ProHoster > blog > Amministrazzjoni > Honeypot vs Deception billi tuża Xello bħala eżempju

Honeypot vs Deception billi tuża Xello bħala eżempju

Honeypot vs Deception billi tuża Xello bħala eżempju

Diġà hemm diversi artikli fuq Habré dwar it-teknoloġiji Honeypot u Deception (artikolu 1, artikolu 2). Madankollu, għadna ffaċċjati b'nuqqas ta 'fehim tad-differenza bejn dawn il-klassijiet ta' tagħmir protettiv. Għal dan, il-kollegi tagħna minn Hello Qerq (l-ewwel żviluppatur Russu Qerq tal-Pjattaforma) iddeċidew li jiddeskrivu fid-dettall id-differenzi, il-vantaġġi u l-karatteristiċi arkitettoniċi ta' dawn is-soluzzjonijiet.

Ejja naraw x'inhuma "honeypots" u "qerq":

"Teknoloġiji ta 'qerq" dehru fis-suq tas-sistemi tas-sigurtà tal-informazzjoni relattivament reċentement. Madankollu, xi esperti għadhom iqisu l-Qerq tas-Sigurtà bħala honeypots biss aktar avvanzati.

F'dan l-artikolu se nippruvaw nenfasizzaw kemm ix-xebh kif ukoll id-differenzi fundamentali bejn dawn iż-żewġ soluzzjonijiet. Fl-ewwel parti, se nitkellmu dwar honeypot, kif żviluppat din it-teknoloġija u x'inhuma l-vantaġġi u l-iżvantaġġi tagħha. U fit-tieni parti, se noqogħdu fid-dettall fuq il-prinċipji ta 'tħaddim ta' pjattaformi għall-ħolqien ta 'infrastruttura distribwita ta' decoys (Ingliż, Distributed Deception Platform - DDP).

Il-prinċipju bażiku tal-honeypots huwa li jinħolqu nases għall-hackers. L-ewwel soluzzjonijiet ta 'Qerq ġew żviluppati fuq l-istess prinċipju. Iżda DDPs moderni huma superjuri b'mod sinifikanti għall-honeypots, kemm fil-funzjonalità kif ukoll fl-effiċjenza. Pjattaformi ta 'qerq jinkludu: decoys, nases, lures, applikazzjonijiet, data, databases, Active Directory. DDPs moderni jistgħu jipprovdu kapaċitajiet qawwija għall-iskoperta tat-theddid, l-analiżi tal-attakki u l-awtomazzjoni tar-rispons.

Għalhekk, l-Ingann huwa teknika biex tissimula l-infrastruttura tal-IT ta 'intrapriża u tqarraq bil-hackers. Bħala riżultat, pjattaformi bħal dawn jagħmluha possibbli li jitwaqqfu l-attakki qabel ma jikkawżaw ħsara sinifikanti lill-assi tal-kumpanija. Honeypots, ovvjament, m'għandhomx funzjonalità daqshekk wiesgħa u tali livell ta 'awtomazzjoni, għalhekk l-użu tagħhom jeħtieġ aktar kwalifiki mill-impjegati tad-dipartimenti tas-sigurtà tal-informazzjoni.

1. Honeypots, Honeynets u Sandboxing: x'inhuma u kif jintużaw

It-terminu "honeypots" intuża għall-ewwel darba fl-1989 fil-ktieb ta' Clifford Stoll "The Cuckoo's Egg", li jiddeskrivi l-avvenimenti ta' traċċar ta' hacker fil-Laboratorju Nazzjonali Lawrence Berkeley (l-Istati Uniti). Din l-idea tqiegħdet fil-prattika fl-1999 minn Lance Spitzner, speċjalista tas-sigurtà tal-informazzjoni f'Sun Microsystems, li waqqaf il-proġett ta 'riċerka Honeynet Project. L-ewwel honeypots kienu jużaw ħafna riżorsi, diffiċli biex jitwaqqfu u jinżammu.

Ejja nagħtu ħarsa aktar mill-qrib lejn dak li hu honeypots и xbieki tal-għasel. Honeypots huma hosts individwali li l-iskop tagħhom huwa li jattiraw attakkanti biex jippenetraw in-netwerk ta 'kumpanija u jippruvaw jisirqu dejta siewja, kif ukoll jespandu ż-żona ta' kopertura tan-netwerk. Honeypot (litteralment tradott bħala "barmil ta 'għasel") huwa server speċjali b'sett ta' diversi servizzi u protokolli tan-netwerk, bħal HTTP, FTP, eċċ. (ara Fig. 1).

Honeypot vs Deception billi tuża Xello bħala eżempju

Jekk tgħaqqad diversi honeypots fin-netwerk, allura se jkollna sistema aktar effiċjenti honeynet, li hija emulazzjoni tan-netwerk korporattiv ta 'kumpanija (server tal-web, server tal-fajls, u komponenti tan-netwerk oħra). Din is-soluzzjoni tippermettilek tifhem l-istrateġija tal-attakkanti u tqarraq bihom. Honeynet tipiku, bħala regola, jopera b'mod parallel man-netwerk tax-xogħol u huwa kompletament indipendenti minnu. "Netwerk" bħal dan jista 'jiġi ppubblikat fuq l-Internet permezz ta' kanal separat; tista 'tiġi allokata wkoll firxa separata ta' indirizzi IP għalih (ara Fig. 2).

Honeypot vs Deception billi tuża Xello bħala eżempju

Il-punt li juża honeynet huwa li juri lill-hacker li allegatament ippenetra n-netwerk korporattiv tal-organizzazzjoni; fil-fatt, l-attakkant jinsab f'"ambjent iżolat" u taħt is-superviżjoni mill-qrib ta 'speċjalisti tas-sigurtà tal-informazzjoni (ara Fig. 3).

Honeypot vs Deception billi tuża Xello bħala eżempju

Hawnhekk irridu nsemmu wkoll għodda bħal “kaxxa tar-ramel"(Ingliż, sandbox), li tippermetti lill-attakkanti jinstallaw u jmexxu malware f'ambjent iżolat fejn l-IT jista' jimmonitorja l-attivitajiet tagħhom biex jidentifika riskji potenzjali u jieħu kontromiżuri xierqa. Bħalissa, sandboxing huwa tipikament implimentat fuq magni virtwali ddedikati fuq host virtwali. Madankollu, għandu jiġi nnutat li sandboxing juri biss kemm iġibu ruħhom programmi perikolużi u malizzjużi, filwaqt li honeynet jgħin speċjalista janalizza l-imġieba ta '"plejers perikolużi."

Il-benefiċċju ovvju tal-honeynets huwa li jqarrqu lill-attakkanti, u jaħlu l-enerġija, ir-riżorsi u l-ħin tagħhom. Bħala riżultat, minflok miri reali, huma jattakkaw dawk foloz u jistgħu jieqfu jattakkaw in-netwerk mingħajr ma jiksbu xejn. Ħafna drabi, it-teknoloġiji honeynets jintużaw f'aġenziji tal-gvern u korporazzjonijiet kbar, organizzazzjonijiet finanzjarji, peress li dawn huma l-istrutturi li jirriżultaw li huma miri għal attakki ċibernetiċi kbar. Madankollu, negozji żgħar u ta 'daqs medju (SMBs) jeħtieġu wkoll għodod effettivi biex jipprevjenu inċidenti ta' sigurtà tal-informazzjoni, iżda honeynets fis-settur SMB mhumiex daqshekk faċli biex jintużaw minħabba n-nuqqas ta 'persunal kwalifikat għal xogħol kumpless bħal dan.

Limitazzjonijiet ta 'Honeypots u Soluzzjonijiet Honeynets

Għaliex l-honeypots u l-honeynets mhumiex l-aħjar soluzzjonijiet għall-ġlieda kontra l-attakki llum? Ta’ min jinnota li l-attakki qed isiru dejjem aktar fuq skala kbira, teknikament kumplessi u kapaċi jikkawżaw ħsara serja lill-infrastruttura tal-IT ta’ organizzazzjoni, u ċ-ċiberkriminalità laħqet livell kompletament differenti u tirrappreżenta strutturi tan-negozju paralleli organizzati ħafna u mgħammra bir-riżorsi kollha meħtieġa. Ma’ dan irid jiżdied il-“fattur uman” (iżbalji fis-settings tas-softwer u tal-ħardwer, azzjonijiet ta’ persuni ta’ ġewwa, eċċ.), għalhekk l-użu tat-teknoloġija biss biex jipprevjeni l-attakki m’għadux biżżejjed bħalissa.

Hawn taħt aħna jelenkaw il-limitazzjonijiet u l-iżvantaġġi ewlenin tal-honeypots (honeynets):

  1. Honeypots kienu oriġinarjament żviluppati biex jidentifikaw theddid li jinsab barra min-netwerk korporattiv, huma maħsuba pjuttost biex janalizzaw l-imġiba tal-attakkanti u mhumiex iddisinjati biex jirrispondu malajr għat-theddid.

  2. L-attakkanti, bħala regola, diġà tgħallmu jirrikonoxxu sistemi emulati u jevitaw honeypots.

  3. Honeynets (honeypots) għandhom livell estremament baxx ta’ interattività u interazzjoni ma’ sistemi ta’ sigurtà oħra, li b’riżultat tagħhom, bl-użu ta’ honeypots, huwa diffiċli li tinkiseb informazzjoni dettaljata dwar attakki u attakkanti, u għalhekk li tirrispondi b’mod effettiv u malajr għal inċidenti ta’ sigurtà tal-informazzjoni. . Barra minn hekk, speċjalisti tas-sigurtà tal-informazzjoni jirċievu għadd kbir ta’ twissijiet ta’ theddid foloz.

  4. F'xi każijiet, il-hackers jistgħu jużaw honeypot kompromess bħala punt tat-tluq biex ikomplu l-attakk tagħhom fuq in-netwerk ta 'organizzazzjoni.

  5. Ħafna drabi jinqalgħu problemi bl-iskalabbiltà ta 'honeypots, tagħbija operattiva għolja u konfigurazzjoni ta' sistemi bħal dawn (jeħtieġu speċjalisti bi kwalifiki għolja, m'għandhomx interface ta 'ġestjoni konvenjenti, eċċ.). Hemm diffikultajiet kbar fl-iskjerament ta’ honeypots f’ambjenti speċjalizzati bħal IoT, POS, sistemi ta’ sħab, eċċ.

2. Teknoloġija ta 'qerq: vantaġġi u prinċipji operattivi bażiċi

Wara li studnajt il-vantaġġi u l-iżvantaġġi kollha tal-honeypots, naslu għall-konklużjoni li approċċ kompletament ġdid għar-rispons għall-inċidenti tas-sigurtà tal-informazzjoni huwa meħtieġ sabiex jiġi żviluppat rispons rapidu u adegwat għall-azzjonijiet tal-attakkanti. U soluzzjoni bħal din hija t-teknoloġija Ingann ċibernetiku (Qerq tas-sigurtà).

It-terminoloġija "Qerq Ċibernetiku", "Qerq tas-Sigurtà", "Teknoloġija ta 'Qerq", "Pjattaforma ta' Qerq Distribut" (DDP) hija relattivament ġdida u dehret ftit ilu. Fil-fatt, dawn it-termini kollha jfissru l-użu ta’ “teknoloġiji ta’ qerq” jew “tekniki għas-simulazzjoni tal-infrastruttura tal-IT u d-diżinformazzjoni tal-attakkanti”. L-aktar soluzzjonijiet sempliċi ta 'Qerq huma żvilupp ta' l-ideat ta 'honeypots, biss f'livell aktar avvanzat teknoloġikament, li jinvolvi awtomazzjoni akbar ta' skoperta ta 'theddid u rispons għalihom. Madankollu, diġà hemm soluzzjonijiet serji tal-klassi DDP fis-suq li huma faċli biex jiġu skjerati u skalati, u għandhom ukoll armament serju ta '"nases" u "lixki" għall-attakkanti. Pereżempju, Deception jippermettilek timita oġġetti tal-infrastruttura tal-IT bħal databases, workstations, routers, swiċċijiet, ATMs, servers u SCADA, tagħmir mediku u IoT.

Kif taħdem id-Distributed Deception Platform? Wara li DDP jiġi skjerat, l-infrastruttura tal-IT tal-organizzazzjoni se tinbena daqslikieku minn żewġ saffi: l-ewwel saff huwa l-infrastruttura reali tal-kumpanija, u t-tieni huwa ambjent "emulat" li jikkonsisti f'decoys u lixki. lures), li jinsabu fuq tagħmir tan-netwerk fiżiku reali (ara Fig. 4).

Honeypot vs Deception billi tuża Xello bħala eżempju

Pereżempju, attakkant jista 'jiskopri databases foloz b'"dokumenti kunfidenzjali", kredenzjali foloz ta' allegatament "utenti privileġġjati" - dawn kollha huma decoys li jistgħu jinteressaw lil min jikser, u b'hekk jiddevjax l-attenzjoni tagħhom mill-assi ta 'informazzjoni vera tal-kumpanija (ara l-Figura 5).

Honeypot vs Deception billi tuża Xello bħala eżempju

DDP huwa prodott ġdid fis-suq tal-prodotti tas-sigurtà tal-informazzjoni; dawn is-soluzzjonijiet għandhom ftit snin biss u s'issa s-settur korporattiv biss jista' jaffordjahom. Iżda n-negozji żgħar u ta' daqs medju dalwaqt se jkunu jistgħu wkoll jieħdu vantaġġ mill-Qerq billi jikru DDP mingħand fornituri speċjalizzati "bħala servizz." Din l-għażla hija saħansitra aktar konvenjenti, peress li m'hemmx bżonn ta 'persunal kwalifikat ħafna tiegħek.

Il-vantaġġi ewlenin tat-teknoloġija tal-Qerq huma murija hawn taħt:

  • Awtentiċità (awtentiċità). It-teknoloġija tal-qerq hija kapaċi tirriproduċi ambjent tal-IT kompletament awtentiku ta 'kumpanija, li timita b'mod kwalitattiv sistemi operattivi, IoT, POS, sistemi speċjalizzati (mediċi, industrijali, eċċ.), servizzi, applikazzjonijiet, kredenzjali, eċċ. Decoys huma mħallta bir-reqqa mal-ambjent tax-xogħol, u attakkant mhux se jkun kapaċi jidentifikahom bħala honeypots.

  • Implimentazzjoni. Id-DDPs jużaw it-tagħlim tal-magni (ML) fix-xogħol tagħhom. Bl-għajnuna tal-ML, is-sempliċità, il-flessibilità fl-issettjar u l-effiċjenza tal-implimentazzjoni tal-Qerq huma żgurati. “Nasses” u “decoys” jiġu aġġornati malajr ħafna, u jħajru attakkant fl-infrastruttura tal-IT “falza” tal-kumpanija, u sadanittant, sistemi ta’ analiżi avvanzati bbażati fuq intelliġenza artifiċjali jistgħu jiskopru azzjonijiet attivi tal-hackers u jipprevjenuhom (pereżempju, jipprova jaċċessa kontijiet frawdolenti bbażati fuq Active Directory).

  • Faċilità ta 'tħaddim. Pjattaformi Moderni ta' Qerq Imqassam huma faċli biex jinżammu u jiġu mmaniġġjati. Tipikament huma ġestiti permezz ta' console lokali jew cloud, b'kapaċitajiet ta' integrazzjoni mas-SOC korporattiv (Ċentru tal-Operazzjonijiet tas-Sigurtà) permezz tal-API u b'ħafna kontrolli ta' sigurtà eżistenti. Il-manutenzjoni u t-tħaddim tad-DDP ma jeħtiġux is-servizzi ta' esperti tas-sigurtà tal-informazzjoni bi kwalifiki għolja.

  • Skalabbiltà. Il-qerq tas-sigurtà jista' jiġi skjerat f'ambjenti fiżiċi, virtwali u sħaba. Id-DDPs jaħdmu wkoll b'suċċess ma' ambjenti speċjalizzati bħal IoT, ICS, POS, SWIFT, eċċ. Pjattaformi ta 'Qerq Avvanzat jistgħu jipproġettaw "teknoloġiji ta' qerq" f'uffiċċji remoti u ambjenti iżolati, mingħajr il-ħtieġa ta 'skjerament ta' pjattaforma sħiħa addizzjonali.

  • Interazzjoni. Bl-użu ta 'decoys qawwija u attraenti li huma bbażati fuq sistemi operattivi reali u mqiegħda b'mod għaqli fost l-infrastruttura reali tal-IT, il-pjattaforma Deception tiġbor informazzjoni estensiva dwar l-attakkant. DDP imbagħad jiżgura li t-twissijiet ta' theddid jiġu trażmessi, jiġu ġġenerati rapporti, u li l-inċidenti tas-sigurtà tal-informazzjoni jiġu mwieġba awtomatikament.

  • Punt tal-bidu tal-attakk. Fil-Qerq modern, in-nases u l-lixki jitqiegħdu fil-firxa tan-netwerk, aktar milli barra minnu (kif inhu l-każ ma 'honeypots). Dan il-mudell ta 'decoy deployment jipprevjeni lil attakkant milli jużahom bħala punt ta' lieva biex jattakka l-infrastruttura reali tal-IT tal-kumpanija. Soluzzjonijiet aktar avvanzati tal-klassi Qerq għandhom kapaċitajiet ta 'rotot tat-traffiku, sabiex tkun tista' tidderieġi t-traffiku kollu tal-attakkant permezz ta 'konnessjoni ddedikata apposta. Dan jippermettilek tanalizza l-attività tal-attakkanti mingħajr ma tirriskja assi prezzjużi tal-kumpanija.

  • Il-persważjoni tat-“teknoloġiji tal-qerq”. Fl-istadju inizjali tal-attakk, l-attakkanti jiġbru u janalizzaw data dwar l-infrastruttura tal-IT, imbagħad jużawha biex jimxu orizzontalment fin-netwerk korporattiv. Bl-għajnuna ta '"teknoloġiji ta' qerq", l-attakkant definittivament se jaqa 'f'"nases" li jmexxuh 'il bogħod mill-assi reali tal-organizzazzjoni. DDP se janalizza mogħdijiet potenzjali biex jaċċessa l-kredenzjali fuq netwerk korporattiv u jipprovdi lill-attakkant b'"miri decoy" minflok kredenzjali reali. Dawn il-kapaċitajiet kienu neqsin ħafna fit-teknoloġiji honeypot. (Ara l-Figura 6).

Honeypot vs Deception billi tuża Xello bħala eżempju

Qerq VS Honeypot

U fl-aħħar, naslu għall-aktar mument interessanti tar-riċerka tagħna. Se nippruvaw nenfasizzaw id-differenzi ewlenin bejn it-teknoloġiji tal-Qerq u l-Honeypot. Minkejja xi xebh, dawn iż-żewġ teknoloġiji għadhom differenti ħafna, mill-idea fundamentali għall-effiċjenza operattiva.

  1. Ideat bażiċi differenti. Kif ktibna hawn fuq, honeypots huma installati bħala "decoys" madwar assi ta 'valur tal-kumpanija (barra min-netwerk korporattiv), u b'hekk jippruvaw ifixklu lill-attakkanti. It-teknoloġija Honeypot hija bbażata fuq fehim tal-infrastruttura ta 'organizzazzjoni, iżda honeypots jistgħu jsiru punt tat-tluq għat-tnedija ta' attakk fuq in-netwerk ta 'kumpanija. It-teknoloġija tal-qerq hija żviluppata b'kont meħud tal-perspettiva tal-attakkant u tippermettilek tidentifika attakk fi stadju bikri, għalhekk, speċjalisti tas-sigurtà tal-informazzjoni jiksbu vantaġġ sinifikanti fuq l-attakkanti u jiksbu ħin.

  2. "Attrazzjoni" VS "Konfużjoni". Meta tuża honeypots, is-suċċess jiddependi fuq li tiġbed l-attenzjoni tal-attakkanti u timmotivahom aktar biex jimxu lejn il-mira fl-honeypot. Dan ifisser li l-attakkant xorta jrid jilħaq l-honeypot qabel ma tkun tista’ twaqqafh. Għalhekk, il-preżenza ta 'attakkanti fuq in-netwerk tista' ddum għal diversi xhur jew aktar, u dan iwassal għal tnixxija ta 'dejta u ħsara. Id-DDPs jimitaw b'mod kwalitattiv l-infrastruttura reali tal-IT ta' kumpanija; l-iskop tal-implimentazzjoni tagħhom mhuwiex biss li jiġbdu l-attenzjoni ta' attakkant, iżda li jħawduh sabiex jaħli ħin u riżorsi, iżda ma jiksebx aċċess għall-assi reali tal- kumpanija.

  3. "Iskalabbiltà limitata" VS "iskalabbiltà awtomatika". Kif innutat qabel, honeypots u honeynets għandhom kwistjonijiet ta 'skala. Dan huwa diffiċli u għali, u sabiex iżżid in-numru ta 'honeypots f'sistema korporattiva, ser ikollok iżżid kompjuters ġodda, OS, tixtri liċenzji, u talloka l-IP. Barra minn hekk, huwa wkoll meħtieġ li jkun hemm persunal ikkwalifikat biex jimmaniġġja dawn is-sistemi. Il-pjattaformi tal-qerq jintużaw awtomatikament hekk kif l-infrastruttura tiegħek tiskala, mingħajr overhead sinifikanti.

  4. "Għadd kbir ta' pożittivi foloz" VS "l-ebda pożittivi foloz". L-essenza tal-problema hija li anke utent sempliċi jista 'jiltaqa' ma 'honeypot, għalhekk l-"iżvantaġġ" ta' din it-teknoloġija huwa numru kbir ta 'pożittivi foloz, li jtellifx lill-ispeċjalisti tas-sigurtà tal-informazzjoni mix-xogħol tagħhom. "Lixki" u "nases" f'DDP huma moħbija bir-reqqa mill-utent medju u huma ddisinjati biss għal attakkant, għalhekk kull sinjal minn sistema bħal din huwa notifika ta 'theddida reali, u mhux pożittiv falz.

Konklużjoni

Fl-opinjoni tagħna, it-teknoloġija Deception hija titjib kbir fuq it-teknoloġija Honeypots anzjani. Essenzjalment, DDP saret pjattaforma ta 'sigurtà komprensiva li hija faċli biex tintuża u mmaniġġjata.

Pjattaformi moderni ta 'din il-klassi għandhom rwol importanti biex jiskopru b'mod preċiż u jirrispondu b'mod effettiv għat-theddid tan-netwerk, u l-integrazzjoni tagħhom ma' komponenti oħra tal-munzell tas-sigurtà żżid il-livell ta 'awtomazzjoni, iżżid l-effiċjenza u l-effettività tar-rispons għall-inċidenti. Il-pjattaformi tal-qerq huma bbażati fuq l-awtentiċità, l-iskalabbiltà, il-faċilità ta 'ġestjoni u l-integrazzjoni ma' sistemi oħra. Dan kollu jagħti vantaġġ sinifikanti fil-ħeffa tar-rispons għall-inċidenti tas-sigurtà tal-informazzjoni.

Ukoll, ibbażat fuq osservazzjonijiet ta 'pentests ta' kumpaniji fejn il-pjattaforma Xello Deception ġiet implimentata jew pilotata, nistgħu niġbdu konklużjonijiet li anke pentesters b'esperjenza ħafna drabi ma jistgħux jirrikonoxxu l-lixka fin-netwerk korporattiv u jfallu meta jaqgħu għan-nases stabbiliti. Dan il-fatt għal darb'oħra jikkonferma l-effettività tal-Qerq u l-prospetti kbar li jinfetħu għal din it-teknoloġija fil-futur.

Ittestjar tal-prodott

Jekk inti interessat fil-pjattaforma Qerq, allura aħna lesti twettaq ittestjar konġunt.

Oqgħod attent għal aġġornamenti fil-kanali tagħna (TelegrammafacebookVKTS Soluzzjoni Blog)!

Sors: www.habr.com

Żid kumment