Honeypot vs Deception naar het voorbeeld van Xello

Er zijn al verschillende artikelen op Habré over Honeypot- en Deception-technologieën (1 artikel, 2 artikel). We worden echter nog steeds geconfronteerd met een gebrek aan begrip van het verschil tussen deze klassen van beschermingsmiddelen. Hiervoor hebben onze collega's van Hallo bedrog (eerste Russische ontwikkelaar Platformmisleiding) besloot de verschillen, voordelen en architectonische kenmerken van deze oplossingen in detail te beschrijven.

Laten we eens kijken wat ‘honingpotten’ en ‘bedrog’ zijn:

“Misleidingstechnologieën” verschenen relatief recent op de markt voor informatiebeveiligingssystemen. Sommige experts beschouwen veiligheidsmisleiding echter nog steeds als meer geavanceerde honeypots.

In dit artikel zullen we proberen zowel de overeenkomsten als de fundamentele verschillen tussen deze twee oplossingen te benadrukken. In het eerste deel zullen we het hebben over honeypot, hoe deze technologie zich heeft ontwikkeld en wat de voor- en nadelen ervan zijn. En in het tweede deel zullen we in detail ingaan op de principes van de werking van platforms voor het creëren van een gedistribueerde infrastructuur van lokvogels (Engels, Distributed Deception Platform - DDP).

Het basisprincipe dat ten grondslag ligt aan honeypots is het creëren van vallen voor hackers. De allereerste Deception-oplossingen zijn volgens hetzelfde principe ontwikkeld. Maar moderne DDP's zijn aanzienlijk superieur aan honeypots, zowel qua functionaliteit als efficiëntie. Misleidingsplatforms omvatten: lokvogels, vallen, lokmiddelen, applicaties, gegevens, databases, Active Directory. Moderne DDP's kunnen krachtige mogelijkheden bieden voor bedreigingsdetectie, aanvalsanalyse en responsautomatisering.

Bedrog is dus een techniek om de IT-infrastructuur van een onderneming te simuleren en hackers te misleiden. Als gevolg hiervan maken dergelijke platforms het mogelijk om aanvallen te stoppen voordat aanzienlijke schade aan bedrijfsmiddelen wordt toegebracht. Honeypots hebben uiteraard niet zo'n brede functionaliteit en zo'n automatiseringsniveau, dus het gebruik ervan vereist meer kwalificaties van medewerkers van informatiebeveiligingsafdelingen.

1. Honeypots, Honeynets en Sandboxing: wat ze zijn en hoe ze worden gebruikt

De term "honeypots" werd voor het eerst gebruikt in 1989 in Clifford Stolls boek "The Cuckoo's Egg", waarin de gebeurtenissen worden beschreven van het opsporen van een hacker in het Lawrence Berkeley National Laboratory (VS). Dit idee werd in 1999 in praktijk gebracht door Lance Spitzner, een informatiebeveiligingsspecialist bij Sun Microsystems, die het onderzoeksproject Honeynet Project oprichtte. De eerste honeypots waren zeer arbeidsintensief en moeilijk op te zetten en te onderhouden.

Laten we eens nader bekijken wat het is honeypots и honingnetten. Honeypots zijn individuele hosts die tot doel hebben aanvallers aan te trekken om het netwerk van een bedrijf binnen te dringen en waardevolle gegevens te stelen, en om het dekkingsgebied van het netwerk uit te breiden. Honeypot (letterlijk vertaald als “vat honing”) is een speciale server met een reeks verschillende netwerkdiensten en protocollen, zoals HTTP, FTP, enz. (zie afbeelding 1).

Als je er meerdere combineert honeypots in het netwerk, dan krijgen we een efficiënter systeem honingnet, wat een emulatie is van het bedrijfsnetwerk van een bedrijf (webserver, bestandsserver en andere netwerkcomponenten). Met deze oplossing kunt u de strategie van aanvallers begrijpen en hen misleiden. Een typisch honingnet werkt in de regel parallel met het werknetwerk en is er volledig onafhankelijk van. Zo'n ‘netwerk’ kan via een apart kanaal op internet worden gepubliceerd, er kan ook een aparte reeks IP-adressen voor worden toegewezen (zie figuur 2).

Het doel van het gebruik van Honeynet is om de hacker te laten zien dat hij zogenaamd het bedrijfsnetwerk van de organisatie is binnengedrongen; in feite bevindt de aanvaller zich in een ‘geïsoleerde omgeving’ en staat hij onder nauw toezicht van informatiebeveiligingsspecialisten (zie figuur 3).

Hier moeten we ook zo’n tool vermelden als “zandbak"(Engels, zandbak), waarmee aanvallers malware kunnen installeren en uitvoeren in een geïsoleerde omgeving waar IT hun activiteiten kan monitoren om potentiële risico's te identificeren en passende tegenmaatregelen te nemen. Momenteel wordt sandboxing doorgaans geïmplementeerd op speciale virtuele machines op een virtuele host. Er moet echter worden opgemerkt dat sandboxing alleen laat zien hoe gevaarlijke en kwaadaardige programma's zich gedragen, terwijl honeynet een specialist helpt het gedrag van ‘gevaarlijke spelers’ te analyseren.

Het voor de hand liggende voordeel van honingnetten is dat ze aanvallers misleiden, waardoor hun energie, middelen en tijd worden verspild. Als gevolg hiervan vallen ze in plaats van echte doelen valse doelen aan en kunnen ze stoppen met het aanvallen van het netwerk zonder iets te bereiken. Meestal worden honingnettechnologieën gebruikt door overheidsinstanties, grote bedrijven en financiële organisaties, omdat dit de structuren zijn die het doelwit blijken te zijn van grote cyberaanvallen. Het midden- en kleinbedrijf (MKB) heeft echter ook effectieve instrumenten nodig om informatiebeveiligingsincidenten te voorkomen, maar honingnetten in het MKB zijn niet zo eenvoudig te gebruiken vanwege het gebrek aan gekwalificeerd personeel voor dergelijk complex werk.

Beperkingen van Honeypots- en Honeynets-oplossingen

Waarom zijn honingpotten en honingnetten vandaag de dag niet de beste oplossingen om aanvallen tegen te gaan? Opgemerkt moet worden dat aanvallen steeds grootschaliger en technisch complexer worden en ernstige schade aan de IT-infrastructuur van een organisatie kunnen veroorzaken, en dat cybercriminaliteit een heel ander niveau heeft bereikt en goed georganiseerde schaduwbedrijfsstructuren vertegenwoordigt die zijn uitgerust met alle noodzakelijke middelen. Hieraan moet de “menselijke factor” worden toegevoegd (fouten in software- en hardware-instellingen, acties van insiders, enz.), waardoor het gebruik van alleen technologie om aanvallen te voorkomen op dit moment niet langer voldoende is.

Hieronder noemen we de belangrijkste beperkingen en nadelen van honeypots (honingnetten):

1. Honeypots zijn oorspronkelijk ontwikkeld om bedreigingen te identificeren die zich buiten het bedrijfsnetwerk bevinden, zijn eerder bedoeld om het gedrag van aanvallers te analyseren en zijn niet ontworpen om snel op bedreigingen te reageren.

2. Aanvallers hebben in de regel al geleerd geëmuleerde systemen te herkennen en honeypots te vermijden.

3. Honeynets (honeypots) hebben een extreem laag niveau van interactiviteit en interactie met andere beveiligingssystemen, waardoor het met behulp van honeypots moeilijk is om gedetailleerde informatie over aanvallen en aanvallers te verkrijgen en daardoor effectief en snel te reageren op informatiebeveiligingsincidenten . Bovendien ontvangen informatiebeveiligingsspecialisten een groot aantal valse dreigingswaarschuwingen.

4. In sommige gevallen kunnen hackers een gecompromitteerde honeypot gebruiken als uitgangspunt om hun aanval op het netwerk van een organisatie voort te zetten.

5. Er doen zich vaak problemen voor met de schaalbaarheid van honeypots, de hoge operationele belasting en de configuratie van dergelijke systemen (ze vereisen hooggekwalificeerde specialisten, hebben geen handige beheerinterface, enz.). Er zijn grote problemen bij het inzetten van honeypots in gespecialiseerde omgevingen zoals IoT, POS, cloudsystemen, enz.

2. Misleidingstechnologie: voordelen en fundamentele werkingsprincipes

Na alle voor- en nadelen van honeypots te hebben bestudeerd, komen we tot de conclusie dat een geheel nieuwe aanpak voor het reageren op informatiebeveiligingsincidenten nodig is om snel en adequaat te kunnen reageren op de acties van aanvallers. En zo'n oplossing is technologie Cyberbedrog (Veiligheidsmisleiding).

De terminologie ‘Cybermisleiding’, ‘Veiligheidsmisleiding’, ‘Deceptietechnologie’, ‘Distributed Deception Platform’ (DDP) is relatief nieuw en verscheen nog niet zo lang geleden. In feite betekenen al deze termen het gebruik van ‘misleidingstechnologieën’ of ‘technieken voor het simuleren van de IT-infrastructuur en desinformatie van aanvallers’. De eenvoudigste oplossingen voor misleiding zijn een ontwikkeling van de ideeën van honeypots, alleen op een technologisch geavanceerder niveau, wat een grotere automatisering van de detectie van bedreigingen en de reactie daarop met zich meebrengt. Er zijn echter al serieuze oplossingen van DDP-klasse op de markt die eenvoudig te implementeren en te schalen zijn, en ook een serieus arsenaal aan ‘vallen’ en ‘lokaas’ hebben voor aanvallers. Met Deception kunt u bijvoorbeeld IT-infrastructuurobjecten emuleren, zoals databases, werkstations, routers, switches, geldautomaten, servers en SCADA, medische apparatuur en IoT.

Hoe werkt het Distributed Deception Platform? Nadat DDP is geïmplementeerd, zal de IT-infrastructuur van de organisatie worden opgebouwd alsof het uit twee lagen bestaat: de eerste laag is de echte infrastructuur van het bedrijf, en de tweede is een “geëmuleerde” omgeving bestaande uit lokvogels en lokaas. op echte fysieke netwerkapparaten (zie figuur 4).

Een aanvaller kan bijvoorbeeld valse databases ontdekken met ‘vertrouwelijke documenten’, valse inloggegevens van zogenaamd ‘bevoorrechte gebruikers’ – dit zijn allemaal lokmiddelen die overtreders kunnen interesseren, waardoor hun aandacht wordt afgeleid van de echte informatiemiddelen van het bedrijf (zie figuur 5).

DDP is een nieuw product op de markt voor informatiebeveiligingsproducten; deze oplossingen zijn nog maar een paar jaar oud en tot nu toe kan alleen het bedrijfsleven ze betalen. Maar binnenkort kunnen ook kleine en middelgrote bedrijven profiteren van Deception door DDP ‘as a service’ te huren bij gespecialiseerde aanbieders. Deze optie is nog handiger, omdat er geen eigen hooggekwalificeerd personeel nodig is.

De belangrijkste voordelen van Deception-technologie worden hieronder weergegeven:

• Authenticiteit (authenticiteit). Misleidingstechnologie is in staat een volledig authentieke IT-omgeving van een bedrijf te reproduceren, waarbij besturingssystemen, IoT, POS, gespecialiseerde systemen (medisch, industrieel, enz.), diensten, applicaties, inloggegevens, enz. kwalitatief worden geëmuleerd. Lokvogels worden zorgvuldig vermengd met de werkomgeving en een aanvaller zal ze niet als honingpotten kunnen identificeren.

• Внедрение. DDP's gebruiken machine learning (ML) in hun werk. Met behulp van ML zijn eenvoud, flexibiliteit in instellingen en efficiëntie van de implementatie van Deception verzekerd. “Valstrikken” en “lokvogels” worden zeer snel bijgewerkt, waardoor een aanvaller in de “valse” IT-infrastructuur van het bedrijf wordt gelokt, en in de tussentijd kunnen geavanceerde analysesystemen op basis van kunstmatige intelligentie actieve acties van hackers detecteren en deze voorkomen (bijvoorbeeld een proberen toegang te krijgen tot op Active Directory gebaseerde frauduleuze accounts).

• Eenvoudige bediening. Moderne gedistribueerde misleidingsplatforms zijn eenvoudig te onderhouden en te beheren. Ze worden doorgaans beheerd via een lokale of cloudconsole, met integratiemogelijkheden met het bedrijfs-SOC (Security Operations Center) via API en met veel bestaande beveiligingscontroles. Voor het onderhoud en de werking van DDP zijn geen hooggekwalificeerde informatiebeveiligingsexperts nodig.

• Schaalbaarheid. Beveiligingsmisleiding kan worden ingezet in fysieke, virtuele en cloudomgevingen. DDP’s werken ook succesvol met gespecialiseerde omgevingen zoals IoT, ICS, POS, SWIFT, etc. Geavanceerde misleidingsplatforms kunnen ‘misleidingstechnologieën’ projecteren in externe kantoren en geïsoleerde omgevingen, zonder dat aanvullende volledige platformimplementatie nodig is.

• Wisselwerking. Met behulp van krachtige en aantrekkelijke lokvogels die zijn gebaseerd op echte besturingssystemen en slim geplaatst in een echte IT-infrastructuur, verzamelt het Deception-platform uitgebreide informatie over de aanvaller. DDP zorgt er vervolgens voor dat dreigingswaarschuwingen worden verzonden, rapporten worden gegenereerd en automatisch wordt gereageerd op informatiebeveiligingsincidenten.

• Startpunt van de aanval. Bij moderne misleiding worden vallen en aas binnen het bereik van het netwerk geplaatst, in plaats van erbuiten (zoals het geval is bij honeypots). Dit lokmiddelimplementatiemodel voorkomt dat een aanvaller ze gebruikt als hefboom om de echte IT-infrastructuur van het bedrijf aan te vallen. Geavanceerdere oplossingen uit de Deception-klasse beschikken over verkeersrouteringsmogelijkheden, zodat u al het verkeer van aanvallers via een speciaal daarvoor bestemde verbinding kunt leiden. Hierdoor kunt u de activiteit van aanvallers analyseren zonder waardevolle bedrijfseigendommen in gevaar te brengen.

• De overtuigingskracht van ‘misleidingstechnologieën’. In de beginfase van de aanval verzamelen en analyseren aanvallers gegevens over de IT-infrastructuur, en gebruiken deze vervolgens om zich horizontaal door het bedrijfsnetwerk te verplaatsen. Met behulp van ‘misleidingstechnologieën’ zal de aanvaller zeker in ‘valstrikken’ trappen die hem wegleiden van de echte bezittingen van de organisatie. DDP analyseert mogelijke paden om toegang te krijgen tot inloggegevens op een bedrijfsnetwerk en voorziet de aanvaller van ‘lokdoelen’ in plaats van echte inloggegevens. Deze mogelijkheden ontbraken ernstig in honeypot-technologieën. (Zie figuur 6).

Bedrog versus honingpot

En tenslotte komen we bij het meest interessante moment van ons onderzoek. We zullen proberen de belangrijkste verschillen tussen Deception- en Honeypot-technologieën te benadrukken. Ondanks enkele overeenkomsten zijn deze twee technologieën nog steeds erg verschillend, van het fundamentele idee tot de operationele efficiëntie.

1. Verschillende basisideeën. Zoals we hierboven schreven, worden honeypots geïnstalleerd als ‘lokvogels’ rond waardevolle bedrijfseigendommen (buiten het bedrijfsnetwerk) en proberen zo aanvallers af te leiden. Honeypot-technologie is gebaseerd op inzicht in de infrastructuur van een organisatie, maar honeypots kunnen een startpunt worden voor het lanceren van een aanval op het netwerk van een bedrijf. Misleidingstechnologie is ontwikkeld rekening houdend met het gezichtspunt van de aanvaller en stelt u in staat een aanval in een vroeg stadium te identificeren. Zo verkrijgen informatiebeveiligingsspecialisten een aanzienlijk voordeel ten opzichte van aanvallers en winnen ze tijd.

2. "Aantrekkelijkheid" versus "Verwarring". Bij het gebruik van honeypots hangt het succes af van het trekken van de aandacht van aanvallers en het verder motiveren van hen om naar het doelwit in de honeypot te gaan. Dit betekent dat de aanvaller de honingpot nog moet bereiken voordat je hem kunt tegenhouden. De aanwezigheid van aanvallers op het netwerk kan dus enkele maanden of langer aanhouden, en dit zal leiden tot gegevenslekken en schade. DDP's imiteren op kwalitatieve wijze de echte IT-infrastructuur van een bedrijf; het doel van hun implementatie is niet alleen om de aandacht van een aanvaller te trekken, maar om hem in verwarring te brengen, zodat hij tijd en middelen verspilt, maar geen toegang krijgt tot de echte activa van de aanvaller. bedrijf.

3. “Beperkte schaalbaarheid” versus “automatische schaalbaarheid”. Zoals eerder opgemerkt, hebben honingpotten en honingnetten schaalproblemen. Dit is moeilijk en duur, en om het aantal honeypots in een bedrijfssysteem te vergroten, zul je nieuwe computers en besturingssystemen moeten toevoegen, licenties moeten kopen en IP moeten toewijzen. Bovendien is het ook noodzakelijk om over gekwalificeerd personeel te beschikken om dergelijke systemen te beheren. Misleidingsplatforms worden automatisch geïmplementeerd naarmate uw infrastructuur schaalt, zonder noemenswaardige overhead.

4. “Een groot aantal valse positieven” versus “geen valse positieven”. De essentie van het probleem is dat zelfs een eenvoudige gebruiker een honeypot kan tegenkomen, dus het ‘nadeel’ van deze technologie is een groot aantal valse positieven, die informatiebeveiligingsspecialisten afleiden van hun werk. “Baits” en “traps” in DDP worden zorgvuldig verborgen voor de gemiddelde gebruiker en zijn alleen ontworpen voor een aanvaller, dus elk signaal van een dergelijk systeem is een melding van een reële dreiging, en geen vals positief.

Conclusie

Naar onze mening is Deception-technologie een enorme verbetering ten opzichte van de oudere Honeypots-technologie. In essentie is DDP een uitgebreid beveiligingsplatform geworden dat eenvoudig te implementeren en te beheren is.

Moderne platforms van deze klasse spelen een belangrijke rol bij het nauwkeurig detecteren en effectief reageren op netwerkbedreigingen, en hun integratie met andere componenten van de beveiligingsstack verhoogt het automatiseringsniveau en verhoogt de efficiëntie en effectiviteit van incidentrespons. Misleidingsplatforms zijn gebaseerd op authenticiteit, schaalbaarheid, beheergemak en integratie met andere systemen. Dit alles levert een aanzienlijk voordeel op in de reactiesnelheid op informatiebeveiligingsincidenten.

Op basis van observaties van pentests van bedrijven waar het Xello Deception-platform werd geïmplementeerd of getest, kunnen we ook conclusies trekken dat zelfs ervaren pentesters vaak het lokaas in het bedrijfsnetwerk niet kunnen herkennen en falen als ze in de vallen vallen. Dit feit bevestigt nogmaals de effectiviteit van Bedrog en de grote perspectieven die deze technologie in de toekomst biedt.

Product testen

Als u geïnteresseerd bent in het Deception-platform, dan zijn wij er klaar voor gezamenlijke testen uitvoeren.

Blijf op de hoogte voor updates in onze kanalen (Telegram, Facebook, VK, TS Solution-blog)!

Bron: www.habr.com