Honeypot vs Deception med Xello som eksempel

Det er allerede flere artikler på Habré om Honeypot og Deception-teknologier (1 artikkel, 2 artikkel). Imidlertid står vi fortsatt overfor en mangel på forståelse av forskjellen mellom disse klassene av verneutstyr. For dette har våre kolleger fra Hei Deception (første russiske utvikler Plattformbedrag) bestemte seg for å beskrive i detalj forskjellene, fordelene og de arkitektoniske egenskapene til disse løsningene.

La oss finne ut hva "honningpotter" og "bedrag" er:

"Bedragsteknologier" dukket opp på markedet for informasjonssikkerhetssystemer relativt nylig. Noen eksperter anser imidlertid fortsatt Security Deception som bare mer avanserte honningpotter.

I denne artikkelen vil vi prøve å fremheve både likhetene og grunnleggende forskjellene mellom disse to løsningene. I den første delen vil vi snakke om honningkrukke, hvordan denne teknologien utviklet seg og hva er dens fordeler og ulemper. Og i den andre delen vil vi dvele i detalj på prinsippene for drift av plattformer for å lage en distribuert infrastruktur av lokkefugler (engelsk, distribuert bedragsplattform - DDP).

Det grunnleggende prinsippet for honningpotter er å lage feller for hackere. De aller første Deception-løsningene ble utviklet etter samme prinsipp. Men moderne DDP-er er betydelig bedre enn honningpotter, både i funksjonalitet og effektivitet. Bedragsplattformer inkluderer: lokkefugler, feller, lokker, applikasjoner, data, databaser, Active Directory. Moderne DDP-er kan gi kraftige funksjoner for trusseldeteksjon, angrepsanalyse og responsautomatisering.

Dermed er Deception en teknikk for å simulere en bedrifts IT-infrastruktur og villedende hackere. Som et resultat gjør slike plattformer det mulig å stoppe angrep før de forårsaker betydelig skade på selskapets eiendeler. Honeypots har selvfølgelig ikke så bred funksjonalitet og et slikt automatiseringsnivå, så bruken krever mer kvalifikasjoner fra ansatte i informasjonssikkerhetsavdelinger.

1. Honeypots, Honeynets og Sandboxing: hva de er og hvordan de brukes

Begrepet "honeypots" ble først brukt i 1989 i Clifford Stolls bok "The Cuckoo's Egg", som beskriver hendelsene med å spore opp en hacker ved Lawrence Berkeley National Laboratory (USA). Denne ideen ble satt ut i livet i 1999 av Lance Spitzner, en informasjonssikkerhetsspesialist hos Sun Microsystems, som grunnla forskningsprosjektet Honeynet Project. De første honningkrukkene var svært ressurskrevende, vanskelige å sette opp og vedlikeholde.

La oss se nærmere på hva det er Honningkukker и honningnetter. Honeypots er individuelle verter hvis formål er å tiltrekke angripere til å trenge inn i et selskaps nettverk og prøve å stjele verdifull data, samt utvide nettverkets dekningsområde. Honeypot (bokstavelig talt oversatt som "honningfat") er en spesiell server med et sett med forskjellige nettverkstjenester og protokoller, som HTTP, FTP, etc. (se fig. 1).

Hvis du kombinerer flere Honningkukker inn i nettverket, så får vi et mer effektivt system honningnett, som er en emulering av et selskaps bedriftsnettverk (webserver, filserver og andre nettverkskomponenter). Denne løsningen lar deg forstå strategien til angripere og villede dem. Et typisk honningnett fungerer som regel parallelt med arbeidsnettverket og er helt uavhengig av det. Et slikt "nettverk" kan publiseres på Internett via en egen kanal, og et eget utvalg av IP-adresser kan også tildeles det (se fig. 2).

Poenget med å bruke honeynet er å vise hackeren at han angivelig har penetrert organisasjonens bedriftsnettverk, faktisk er angriperen i et "isolert miljø" og under tett oppsyn av informasjonssikkerhetsspesialister (se fig. 3).

Her må vi også nevne et slikt verktøy som "sandkasse"(Engelsk, sandkasse), som lar angripere installere og kjøre skadevare i et isolert miljø der IT kan overvåke deres aktiviteter for å identifisere potensielle risikoer og iverksette passende mottiltak. For øyeblikket er sandboxing vanligvis implementert på dedikerte virtuelle maskiner på en virtuell vert. Det skal imidlertid bemerkes at sandboxing bare viser hvordan farlige og ondsinnede programmer oppfører seg, mens honeynet hjelper en spesialist med å analysere oppførselen til «farlige spillere».

Den åpenbare fordelen med honeynets er at de villeder angripere, og kaster bort energi, ressurser og tid. Som et resultat, i stedet for ekte mål, angriper de falske og kan slutte å angripe nettverket uten å oppnå noe. Oftest brukes honeynet-teknologier i offentlige etater og store selskaper, finansielle organisasjoner, siden dette er strukturene som viser seg å være mål for store cyberangrep. Små og mellomstore bedrifter (SMB) trenger imidlertid også effektive verktøy for å forhindre informasjonssikkerhetshendelser, men honningnetter i SMB-sektoren er ikke så enkle å bruke på grunn av mangel på kvalifisert personell for så komplekst arbeid.

Begrensninger for Honeypots og Honeynets Solutions

Hvorfor er honningpotter og honningnetter ikke de beste løsningene for å motvirke angrep i dag? Det bør bemerkes at angrep blir stadig mer omfattende, teknisk komplekse og i stand til å forårsake alvorlig skade på en organisasjons IT-infrastruktur, og nettkriminalitet har nådd et helt annet nivå og representerer svært organiserte skyggeforretningsstrukturer utstyrt med alle nødvendige ressurser. Til dette må legges den "menneskelige faktoren" (feil i programvare- og maskinvareinnstillinger, handlinger fra innsidere osv.), så det er for øyeblikket ikke lenger tilstrekkelig å kun bruke teknologi for å forhindre angrep.

Nedenfor viser vi de viktigste begrensningene og ulempene ved honningpotter (honningnett):

1. Honeypots ble opprinnelig utviklet for å identifisere trusler som er utenfor bedriftens nettverk, er ment snarere å analysere oppførselen til angripere og er ikke designet for å reagere raskt på trusler.

2. Angripere har som regel allerede lært å gjenkjenne emulerte systemer og unngå honningpotter.

3. Honeynets (honeypots) har et ekstremt lavt nivå av interaktivitet og interaksjon med andre sikkerhetssystemer, som et resultat av at det ved bruk av honeypots er vanskelig å få detaljert informasjon om angrep og angripere, og derfor reagere effektivt og raskt på informasjonssikkerhetshendelser . Dessuten mottar informasjonssikkerhetsspesialister et stort antall falske trusselvarsler.

4. I noen tilfeller kan hackere bruke en kompromittert honeypot som utgangspunkt for å fortsette angrepet på en organisasjons nettverk.

5. Problemer oppstår ofte med skalerbarheten til honningpotter, høy driftsbelastning og konfigurasjon av slike systemer (de krever høyt kvalifiserte spesialister, har ikke et praktisk administrasjonsgrensesnitt, etc.). Det er store vanskeligheter med å distribuere honningpotter i spesialiserte miljøer som IoT, POS, skysystemer, etc.

2. Bedragsteknologi: fordeler og grunnleggende driftsprinsipper

Etter å ha studert alle fordelene og ulempene med honningpotter, kommer vi til den konklusjon at en helt ny tilnærming til å svare på informasjonssikkerhetshendelser er nødvendig for å utvikle en rask og adekvat respons på angripernes handlinger. Og en slik løsning er teknologi Cyber ​​​​bedrag (sikkerhetsbedrag).

Terminologien "Cyber ​​​​deception", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) er relativt ny og dukket opp for ikke så lenge siden. Faktisk betyr alle disse begrepene bruken av "bedragsteknologier" eller "teknikker for å simulere IT-infrastruktur og desinformasjon fra angripere." De enkleste Deception-løsningene er en utvikling av ideene til honeypots, bare på et mer teknologisk avansert nivå, som innebærer større automatisering av trusseldeteksjon og respons på dem. Imidlertid er det allerede seriøse løsninger i DDP-klassen på markedet som er enkle å distribuere og skalere, og som også har et seriøst arsenal av "feller" og "agn" for angripere. For eksempel lar Deception deg emulere IT-infrastrukturobjekter som databaser, arbeidsstasjoner, rutere, svitsjer, minibanker, servere og SCADA, medisinsk utstyr og IoT.

Hvordan fungerer plattformen for distribuert bedrag? Etter at DDP er utplassert, vil organisasjonens IT-infrastruktur bygges som om fra to lag: det første laget er den virkelige infrastrukturen til selskapet, og det andre er et "emulert" miljø bestående av lokkefugler og lokkemidler), som er plassert på ekte fysiske nettverksenheter (se fig. 4).

For eksempel kan en angriper oppdage falske databaser med "konfidensielle dokumenter", falske legitimasjoner til antatt "privilegerte brukere" - alle disse er lokkefugler som kan interessere overtredere, og dermed avlede oppmerksomheten deres fra selskapets sanne informasjonsressurser (se figur 5).

DDP er et nytt produkt på produktmarkedet for informasjonssikkerhet, disse løsningene er bare noen få år gamle og så langt er det bare bedriftssektoren som har råd til dem. Men små og mellomstore bedrifter vil snart også kunne dra nytte av Deception ved å leie DDP fra spesialiserte leverandører «som en tjeneste». Dette alternativet er enda mer praktisk, siden det ikke er behov for ditt eget høyt kvalifiserte personell.

De viktigste fordelene med Deception-teknologi er vist nedenfor:

• Autentisitet (autentisitet). Deception-teknologi er i stand til å reprodusere et fullstendig autentisk IT-miljø til et selskap, kvalitativt emulere operativsystemer, IoT, POS, spesialiserte systemer (medisinske, industrielle, etc.), tjenester, applikasjoner, legitimasjon, etc. Lokkedyr blandes nøye med arbeidsmiljøet, og en angriper vil ikke kunne identifisere dem som honningpotter.

• Gjennomføring. DDP-er bruker maskinlæring (ML) i arbeidet sitt. Ved hjelp av ML sikres enkelhet, fleksibilitet i innstillinger og effektivitet ved implementering av Deception. "Feller" og "lokkeduer" oppdateres veldig raskt, og lokker en angriper inn i selskapets "falske" IT-infrastruktur, og i mellomtiden kan avanserte analysesystemer basert på kunstig intelligens oppdage aktive handlinger fra hackere og forhindre dem (for eksempel en forsøk på å få tilgang til Active Directory-baserte falske kontoer).

• Enkel betjening. Moderne plattformer for distribuert bedrag er enkle å vedlikeholde og administrere. De administreres vanligvis via en lokal eller skykonsoll, med integrasjonsmuligheter med bedriftens SOC (Security Operations Center) via API og med mange eksisterende sikkerhetskontroller. Vedlikehold og drift av DDP krever ikke tjenester fra høyt kvalifiserte informasjonssikkerhetseksperter.

• Skalerbarhet. Sikkerhetsbedrag kan distribueres i fysiske, virtuelle og skymiljøer. DDP-er fungerer også med suksess med spesialiserte miljøer som IoT, ICS, POS, SWIFT, etc. Avanserte Deception-plattformer kan projisere "bedragsteknologier" inn i eksterne kontorer og isolerte miljøer, uten behov for ytterligere full plattformdistribusjon.

• Interaction,ru. Ved å bruke kraftige og attraktive lokkemidler som er basert på ekte operativsystemer og smart plassert blant ekte IT-infrastruktur, samler Deception-plattformen inn omfattende informasjon om angriperen. DDP sørger da for at trusselvarsler overføres, rapporter genereres og informasjonssikkerhetshendelser reageres automatisk på.

• Startpunkt for angrep. I moderne Deception plasseres feller og agn innenfor rekkevidden til nettverket, i stedet for utenfor det (som tilfellet er med honningpotter). Denne lokkeimplementeringsmodellen forhindrer en angriper fra å bruke dem som et innflytelsespunkt for å angripe selskapets virkelige IT-infrastruktur. Mer avanserte løsninger i Deception-klassen har mulighet for trafikkruting, slik at du kan dirigere all angripertrafikk gjennom en spesielt dedikert tilkobling. Dette vil tillate deg å analysere aktiviteten til angripere uten å risikere verdifulle eiendeler.

• Overtalelsesevnen til "bedragsteknologier". I den innledende fasen av angrepet samler og analyserer angripere data om IT-infrastrukturen, og bruker dem deretter til å bevege seg horisontalt gjennom bedriftsnettverket. Ved hjelp av "bedragsteknologier" vil angriperen definitivt falle i "feller" som vil lede ham bort fra organisasjonens virkelige eiendeler. DDP vil analysere potensielle veier for å få tilgang til legitimasjon på et bedriftsnettverk og gi angriperen "lokkemål" i stedet for ekte legitimasjon. Disse egenskapene manglet sårt i honeypot-teknologier. (Se figur 6).

Deception VS Honeypot

Og til slutt kommer vi til det mest interessante øyeblikket i vår forskning. Vi vil prøve å fremheve hovedforskjellene mellom Deception og Honeypot-teknologier. Til tross for noen likheter, er disse to teknologiene fortsatt svært forskjellige, fra den grunnleggende ideen til driftseffektiviteten.

1. Ulike grunnleggende ideer. Som vi skrev ovenfor, er honningpotter installert som "lokkeduer" rundt verdifulle bedriftsressurser (utenfor bedriftsnettverket), og prøver dermed å distrahere angripere. Honeypot-teknologi er basert på en forståelse av en organisasjons infrastruktur, men honeypots kan bli et utgangspunkt for å sette i gang et angrep på en bedrifts nettverk. Bedragsteknologi er utviklet under hensyntagen til angriperens synspunkt og lar deg identifisere et angrep på et tidlig stadium, og dermed får informasjonssikkerhetsspesialister en betydelig fordel over angripere og vinner tid.

2. "attraksjon" vs "forvirring". Når du bruker honningpotter, avhenger suksess av å tiltrekke oppmerksomheten til angripere og motivere dem ytterligere til å flytte til målet i honningpotten. Dette betyr at angriperen fortsatt må nå honningpotten før du kan stoppe ham. Dermed kan tilstedeværelsen av angripere på nettverket vare i flere måneder eller mer, og dette vil føre til datalekkasje og skade. DDP-er imiterer kvalitativt den virkelige IT-infrastrukturen til et selskap; hensikten med implementeringen av dem er ikke bare å tiltrekke seg oppmerksomheten til en angriper, men å forvirre ham slik at han kaster bort tid og ressurser, men ikke får tilgang til de virkelige eiendelene til angriperen. selskap.

3. "Begrenset skalerbarhet" VS "automatisk skalerbarhet". Som nevnt tidligere har honningkrukker og honningnetter skaleringsproblemer. Dette er vanskelig og dyrt, og for å øke antall honningpotter i et bedriftssystem, må du legge til nye datamaskiner, OS, kjøpe lisenser og tildele IP. Dessuten er det også nødvendig å ha kvalifisert personell for å administrere slike systemer. Deception-plattformer distribueres automatisk etter hvert som infrastrukturen din skalerer, uten betydelige kostnader.

4. "Et stort antall falske positive" VS "ingen falske positive". Essensen av problemet er at selv en enkel bruker kan støte på en honningkrukke, så "ulempen" med denne teknologien er et stort antall falske positiver, som distraherer informasjonssikkerhetsspesialister fra arbeidet deres. "Baits" og "traps" i DDP er nøye skjult for den gjennomsnittlige brukeren og er designet kun for en angriper, så hvert signal fra et slikt system er et varsel om en reell trussel, og ikke en falsk positiv.

Konklusjon

Etter vår mening er Deception-teknologien en enorm forbedring i forhold til den eldre Honeypots-teknologien. I hovedsak har DDP blitt en omfattende sikkerhetsplattform som er enkel å distribuere og administrere.

Moderne plattformer i denne klassen spiller en viktig rolle i å nøyaktig oppdage og effektivt svare på nettverkstrusler, og deres integrasjon med andre komponenter i sikkerhetsstakken øker automatiseringsnivået, øker effektiviteten og effektiviteten til hendelsesrespons. Deception-plattformer er basert på autentisitet, skalerbarhet, enkel administrasjon og integrasjon med andre systemer. Alt dette gir en betydelig fordel i responshastigheten på informasjonssikkerhetshendelser.

Basert på observasjoner av pentests fra selskaper der Xello Deception-plattformen ble implementert eller pilotert, kan vi trekke konklusjoner om at selv erfarne pentestere ofte ikke kan gjenkjenne agnet i bedriftsnettverket og mislykkes når de faller for fellene som er satt. Dette faktum bekrefter nok en gang effektiviteten til Deception og de store utsiktene som åpner opp for denne teknologien i fremtiden.

Produkttesting

Hvis du er interessert i Deception-plattformen, så er vi klare gjennomføre felles testing.

Følg med for oppdateringer i våre kanaler (Telegram,  Facebook , VK, TS Løsningsblogg)!

Kilde: www.habr.com