Det finnes allerede flere artikler på Habr om Honeypot og Deception-teknologier (, ). Vi opplever imidlertid fortsatt manglende forståelse for forskjellen mellom disse klassene av verneutstyr. For dette har våre kolleger fra (den første russiske utvikleren ) bestemte seg for å beskrive i detalj forskjellene, fordelene og de arkitektoniske trekkene ved disse løsningene.
La oss finne ut hva "svindlere" og "bedrag" er:
«Bedragsteknologier» (engelsk, Deception technology) dukket opp på markedet for informasjonssikkerhetssystemer relativt nylig. Noen eksperter anser imidlertid fortsatt Security Deception for å være bare en mer avansert «honningkrukke».
I denne artikkelen vil vi forsøke å fremheve både likhetene og de grunnleggende forskjellene mellom disse to løsningene. I den første delen vil vi snakke om «honningkrukken», hvordan denne teknologien utviklet seg og hva dens fordeler og ulemper er. Og i den andre delen vil vi dvele i detalj ved prinsippene for drift av plattformer for å lage en distribuert infrastruktur for falske mål (engelsk, Distributed Deception Platform - DDP).
Det grunnleggende prinsippet bak honeypots er å lage feller for hackere. De aller første Deception-løsningene ble utviklet etter samme prinsipp. Moderne DDP-er overgår imidlertid honeypots betydelig både i funksjonalitet og effektivitet. Deception-plattformer inkluderer lokkeduer, lokkemidler, applikasjoner, data, databaser og Active Directory. Moderne DDP-er kan tilby brede muligheter for å oppdage trusler, analysere angrep og automatisere responshandlinger.
Dermed er bedrag en teknikk for å simulere en bedrifts IT-infrastruktur og villede hackere. Som et resultat tillater slike plattformer å stoppe angrep før betydelig skade på selskapets eiendeler oppstår. Honeypots har selvfølgelig ikke en så bred funksjonalitet og et slikt automatiseringsnivå, så bruken av dem krever større kvalifikasjoner fra ansatte i informasjonssikkerhetsavdelingen.
1. Honningpotter, honningnett og sandkasser: Hva er de, og hvordan brukes de?
Begrepet «honeypots» ble først brukt i 1989 i Clifford Stolls bok «The Cuckoo's Egg», som beskriver hendelsene rundt sporing av en hacker ved Lawrence Berkeley National Laboratory (USA). I praksis ble denne ideen legemliggjort i 1999 av Lance Spitzner, en informasjonssikkerhetsspesialist hos Sun Microsystems, som grunnla forskningsprosjektet «Honeynet Project». De første honeypotsene var svært ressurskrevende og vanskelige å konfigurere og vedlikeholde.
La oss se nærmere på hva det er Honningkukker и honningnettHoneypots er separate verter som har som formål å tiltrekke angripere til å trenge inn i et selskaps nettverk og prøve å stjele verdifulle data, samt å utvide nettverkets dekningsområde. En honeypot (bokstavelig oversatt som "honningfat") er en spesiell server med et sett med forskjellige nettverkstjenester og protokoller, for eksempel HTTP, FTP, osv. (se figur 1).
Hvis du kombinerer flere Honningkukker inn i nettverket, så får vi et mer effektivt system honningnett, som er en emulering av bedriftens bedriftsnettverk (webserver, filserver og andre nettverkskomponenter). Denne løsningen lar deg forstå angripernes strategi og villede dem. Et typisk honeynet opererer som regel parallelt med det fungerende nettverket og er helt uavhengig av det. Et slikt "nettverk" kan publiseres på Internett via en egen kanal, og et separat område med IP-adresser kan også tildeles det (se figur 2).
Hensikten med å bruke et honeynet er å vise hackeren at han angivelig har penetrert organisasjonens bedriftsnettverk. Angriperen befinner seg faktisk i et «isolert miljø» og under nøye oppsyn av informasjonssikkerhetsspesialister (se figur 3).
Her er det også nødvendig å nevne et slikt verktøy som "sandkasse» (Engelsk, sandkasse), som lar angripere installere og kjøre skadelig programvare i et isolert miljø der IT-spesialister kan overvåke handlingene sine for å identifisere potensielle risikoer og iverksette nødvendige mottiltak. For tiden implementeres sandboksing vanligvis på dedikerte virtuelle maskiner på en virtuell vert. Det bør imidlertid bemerkes at sandboksing bare viser hvordan farlige og ondsinnede programmer oppfører seg, mens et honeynet hjelper en spesialist med å analysere oppførselen til "farlige spillere".
Den åpenbare fordelen med honningnett er at de villeder angripere og kaster bort deres innsats, ressurser og tid. Som et resultat angriper de falske mål i stedet for å være virkelige mål, og kan stoppe angrepene på nettverket uten å oppnå noe. Honeynet-teknologier brukes oftest i offentlige etater og store selskaper og finansorganisasjoner, siden disse strukturene er mål for store cyberangrep. Små og mellomstore bedrifter (SMB-er) trenger imidlertid også effektive verktøy for å forhindre hendelser med informasjonssikkerhet, men honningnett i SMB-sektoren er ikke så enkle å bruke på grunn av mangel på kvalifisert personell til så komplekst arbeid.
Begrensninger for honningpotter og honningnett
Hvorfor er ikke honeypots og honeynets de beste løsningene for å motvirke angrep i dag? Det bør bemerkes at angrep blir mer omfattende, teknisk komplekse og i stand til å forårsake alvorlig skade på en organisasjons IT-infrastruktur, og nettkriminalitet har nådd et helt annet nivå og er representert av svært organiserte skyggevirksomhetsstrukturer utstyrt med alle nødvendige ressurser. I tillegg må man legge til den "menneskelige faktoren" (feil i programvare- og maskinvareinnstillinger, handlinger fra innsidere osv.), så det er ikke lenger nok å bare bruke teknologi for å forhindre angrep.
Nedenfor lister vi opp de viktigste begrensningene og ulempene med honeypots (honningnett):
Honeypots ble opprinnelig designet for å oppdage trusler som er utenfor bedriftsnettverket, er mer ment for å analysere angripernes oppførsel og er ikke designet for å reagere raskt på trusler.
Angripere har generelt allerede lært å gjenkjenne emulerte systemer og unngå honeypots.
Honeynett (honeypots) har et ekstremt lavt nivå av interaktivitet og samhandling med andre sikkerhetssystemer, noe som gjør det vanskelig å få detaljert informasjon om angrep og angripere ved bruk av honeypots, og dermed å reagere effektivt og raskt på hendelser knyttet til informasjonssikkerhet. Dessuten mottar informasjonssikkerhetsspesialister et stort antall falske alarmer om trusler.
I noen tilfeller kan hackere bruke en kompromittert honeypot som et utgangspunkt for å fortsette angrepet sitt på en organisasjons nettverk.
Det er ofte problemer med skalerbarheten til honeypots, høy driftsbelastning og konfigurasjon av slike systemer (de krever høyt kvalifiserte spesialister, har ikke et praktisk administrasjonsgrensesnitt, osv.). Det er store vanskeligheter med å distribuere honeypots i spesialiserte miljøer som IoT, POS, skysystemer, osv.
2. Bedragsteknologi: fordeler og grunnleggende driftsprinsipper
Etter å ha studert alle fordeler og ulemper med honeypots, kommer vi til den konklusjonen at det er behov for en helt ny tilnærming til å reagere på informasjonssikkerhetshendelser for å utvikle en rask og tilstrekkelig respons på angripernes handlinger. Og en slik løsning er teknologier Cyberbedrag (sikkerhetsbedrag).
Terminologien «cyberbedrag», «sikkerhetsbedrag», «bedragsteknologi» og «distribuert bedragsplattform» (DDP) er relativt ny og dukket opp for ikke så lenge siden. Faktisk betyr alle disse begrepene bruk av «bedragsteknologier» eller «teknikker for å simulere IT-infrastruktur og desinformasjon om angripere». De enkleste bedragsløsningene er utvikling av honeypot-ideer, bare på et mer teknologisk avansert nivå, som innebærer større automatisering av trusseldeteksjon og respons på dem. Det finnes imidlertid allerede seriøse DDP-klasseløsninger på markedet som er enkle å distribuere og skalere, og som også har et seriøst arsenal av «feller» og «agn» for angripere. For eksempel lar Deception deg emulere IT-infrastrukturobjekter som databaser, arbeidsstasjoner, rutere, svitsjer, minibanker, servere og SCADA, medisinsk utstyr og IoT.
Hvordan fungerer den distribuerte bedragplattformen? Etter at DDP-en er distribuert, vil organisasjonens IT-infrastruktur bygges som om den består av to lag: det første laget er bedriftens virkelige infrastruktur, og det andre er et "emulert" miljø som består av lokkeduer og lokkemidler plassert på virkelige fysiske nettverksenheter (se figur 4).
For eksempel kan en angriper oppdage falske databaser med «konfidensielle dokumenter», falske legitimasjonsopplysninger fra angivelig «privilegerte brukere» – alt dette er lokkemidler som kan interessere inntrengere, og dermed avlede oppmerksomheten deres fra selskapets virkelige informasjonsressurser (se figur 5).
DDP er et nytt produkt på markedet for informasjonssikkerhet. Disse løsningene er bare noen få år gamle, og foreløpig er det bare bedriftssektoren som har råd til dem. Men små og mellomstore bedrifter vil snart også kunne bruke Deception ved å leie DDP fra spesialiserte leverandører, «som en tjeneste». Dette alternativet er enda mer praktisk, siden det ikke er behov for eget høyt kvalifisert personell.
Nedenfor er de viktigste fordelene med Deception-teknologi:
AutentisitetBedragsteknologi er i stand til å reprodusere et fullstendig autentisk IT-miljø i et selskap, og kvalitativt emulere operativsystemer, IoT, POS, spesialiserte systemer (medisinske, industrielle osv.), tjenester, applikasjoner, legitimasjon osv. Lokkedukker blandes grundig med arbeidsmiljøet, og en angriper vil ikke kunne identifisere dem som honningkrukker.
GjennomføringDDP-er bruker maskinlæring (ML) i arbeidet sitt. ML sikrer enkelhet, fleksibilitet i innstillinger og effektivitet ved implementering av bedrag. "Feller" og "agn" oppdateres svært raskt, noe som involverer angriperen i selskapets "falske" IT-infrastruktur, og i mellomtiden kan avanserte analysesystemer basert på kunstig intelligens oppdage aktive handlinger fra hackere og forhindre dem (for eksempel et forsøk på å få tilgang til Active Directory basert på svindelkontoer).
Enkel betjeningModerne «distribuerte bedragplattformer» er enkle å vedlikeholde og administrere. Som regel administreres de via en lokal eller skybasert konsoll, det finnes muligheter for integrasjon med et bedrifts-SOC (Security Operations Center) via API og med mange eksisterende sikkerhetskontrollverktøy. Tjenestene til høyt kvalifiserte informasjonssikkerhetseksperter er ikke nødvendig for vedlikehold og drift av DDP.
SkalerbarhetSikkerhetsbedrag kan distribueres i fysiske, virtuelle og skybaserte miljøer. DDP-er fungerer også med suksess med spesialiserte miljøer som IoT, ICS, POS, SWIFT, osv. Avanserte bedrag-plattformer kan projisere «bedragsteknologier» inn i eksterne kontorer, isolerte miljøer, uten behov for ytterligere full plattformdistribusjon.
Interaction,ruVed hjelp av effektive og attraktive lokkeduer, som er basert på ekte operativsystemer og smart plassert i ekte IT-infrastruktur, samler Deception-plattformen inn omfattende informasjon om angriperen. DDP sørger deretter for overføring av trusselvarsler, rapporter genereres og automatisk respons på informasjonssikkerhetshendelser skjer.
AngrepsstartpunktI moderne Deception plasseres feller og agn innenfor nettverksområdet, ikke utenfor det (som i tilfellet med honeypots). Denne modellen for felleutplassering tillater ikke en angriper å bruke dem som fotfeste for et angrep på bedriftens faktiske IT-infrastruktur. Mer avanserte løsninger i Deception-klassen har trafikkrutingsmuligheter, slik at du kan dirigere all angripertrafikk gjennom en spesielt dedikert forbindelse. Dette lar deg analysere angripernes aktivitet uten å risikere bedriftens verdifulle eiendeler.
Overbevisningskraften til "bedragsteknologier"I den innledende fasen av et angrep samler og analyserer angripere data om IT-infrastrukturen, og bruker dem deretter til å bevege seg horisontalt gjennom bedriftsnettverket. Ved å bruke «bedragsteknologier» vil angriperen uunngåelig falle i «feller» som vil lede ham bort fra organisasjonens virkelige eiendeler. DDP vil analysere potensielle tilgangsveier til legitimasjon i bedriftsnettverket og gi angriperen «falske mål» i stedet for ekte legitimasjon. Disse funksjonene manglet i honeypot-teknologier. (Se figur 6).
Bedrag vs. Honeypot
Og til slutt kommer vi til det mest interessante punktet i forskningen vår. Vi vil prøve å fremheve hovedforskjellene mellom Deception- og Honeypot-teknologiene. Til tross for noen likheter, er disse to teknologiene fortsatt svært forskjellige, fra den grunnleggende ideen til effektiviteten i arbeidet.
Ulike grunnleggende ideerSom vi allerede har skrevet ovenfor, installeres honeypots som "agn" rundt verdifulle bedriftsressurser (utenfor bedriftsnettverket), og prøver dermed å distrahere angripere. Honeypot-teknologi er basert på ideen om organisasjonens infrastruktur, men honeypots kan bli et fotfeste for å iverksette et angrep på bedriftens nettverk. Bedragsteknologi er utviklet med tanke på angriperens synspunkt og gjør det mulig å identifisere et angrep på et tidlig stadium, slik at informasjonssikkerhetsspesialister får en betydelig fordel over angripere og vinner tid.
"Attraksjon" vs. "Forvirring"Når man bruker honeypots, avhenger suksess av å tiltrekke angripernes oppmerksomhet og deretter motivere dem til å bevege seg videre til målet i honeypoten. Dette betyr at angriperen fortsatt må komme seg til honeypoten, og først da kan man stoppe ham. Dermed kan angripernes tilstedeværelse i nettverket vare i flere måneder eller mer, og dette vil føre til datalekkasje og skade. DDP-er imiterer kvalitativt den virkelige IT-infrastrukturen til selskapet, og formålet med implementeringen er ikke bare å tiltrekke angriperens oppmerksomhet, men å forvirre ham slik at han kaster bort tid og ressurser forgjeves, men ikke får tilgang til selskapets reelle eiendeler.
"Begrenset skalerbarhet" VS "Automatisk skalerbarhet"Som nevnt tidligere, har honeypots og honeynets problemer med skalering. Det er vanskelig og dyrt, og for å øke antallet honeypots i et bedriftssystem, må du legge til nye datamaskiner, operativsystemer, kjøpe lisenser, tildele IP. Dessuten må du også ha kvalifisert personell til å administrere slike systemer. Deception-plattformer distribueres automatisk etter hvert som infrastrukturen skaleres, uten betydelige overheadkostnader.
"Et stort antall falske positive" VS "ingen falske positive"Kjernen i problemet er at selv en vanlig bruker kan støte på en falsk positiv, så "ulempen" med denne teknologien er et stort antall falske positiver, som distraherer informasjonssikkerhetsspesialister fra arbeidet deres. "Akne" og "feller" i DDP er nøye skjult for den vanlige brukeren og er kun designet for inntrengeren, så hvert signal fra et slikt system er et varsel om en reell trussel, og ikke en falsk positiv.
Konklusjon
Etter vår mening er Deception-teknologi et stort steg opp fra den eldre Honeypot-teknologien. I hovedsak har DDP blitt en omfattende sikkerhetsplattform som er enkel å distribuere og administrere.
Moderne plattformer i denne klassen spiller en viktig rolle i nøyaktig deteksjon og effektiv respons på nettverkstrusler, og integrasjonen deres med andre komponenter i sikkerhetsstakken øker automatiseringsnivået, øker effektiviteten og virkningsgraden av hendelsesrespons. Bedragsplattformer er basert på autentisitet, skalerbarhet, enkel administrasjon og integrasjon med andre systemer. Alt dette gir en betydelig fordel i responshastigheten på informasjonssikkerhetshendelser.
Basert på observasjoner av penetrasjonstester fra selskaper der Xello Deception-plattformen ble implementert eller testet, kan vi også konkludere med at selv erfarne penetrasjonstestere ofte ikke kan gjenkjenne agn i bedriftsnettverket og mislykkes, og går i fellene som er satt. Dette faktum bekrefter nok en gang effektiviteten til Deception og de store mulighetene som åpner seg for denne teknologien i fremtiden.
Produkttesting
Hvis du er interessert i Deception-plattformer, er vi klare .
Følg med for oppdateringer i våre kanaler (, , , )!
Kilde: www.habr.com
