ProHoster > Blog > Pentadbiran > Honeypot vs Deception pada contoh Xello

Honeypot vs Deception pada contoh Xello

Honeypot vs Deception pada contoh Xello

Terdapat beberapa artikel mengenai Habré tentang teknologi Honeypot dan Deception (1 artikel, 2 artikel). Walau bagaimanapun, kami masih berhadapan dengan kekurangan pemahaman tentang perbezaan antara kelas peralatan perlindungan ini. Untuk ini, rakan sekerja kami dari Hello Penipuan (pemaju Rusia pertama Penipuan Platform) memutuskan untuk menerangkan secara terperinci perbezaan, kelebihan dan ciri seni bina bagi penyelesaian ini.

Mari kita fikirkan apakah "honeypot" dan "penipuan":

"Teknologi penipuan" muncul di pasaran sistem keselamatan maklumat agak baru-baru ini. Walau bagaimanapun, sesetengah pakar masih menganggap Penipuan Keselamatan hanyalah honeypot yang lebih maju.

Dalam artikel ini kami akan cuba menyerlahkan kedua-dua persamaan dan perbezaan asas antara kedua-dua penyelesaian ini. Pada bahagian pertama, kita akan bercakap tentang honeypot, bagaimana teknologi ini berkembang dan apakah kelebihan dan kekurangannya. Dan dalam bahagian kedua, kami akan membincangkan secara terperinci tentang prinsip operasi platform untuk mewujudkan infrastruktur pengedaran yang diedarkan (Bahasa Inggeris, Platform Penipuan Teragih - DDP).

Prinsip asas yang mendasari honeypot adalah untuk mencipta perangkap untuk penggodam. Penyelesaian Penipuan yang pertama dibangunkan berdasarkan prinsip yang sama. Tetapi DDP moden adalah jauh lebih unggul daripada honeypot, kedua-duanya dari segi fungsi dan kecekapan. Platform penipuan termasuk: umpan, perangkap, gewang, aplikasi, data, pangkalan data, Direktori Aktif. DDP moden boleh menyediakan keupayaan berkuasa untuk pengesanan ancaman, analisis serangan dan automasi tindak balas.

Oleh itu, Penipuan ialah teknik untuk mensimulasikan infrastruktur IT perusahaan dan penggodam yang mengelirukan. Akibatnya, platform sedemikian memungkinkan untuk menghentikan serangan sebelum menyebabkan kerosakan yang ketara pada aset syarikat. Honeypots, sudah tentu, tidak mempunyai fungsi yang begitu luas dan tahap automasi sedemikian, jadi penggunaannya memerlukan lebih banyak kelayakan daripada pekerja jabatan keselamatan maklumat.

1. Honeypots, Honeynets dan Sandboxing: apakah ia dan cara ia digunakan

Istilah "honeypots" pertama kali digunakan pada tahun 1989 dalam buku Clifford Stoll "The Cuckoo's Egg", yang menerangkan peristiwa menjejaki penggodam di Lawrence Berkeley National Laboratory (USA). Idea ini telah dipraktikkan pada tahun 1999 oleh Lance Spitzner, pakar keselamatan maklumat di Sun Microsystems, yang mengasaskan projek penyelidikan Honeynet Project. Honeypot pertama adalah sangat intensif sumber, sukar untuk disediakan dan diselenggara.

Mari kita lihat lebih dekat apa itu honeypots и sarang lebah. Honeypots ialah hos individu yang tujuannya adalah untuk menarik penyerang untuk menembusi rangkaian syarikat dan cuba mencuri data berharga, serta mengembangkan kawasan liputan rangkaian. Honeypot (diterjemah secara literal sebagai "tong madu") ialah pelayan khas dengan set pelbagai perkhidmatan rangkaian dan protokol, seperti HTTP, FTP, dll. (lihat Rajah 1).

Honeypot vs Deception pada contoh Xello

Jika anda menggabungkan beberapa honeypots ke dalam rangkaian, maka kita akan mendapat sistem yang lebih cekap sarang lebah, yang merupakan emulasi rangkaian korporat syarikat (pelayan web, pelayan fail dan komponen rangkaian lain). Penyelesaian ini membolehkan anda memahami strategi penyerang dan mengelirukan mereka. Honeynet biasa, sebagai peraturan, beroperasi selari dengan rangkaian kerja dan sepenuhnya bebas daripadanya. "Rangkaian" sedemikian boleh diterbitkan di Internet melalui saluran berasingan; julat alamat IP yang berasingan juga boleh diperuntukkan untuknya (lihat Rajah 2).

Honeypot vs Deception pada contoh Xello

Tujuan menggunakan honeynet adalah untuk menunjukkan kepada penggodam bahawa dia kononnya telah menembusi rangkaian korporat organisasi, malah, penyerang berada dalam "persekitaran terpencil" dan di bawah pengawasan rapi pakar keselamatan maklumat (lihat Rajah 3).

Honeypot vs Deception pada contoh Xello

Di sini kita juga perlu menyebut alat seperti "kotak pasir"(Bahasa Inggeris, kotak pasir), yang membolehkan penyerang memasang dan menjalankan perisian hasad dalam persekitaran terpencil di mana IT boleh memantau aktiviti mereka untuk mengenal pasti potensi risiko dan mengambil tindakan balas yang sewajarnya. Pada masa ini, kotak pasir biasanya dilaksanakan pada mesin maya khusus pada hos maya. Walau bagaimanapun, perlu diingatkan bahawa kotak pasir hanya menunjukkan kelakuan program berbahaya dan berniat jahat, manakala honeynet membantu pakar menganalisis tingkah laku "pemain berbahaya."

Manfaat yang jelas dari honeynets ialah ia mengelirukan penyerang, membazir tenaga, sumber dan masa mereka. Akibatnya, bukannya sasaran sebenar, mereka menyerang yang palsu dan boleh berhenti menyerang rangkaian tanpa mencapai apa-apa. Selalunya, teknologi honeynets digunakan dalam agensi kerajaan dan syarikat besar, organisasi kewangan, kerana ini adalah struktur yang menjadi sasaran serangan siber utama. Walau bagaimanapun, perniagaan kecil dan sederhana (PKS) juga memerlukan alat yang berkesan untuk mencegah insiden keselamatan maklumat, tetapi honeynet dalam sektor PKS tidak begitu mudah digunakan kerana kekurangan kakitangan yang berkelayakan untuk kerja yang kompleks tersebut.

Had Penyelesaian Honeypots dan Honeynets

Mengapakah honeypot dan honeynets bukan penyelesaian terbaik untuk menentang serangan hari ini? Perlu diingatkan bahawa serangan menjadi semakin berskala besar, kompleks dari segi teknikal dan mampu menyebabkan kerosakan serius pada infrastruktur IT organisasi, dan jenayah siber telah mencapai tahap yang sama sekali berbeza dan mewakili struktur perniagaan bayangan yang sangat teratur yang dilengkapi dengan semua sumber yang diperlukan. Untuk ini mesti ditambah "faktor manusia" (ralat dalam tetapan perisian dan perkakasan, tindakan orang dalam, dll.), jadi menggunakan hanya teknologi untuk mencegah serangan tidak lagi mencukupi pada masa ini.

Di bawah ini kami menyenaraikan batasan dan keburukan utama honeypots (honeynets):

  1. Honeypots pada asalnya dibangunkan untuk mengenal pasti ancaman yang berada di luar rangkaian korporat, lebih bertujuan untuk menganalisis tingkah laku penyerang dan tidak direka untuk bertindak balas dengan cepat kepada ancaman.

  2. Penyerang, sebagai peraturan, telah belajar mengenali sistem yang dicontohi dan mengelakkan honeypot.

  3. Honeynets (honeypots) mempunyai tahap interaktiviti dan interaksi yang sangat rendah dengan sistem keselamatan lain, akibatnya, menggunakan honeypots, sukar untuk mendapatkan maklumat terperinci tentang serangan dan penyerang, dan oleh itu untuk bertindak balas dengan berkesan dan cepat terhadap insiden keselamatan maklumat . Selain itu, pakar keselamatan maklumat menerima sejumlah besar amaran ancaman palsu.

  4. Dalam sesetengah kes, penggodam mungkin menggunakan honeypot yang terjejas sebagai titik permulaan untuk meneruskan serangan mereka ke atas rangkaian organisasi.

  5. Masalah sering timbul dengan kebolehskalaan honeypot, beban operasi yang tinggi dan konfigurasi sistem sedemikian (mereka memerlukan pakar yang berkelayakan tinggi, tidak mempunyai antara muka pengurusan yang mudah, dll.). Terdapat kesukaran besar dalam menggunakan honeypot dalam persekitaran khusus seperti IoT, POS, sistem awan, dll.

2. Teknologi penipuan: kelebihan dan prinsip operasi asas

Setelah mengkaji semua kebaikan dan keburukan honeypot, kami membuat kesimpulan bahawa pendekatan yang sama sekali baru untuk bertindak balas terhadap insiden keselamatan maklumat diperlukan untuk membangunkan tindak balas yang cepat dan mencukupi terhadap tindakan penyerang. Dan penyelesaian sedemikian adalah teknologi Penipuan siber (Penipuan keselamatan).

Terminologi "Penipuan siber", "Penipuan keselamatan", "Teknologi penipuan", "Platform Penipuan Teragih" (DDP) agak baharu dan muncul tidak lama dahulu. Malah, semua istilah ini bermaksud penggunaan "teknologi penipuan" atau "teknik untuk mensimulasikan infrastruktur IT dan maklumat salah penyerang." Penyelesaian Penipuan yang paling mudah ialah pembangunan idea honeypot, hanya pada tahap yang lebih maju dari segi teknologi, yang melibatkan automasi pengesanan ancaman dan tindak balas yang lebih besar kepada mereka. Walau bagaimanapun, sudah ada penyelesaian kelas DDP yang serius di pasaran yang mudah digunakan dan skala, dan juga mempunyai senjata "perangkap" dan "umpan" yang serius untuk penyerang. Contohnya, Penipuan membolehkan anda meniru objek infrastruktur IT seperti pangkalan data, stesen kerja, penghala, suis, ATM, pelayan dan SCADA, peralatan perubatan dan IoT.

Bagaimanakah Platform Penipuan Teragih berfungsi? Selepas DDP digunakan, infrastruktur IT organisasi akan dibina seolah-olah daripada dua lapisan: lapisan pertama ialah infrastruktur sebenar syarikat, dan yang kedua ialah persekitaran "dicontohi" yang terdiri daripada umpan dan umpan. gewang), yang terletak pada peranti rangkaian fizikal sebenar (lihat Rajah 4).

Honeypot vs Deception pada contoh Xello

Sebagai contoh, penyerang boleh menemui pangkalan data palsu dengan "dokumen sulit", bukti kelayakan palsu yang dikatakan "pengguna istimewa" - semua ini adalah tipu daya yang boleh menarik minat pelanggar, dengan itu mengalihkan perhatian mereka daripada aset maklumat sebenar syarikat (lihat Rajah 5).

Honeypot vs Deception pada contoh Xello

DDP ialah produk baharu dalam pasaran produk keselamatan maklumat; penyelesaian ini hanya berusia beberapa tahun dan setakat ini hanya sektor korporat yang mampu membelinya. Tetapi perniagaan kecil dan sederhana tidak lama lagi akan dapat memanfaatkan Penipuan dengan menyewa DDP daripada penyedia khusus "sebagai perkhidmatan." Pilihan ini lebih mudah, kerana tidak ada keperluan untuk kakitangan anda sendiri yang berkelayakan tinggi.

Kelebihan utama teknologi Penipuan ditunjukkan di bawah:

  • Keaslian (authenticity). Teknologi penipuan mampu menghasilkan semula persekitaran IT syarikat yang benar-benar tulen, mencontohi sistem pengendalian secara kualitatif, IoT, POS, sistem khusus (perubatan, perindustrian, dll.), perkhidmatan, aplikasi, kelayakan, dsb. Umpan dicampur dengan teliti dengan persekitaran kerja, dan penyerang tidak akan dapat mengenal pasti mereka sebagai honeypot.

  • Perlaksanaan. DDP menggunakan pembelajaran mesin (ML) dalam kerja mereka. Dengan bantuan ML, kesederhanaan, fleksibiliti dalam tetapan dan kecekapan pelaksanaan Penipuan dipastikan. “Perangkap” dan “decoy” dikemas kini dengan cepat, memikat penyerang ke dalam infrastruktur IT “palsu” syarikat, dan sementara itu, sistem analisis lanjutan berdasarkan kecerdasan buatan boleh mengesan tindakan aktif penggodam dan menghalangnya (contohnya, cuba mengakses akaun penipuan berasaskan Active Directory).

  • Operasi mudah. Platform Penipuan Teragih Moden mudah diselenggara dan diurus. Mereka biasanya diuruskan melalui konsol tempatan atau awan, dengan keupayaan penyepaduan dengan SOC korporat (Pusat Operasi Keselamatan) melalui API dan dengan banyak kawalan keselamatan sedia ada. Penyelenggaraan dan pengendalian DDP tidak memerlukan perkhidmatan pakar keselamatan maklumat yang berkelayakan tinggi.

  • Kebolehskalaan. Penipuan keselamatan boleh digunakan dalam persekitaran fizikal, maya dan awan. DDP juga berfungsi dengan jayanya dengan persekitaran khusus seperti IoT, ICS, POS, SWIFT, dsb. Platform Penipuan Lanjutan boleh menayangkan "teknologi penipuan" ke pejabat terpencil dan persekitaran terpencil, tanpa memerlukan penggunaan platform penuh tambahan.

  • Interaksi. Menggunakan umpan yang kuat dan menarik yang berdasarkan sistem pengendalian sebenar dan diletakkan dengan bijak di kalangan infrastruktur IT sebenar, platform Deception mengumpul maklumat yang luas tentang penyerang. DDP kemudiannya memastikan bahawa amaran ancaman dihantar, laporan dijana dan insiden keselamatan maklumat dijawab secara automatik.

  • Titik permulaan serangan. Dalam Penipuan moden, perangkap dan umpan diletakkan dalam julat rangkaian, bukannya di luarnya (seperti halnya dengan honeypot). Model penggunaan umpan ini menghalang penyerang daripada menggunakannya sebagai titik leverage untuk menyerang infrastruktur IT sebenar syarikat. Penyelesaian yang lebih maju bagi kelas Penipuan mempunyai keupayaan penghalaan trafik, jadi anda boleh mengarahkan semua trafik penyerang melalui sambungan khusus. Ini akan membolehkan anda menganalisis aktiviti penyerang tanpa mempertaruhkan aset syarikat yang berharga.

  • Daya persuasif "teknologi penipuan". Pada peringkat awal serangan, penyerang mengumpul dan menganalisis data tentang infrastruktur IT, kemudian menggunakannya untuk bergerak secara mendatar melalui rangkaian korporat. Dengan bantuan "teknologi penipuan," penyerang pasti akan jatuh ke dalam "perangkap" yang akan membawanya jauh dari aset sebenar organisasi. DDP akan menganalisis laluan yang berpotensi untuk mengakses bukti kelayakan pada rangkaian korporat dan menyediakan penyerang dengan "sasaran tipuan" dan bukannya bukti kelayakan sebenar. Keupayaan ini sangat kurang dalam teknologi honeypot. (Lihat Rajah 6).

Honeypot vs Deception pada contoh Xello

Penipuan VS Honeypot

Dan akhirnya, kami sampai ke saat yang paling menarik dalam penyelidikan kami. Kami akan cuba menyerlahkan perbezaan utama antara teknologi Penipuan dan Honeypot. Walaupun terdapat beberapa persamaan, kedua-dua teknologi ini masih sangat berbeza, daripada idea asas kepada kecekapan operasi.

  1. Idea asas yang berbeza. Seperti yang kami tulis di atas, honeypots dipasang sebagai "membuang" di sekitar aset syarikat yang berharga (di luar rangkaian korporat), sekali gus cuba mengalih perhatian penyerang. Teknologi honeypot adalah berdasarkan pemahaman tentang infrastruktur organisasi, tetapi honeypot boleh menjadi titik permulaan untuk melancarkan serangan ke atas rangkaian syarikat. Teknologi penipuan dibangunkan dengan mengambil kira sudut pandangan penyerang dan membolehkan anda mengenal pasti serangan pada peringkat awal, oleh itu, pakar keselamatan maklumat mendapat kelebihan yang ketara berbanding penyerang dan mendapat masa.

  2. "Tarikan" VS "Kekeliruan". Apabila menggunakan honeypot, kejayaan bergantung kepada menarik perhatian penyerang dan seterusnya memotivasikan mereka untuk bergerak ke sasaran dalam honeypot. Ini bermakna bahawa penyerang masih perlu mencapai honeypot sebelum anda boleh menghalangnya. Oleh itu, kehadiran penyerang pada rangkaian boleh bertahan selama beberapa bulan atau lebih, dan ini akan membawa kepada kebocoran dan kerosakan data. DDP secara kualitatif meniru infrastruktur IT sebenar syarikat; tujuan pelaksanaannya bukan hanya untuk menarik perhatian penyerang, tetapi untuk mengelirukan dia supaya dia membuang masa dan sumber, tetapi tidak mendapat akses kepada aset sebenar penyerang. syarikat.

  3. “Kebolehskalaan terhad” VS “Kebolehskalaan automatik”. Seperti yang dinyatakan sebelum ini, honeypot dan honeynets mempunyai masalah penskalaan. Ini sukar dan mahal, dan untuk meningkatkan bilangan honeypot dalam sistem korporat, anda perlu menambah komputer baharu, OS, membeli lesen dan memperuntukkan IP. Selain itu, kakitangan yang berkelayakan juga perlu untuk menguruskan sistem tersebut. Platform penipuan secara automatik digunakan sebagai skala infrastruktur anda, tanpa overhed yang ketara.

  4. "Sebilangan besar positif palsu" VS "tiada positif palsu". Intipati masalahnya ialah walaupun pengguna mudah boleh menemui honeypot, jadi "kelemahan" teknologi ini adalah sejumlah besar positif palsu, yang mengalihkan perhatian pakar keselamatan maklumat daripada kerja mereka. "Umpan" dan "perangkap" dalam DDP disembunyikan dengan teliti daripada pengguna biasa dan direka bentuk hanya untuk penyerang, jadi setiap isyarat daripada sistem sedemikian adalah pemberitahuan ancaman sebenar, dan bukan positif palsu.

Kesimpulan

Pada pendapat kami, teknologi Penipuan adalah peningkatan besar berbanding teknologi Honeypots yang lebih lama. Pada dasarnya, DDP telah menjadi platform keselamatan yang komprehensif yang mudah untuk digunakan dan diurus.

Platform moden kelas ini memainkan peranan penting dalam mengesan dengan tepat dan bertindak balas secara berkesan kepada ancaman rangkaian, dan penyepaduan mereka dengan komponen lain bagi timbunan keselamatan meningkatkan tahap automasi, meningkatkan kecekapan dan keberkesanan tindak balas insiden. Platform penipuan adalah berdasarkan keaslian, skalabiliti, kemudahan pengurusan dan penyepaduan dengan sistem lain. Semua ini memberikan kelebihan yang ketara dalam kelajuan tindak balas terhadap insiden keselamatan maklumat.

Selain itu, berdasarkan pemerhatian pentest syarikat di mana platform Xello Deception dilaksanakan atau dipandu, kita boleh membuat kesimpulan bahawa walaupun pentester berpengalaman sering tidak dapat mengenali umpan dalam rangkaian korporat dan gagal apabila mereka jatuh untuk perangkap yang ditetapkan. Fakta ini sekali lagi mengesahkan keberkesanan Penipuan dan prospek hebat yang membuka untuk teknologi ini pada masa hadapan.

Ujian produk

Jika anda berminat dengan platform Penipuan, maka kami bersedia menjalankan ujian bersama.

Nantikan kemas kini dalam saluran kami (TelegramFacebookVKBlog Penyelesaian TS)!

Sumber: www.habr.com

Tambah komen