķirības starp Deception un Honeypot tehnoloģijām. Neskatoties uz dažām līdzībām, šīs divas tehnoloģijas joprojām ir ļoti atšķirīgas, sākot no pamatidejas līdz darbības efektivitātei.

1. Dažādas pamatidejas. Kā jau rakstījām iepriekš, meduspodiņi tiek uzstādīti kā “mānekļi” ap vērtīgiem uzņēmuma aktīviem (ārpus korporatīvā tīkla), tādējādi cenšoties novērst uzbrucēju uzmanību. Honeypot tehnoloģija balstās uz izpratni par organizācijas infrastruktūru, bet Honeypots var kļūt par sākumpunktu uzbrukuma uzsākšanai uzņēmuma tīklam. Maldināšanas tehnoloģija ir izstrādāta, ņemot vērā uzbrucēja viedokli un ļauj identificēt uzbrukumu agrīnā stadijā, tādējādi informācijas drošības speciālisti iegūst ievērojamas priekšrocības pār uzbrucējiem un iegūst laiku.

2. "Atrakcija" VS "Apjukums". Lietojot meduspodus, panākumi ir atkarīgi no uzbrucēju uzmanības piesaistīšanas un tālākas motivācijas virzīties uz meduspodā esošo mērķi. Tas nozīmē, ka uzbrucējam joprojām ir jāsasniedz medus pods, lai jūs varētu viņu apturēt. Tādējādi uzbrucēju klātbūtne tīklā var ilgt vairākus mēnešus vai ilgāk, un tas izraisīs datu noplūdi un bojājumus. DDP kvalitatīvi atdarina uzņēmuma reālo IT infrastruktūru, to ieviešanas mērķis ir ne tikai piesaistīt uzbrucēja uzmanību, bet gan mulsināt viņu, lai viņš tērētu laiku un resursus, bet neiegūtu piekļuvi reālajiem uzņēmuma aktīviem. uzņēmums.

3. “Ierobežota mērogojamība” VS “automātiskā mērogojamība”. Kā minēts iepriekš, meduspodiem un medustīkliem ir mērogošanas problēmas. Tas ir sarežģīti un dārgi, un, lai palielinātu meduspodu skaitu korporatīvajā sistēmā, jums būs jāpievieno jauni datori, OS, jāpērk licences un jāpiešķir IP. Turklāt ir nepieciešams arī kvalificēts personāls, lai pārvaldītu šādas sistēmas. Maldināšanas platformas tiek automātiski izvietotas, kad jūsu infrastruktūra paplašinās, bez ievērojamām papildu izmaksām.

4. “Liels skaits viltus pozitīvu” VS “nav kļūdaini pozitīvu”. Problēmas būtība ir tāda, ka pat vienkāršs lietotājs var saskarties ar meduspodu, tāpēc šīs tehnoloģijas “mīnuss” ir liels skaits viltus pozitīvu, kas novērš informācijas drošības speciālistu uzmanību no viņu darba. DDP “ēsmas” un “slazdi” ir rūpīgi paslēpti no vidusmēra lietotāja un ir paredzēti tikai uzbrucējam, tāpēc katrs signāls no šādas sistēmas ir paziņojums par reāliem draudiem, nevis kļūdaini pozitīvs.

Secinājums

Mūsuprāt, Deception tehnoloģija ir milzīgs uzlabojums salīdzinājumā ar vecāko Honeypots tehnoloģiju. Būtībā DDP ir kļuvusi par visaptverošu drošības platformu, kuru ir viegli izvietot un pārvaldīt.

Šīs klases modernajām platformām ir liela nozīme, lai precīzi noteiktu tīkla draudus un efektīvi reaģētu uz tiem, un to integrācija ar citiem drošības steka komponentiem paaugstina automatizācijas līmeni, palielina incidentu reaģēšanas efektivitāti un efektivitāti. Maldināšanas platformu pamatā ir autentiskums, mērogojamība, vienkārša pārvaldība un integrācija ar citām sistēmām. Tas viss dod ievērojamas priekšrocības reaģēšanas ātrumā uz informācijas drošības incidentiem.

Tāpat, balstoties uz uzņēmumu pentestu novērojumiem, kuros tika ieviesta vai pilotēta Xello Deception platforma, varam izdarīt secinājumus, ka pat pieredzējuši pentestētāji bieži vien nespēj atpazīt ēsmu korporatīvajā tīklā un piedzīvo neveiksmi, krītot uz izliktajām lamatām. Šis fakts vēlreiz apstiprina Deception efektivitāti un lielās perspektīvas, kas šai tehnoloģijai paveras nākotnē.

Produktu testēšana

Ja jūs interesē Deception platforma, tad mēs esam gatavi veikt kopīgu pārbaudi.

Sekojiet jaunumiem mūsu kanālos (Telegram, Facebook, VK, TS risinājumu emuārs)!

Avots: www.habr.com