Honeypot kontra oszustwo na przykładzie Xello

Na Habré pojawiło się już kilka artykułów na temat technologii Honeypot i Deception (1 art, 2 art). Jednakże nadal mamy do czynienia z brakiem zrozumienia różnicy pomiędzy tymi klasami sprzętu ochronnego. W tym celu nasi koledzy z Cześć Oszustwo (pierwszy rosyjski programista Platformowe oszustwo) postanowiliśmy szczegółowo opisać różnice, zalety i cechy architektoniczne tych rozwiązań.

Zastanówmy się, czym są „miodarki” i „oszustwa”:

„Technologie oszustwa” pojawiły się na rynku systemów bezpieczeństwa informacji stosunkowo niedawno. Jednak niektórzy eksperci nadal uważają Security Deception za po prostu bardziej zaawansowane Honeypoty.

W tym artykule postaramy się ukazać zarówno podobieństwa, jak i zasadnicze różnice pomiędzy tymi dwoma rozwiązaniami. W pierwszej części porozmawiamy o Honeypot, jak rozwinęła się ta technologia oraz jakie są jej zalety i wady. W drugiej części szczegółowo omówimy zasady działania platform do tworzenia rozproszonej infrastruktury wabików (angielski, Distributed Deception Platform - DDP).

Podstawową zasadą leżącą u podstaw Honeypotów jest tworzenie pułapek na hakerów. Pierwsze rozwiązania Deception zostały opracowane na tej samej zasadzie. Jednak nowoczesne DDP znacznie przewyższają Honeypoty, zarówno pod względem funkcjonalności, jak i wydajności. Platformy oszustwa obejmują: wabiki, pułapki, przynęty, aplikacje, dane, bazy danych, Active Directory. Nowoczesne programy DDP mogą zapewnić potężne możliwości wykrywania zagrożeń, analizy ataków i automatyzacji reakcji.

Zatem oszustwo jest techniką symulowania infrastruktury IT przedsiębiorstwa i wprowadzania w błąd hakerów. Dzięki temu platformy takie pozwalają zatrzymać ataki, zanim spowodują znaczne szkody w majątku firmy. Honeypoty nie mają oczywiście tak szerokiej funkcjonalności i takiego stopnia automatyzacji, dlatego ich użycie wymaga większych kwalifikacji od pracowników działów bezpieczeństwa informacji.

1. Honeypoty, Honeynets i Sandboxing: czym są i jak się je wykorzystuje

Termin „honeypots” został po raz pierwszy użyty w 1989 roku w książce Clifforda Stolla „The Cuckoo's Egg”, opisującej wydarzenia związane z wytropieniem hakera w Lawrence Berkeley National Laboratory (USA). Pomysł ten wcielił w życie w 1999 roku Lance Spitzner, specjalista ds. bezpieczeństwa informacji w firmie Sun Microsystems, założyciel projektu badawczego Honeynet Project. Pierwsze Honeypoty wymagały bardzo dużych zasobów, były trudne w konfiguracji i utrzymaniu.

Przyjrzyjmy się bliżej, co to jest honeypoty и sieci miodu. Honeypoty to pojedyncze hosty, których celem jest przyciągnięcie atakujących do penetracji sieci firmowej i próby kradzieży cennych danych, a także poszerzenia obszaru zasięgu sieci. Honeypot (dosłownie tłumaczony jako „beczka miodu”) to specjalny serwer z zestawem różnych usług sieciowych i protokołów, takich jak HTTP, FTP itp. (patrz ryc. 1).

Jeśli połączysz kilka honeypoty do sieci, wtedy otrzymamy bardziej wydajny system miód, który jest emulacją sieci korporacyjnej firmy (serwer WWW, serwer plików i inne komponenty sieciowe). Rozwiązanie to pozwala zrozumieć strategię atakujących i wprowadzić ich w błąd. Typowy Honeynet z reguły działa równolegle z siecią roboczą i jest od niej całkowicie niezależny. Taka „sieć” może być publikowana w Internecie za pośrednictwem odrębnego kanału, można jej także przydzielić odrębny zakres adresów IP (patrz rys. 2).

Celem wykorzystania Honeynetu jest pokazanie hakerowi, że rzekomo przedostał się do sieci korporacyjnej organizacji, w rzeczywistości atakujący znajduje się w „odizolowanym środowisku” i pod ścisłym nadzorem specjalistów ds. bezpieczeństwa informacji (patrz rys. 3).

Tutaj także nie sposób nie wspomnieć o takim narzędziu jak „piaskownica"(Język angielski, piaskownica), co umożliwia atakującym instalowanie i uruchamianie złośliwego oprogramowania w izolowanym środowisku, w którym dział IT może monitorować ich działania w celu identyfikacji potencjalnych zagrożeń i podjęcia odpowiednich środków zaradczych. Obecnie piaskownica jest zwykle wdrażana na dedykowanych maszynach wirtualnych na hoście wirtualnym. Należy jednak zaznaczyć, że sandboxing pokazuje jedynie, jak zachowują się niebezpieczne i złośliwe programy, natomiast Honeynet pomaga specjalistom analizować zachowanie „niebezpiecznych graczy”.

Oczywistą zaletą Honeynets jest to, że wprowadzają atakujących w błąd, marnując ich energię, zasoby i czas. W rezultacie zamiast prawdziwych celów atakują fałszywe i mogą przestać atakować sieć, nie osiągając niczego. Najczęściej technologie Honeynets są wykorzystywane w agencjach rządowych oraz dużych korporacjach, organizacjach finansowych, ponieważ to właśnie te struktury okazują się celem poważnych cyberataków. Jednak małe i średnie przedsiębiorstwa (MŚP) również potrzebują skutecznych narzędzi zapobiegania incydentom związanym z bezpieczeństwem informacji, jednak wykorzystanie Honeynet w sektorze MŚP nie jest tak łatwe w użyciu ze względu na brak wykwalifikowanego personelu do tak złożonej pracy.

Ograniczenia rozwiązań typu Honeypot i Honeynets

Dlaczego Honeypoty i Honeynety nie są obecnie najlepszymi rozwiązaniami do przeciwdziałania atakom? Należy zauważyć, że ataki stają się coraz bardziej zakrojone na szeroką skalę, złożone technicznie i mogą wyrządzić poważne szkody w infrastrukturze IT organizacji, a cyberprzestępczość osiągnęła zupełnie inny poziom i reprezentuje wysoce zorganizowane struktury cienia biznesu wyposażone we wszystkie niezbędne zasoby. Do tego należy dodać „czynnik ludzki” (błędy w ustawieniach oprogramowania i sprzętu, działania insiderów itp.), dlatego w tej chwili używanie wyłącznie technologii w celu zapobiegania atakom nie jest już wystarczające.

Poniżej przedstawiamy główne ograniczenia i wady Honeypotów (siatek miodu):

1. Honeypoty zostały pierwotnie opracowane w celu identyfikacji zagrożeń znajdujących się poza siecią korporacyjną, mają raczej na celu analizę zachowań atakujących i nie są przeznaczone do szybkiego reagowania na zagrożenia.

2. Atakujący z reguły nauczyli się już rozpoznawać emulowane systemy i unikać Honeypotów.

3. Honeynets (honeypoty) charakteryzują się wyjątkowo niskim poziomem interaktywności i interakcji z innymi systemami bezpieczeństwa, w efekcie czego przy wykorzystaniu Honeypotów trudno jest uzyskać szczegółowe informacje o atakach i atakujących, a co za tym idzie, skutecznie i szybko reagować na incydenty bezpieczeństwa informacji . Ponadto specjaliści ds. bezpieczeństwa informacji otrzymują dużą liczbę fałszywych alertów o zagrożeniach.

4. W niektórych przypadkach hakerzy mogą wykorzystać zainfekowany Honeypot jako punkt wyjścia do kontynuowania ataku na sieć organizacji.

5. Często pojawiają się problemy ze skalowalnością Honeypotów, dużym obciążeniem operacyjnym i konfiguracją takich systemów (wymagają wysoko wykwalifikowanych specjalistów, nie mają wygodnego interfejsu zarządzania itp.). Istnieją duże trudności we wdrażaniu Honeypotów w wyspecjalizowanych środowiskach, takich jak IoT, POS, systemy chmurowe itp.

2. Technologia oszustwa: zalety i podstawowe zasady działania

Po przestudiowaniu wszystkich zalet i wad Honeypotów dochodzimy do wniosku, że potrzebne jest zupełnie nowe podejście do reagowania na incydenty związane z bezpieczeństwem informacji, aby wypracować szybką i adekwatną reakcję na działania atakujących. I takim rozwiązaniem jest technologia Cyberoszustwo (oszustwo dotyczące bezpieczeństwa).

Terminologia „Cyberoszustwo”, „Oszustwo bezpieczeństwa”, „Technologia oszustwa”, „Platforma oszustwa rozproszonego” (DDP) jest stosunkowo nowa i pojawiła się nie tak dawno temu. W rzeczywistości wszystkie te terminy oznaczają wykorzystanie „technologii oszukańczych” lub „technik symulowania infrastruktury IT i dezinformacji osób atakujących”. Najprostsze rozwiązania Deception są rozwinięciem idei Honeypotów, tyle że na bardziej zaawansowanym technologicznie poziomie, co wiąże się z większą automatyzacją wykrywania zagrożeń i reagowania na nie. Jednak na rynku dostępne są już poważne rozwiązania klasy DDP, które są łatwe we wdrożeniu i skalowaniu, a także dysponują poważnym arsenałem „pułapek” i „przynęt” na atakujących. Na przykład Deception umożliwia emulację obiektów infrastruktury IT takich jak bazy danych, stacje robocze, routery, przełączniki, bankomaty, serwery i SCADA, sprzęt medyczny i IoT.

Jak działa platforma Distributed Deception? Po wdrożeniu DDP infrastruktura informatyczna organizacji będzie zbudowana jakby z dwóch warstw: pierwsza warstwa to rzeczywista infrastruktura firmy, a druga to „emulowane” środowisko składające się z wabików i przynęt, przynęt), w których znajdują się na rzeczywistych fizycznych urządzeniach sieciowych (patrz rys. 4).

Na przykład osoba atakująca może odkryć fałszywe bazy danych zawierające „poufne dokumenty”, fałszywe dane uwierzytelniające rzekomo „uprzywilejowanych użytkowników” – wszystko to jest przynętą, która może zainteresować sprawców naruszenia, odwracając w ten sposób ich uwagę od prawdziwych zasobów informacyjnych firmy (patrz rysunek 5).

DDP to nowość na rynku produktów związanych z bezpieczeństwem informacji, rozwiązania te mają dopiero kilka lat i na razie stać na nie jedynie sektor korporacyjny. Ale małe i średnie firmy wkrótce będą mogły skorzystać z oszustwa, wynajmując DDP od wyspecjalizowanych dostawców „jako usługę”. Ta opcja jest jeszcze wygodniejsza, ponieważ nie ma potrzeby posiadania własnego, wysoko wykwalifikowanego personelu.

Główne zalety technologii Deception przedstawiono poniżej:

• Autentyczność (autentyczność). Technologia Deception jest w stanie odtworzyć całkowicie autentyczne środowisko IT firmy, jakościowo emulując systemy operacyjne, IoT, POS, systemy specjalistyczne (medyczne, przemysłowe itp.), usługi, aplikacje, dane uwierzytelniające itp. Wabiki są starannie mieszane ze środowiskiem pracy, a osoba atakująca nie będzie w stanie zidentyfikować ich jako Honeypotów.

• Внедрение. DDP wykorzystują w swojej pracy uczenie maszynowe (ML). Za pomocą ML zapewniona jest prostota, elastyczność ustawień i skuteczność wdrażania oszustwa. „Pułapki” i „honeypoty” aktualizują się bardzo szybko, wabiąc atakującego do „fałszywej” infrastruktury IT firmy, a w międzyczasie zaawansowane systemy analityczne oparte na sztucznej inteligencji są w stanie wykryć aktywne działania hakerów i zapobiec im (np. próbować uzyskać dostęp do fałszywych kont opartych na usłudze Active Directory).

• Łatwa obsługa. Nowoczesne platformy rozproszonego oszustwa są łatwe w utrzymaniu i zarządzaniu. Zazwyczaj zarządza się nimi za pomocą konsoli lokalnej lub w chmurze, z możliwością integracji z korporacyjnym SOC (Security Operations Center) za pośrednictwem interfejsu API oraz z wieloma istniejącymi mechanizmami zabezpieczeń. Utrzymanie i obsługa DDP nie wymaga usług wysoko wykwalifikowanych ekspertów ds. bezpieczeństwa informacji.

• Skalowalność. Oszustwa związane z bezpieczeństwem można wdrożyć w środowiskach fizycznych, wirtualnych i chmurowych. DDP z powodzeniem współpracują również ze specjalistycznymi środowiskami, takimi jak IoT, ICS, POS, SWIFT itp. Platformy Advanced Deception mogą wyświetlać „technologie oszustwa” w odległych biurach i odizolowanych środowiskach, bez konieczności dodatkowego wdrażania pełnej platformy.

• Wzajemne oddziaływanie. Wykorzystując potężne i atrakcyjne wabiki oparte na prawdziwych systemach operacyjnych i sprytnie umieszczone wśród prawdziwej infrastruktury IT, platforma Deception zbiera obszerne informacje o atakującym. Następnie DDP zapewnia przesyłanie alertów o zagrożeniach, generowanie raportów i automatyczną reakcję na incydenty związane z bezpieczeństwem informacji.

• Punkt początkowy ataku. We współczesnym Deception pułapki i przynęty umieszczane są w zasięgu sieci, a nie poza nią (jak ma to miejsce w przypadku Honeypotów). Ten model wdrażania przynęty uniemożliwia atakującemu wykorzystanie ich jako punktu zaczepienia do ataku na rzeczywistą infrastrukturę informatyczną firmy. Bardziej zaawansowane rozwiązania klasy Deception posiadają możliwość routingu ruchu, dzięki czemu cały ruch atakującego można kierować poprzez specjalnie dedykowane połączenie. Dzięki temu będziesz mógł analizować działania atakujących bez narażania cennego majątku firmy.

• Siła perswazji „technologii oszukańczych”. W początkowej fazie ataku napastnicy zbierają i analizują dane dotyczące infrastruktury IT, a następnie wykorzystują je do poziomego poruszania się po sieci firmowej. Przy pomocy „technologii oszukańczych” atakujący z pewnością wpadnie w „pułapki”, które odciągną go od realnych aktywów organizacji. DDP przeanalizuje potencjalne ścieżki dostępu do poświadczeń w sieci firmowej i udostępni atakującemu „wabiące cele” zamiast prawdziwych poświadczeń. Tych możliwości bardzo brakowało w technologiach typu Honeypot. (Patrz rysunek 6).

Oszustwo kontra Honeypot

I w końcu dochodzimy do najciekawszego momentu naszych badań. Postaramy się podkreślić główne różnice pomiędzy technologiami Deception i Honeypot. Pomimo pewnych podobieństw, te dwie technologie nadal bardzo się od siebie różnią, począwszy od podstawowej idei, a skończywszy na efektywności działania.

1. Różne podstawowe pomysły. Jak pisaliśmy powyżej, Honeypoty instalowane są jako „wabiki” wokół cennych zasobów firmy (poza siecią firmową), próbując w ten sposób odwrócić uwagę atakujących. Technologia Honeypot opiera się na zrozumieniu infrastruktury organizacji, jednak Honeypoty mogą stać się punktem wyjścia do przeprowadzenia ataku na sieć firmową. Technologia oszustwa opracowywana jest z uwzględnieniem punktu widzenia atakującego i pozwala zidentyfikować atak na wczesnym etapie, dzięki czemu specjaliści ds. bezpieczeństwa informacji zyskują znaczną przewagę nad atakującymi i zyskują czas.

2. „Przyciąganie” VS „Zamieszanie”. W przypadku wykorzystania Honeypotów sukces zależy od przyciągnięcia uwagi atakujących i dalszego zmotywowania ich do przejścia do celu w Honeypot. Oznacza to, że atakujący musi jeszcze dotrzeć do Honeypot, zanim będziesz mógł go powstrzymać. Zatem obecność atakujących w sieci może trwać kilka miesięcy lub dłużej, co doprowadzi do wycieku danych i uszkodzeń. DDP jakościowo imitują rzeczywistą infrastrukturę informatyczną firmy; celem ich wdrożenia jest nie tylko przyciągnięcie uwagi atakującego, ale zmylenie go tak, aby marnował czas i zasoby, ale nie uzyskał dostępu do realnych zasobów firmy firma.

3. „Ograniczona skalowalność” VS „automatyczna skalowalność”. Jak wspomniano wcześniej, w Honeypotach i Honeynetach występują problemy ze skalowaniem. Jest to trudne i kosztowne, a aby zwiększyć liczbę Honeypotów w systemie korporacyjnym, trzeba będzie dodać nowe komputery, system operacyjny, kupić licencje i przydzielić adres IP. Ponadto konieczne jest posiadanie wykwalifikowanego personelu do zarządzania takimi systemami. Platformy oszustwa są wdrażane automatycznie w miarę skalowania infrastruktury, bez znacznych kosztów ogólnych.

4. „Duża liczba fałszywych alarmów” VS „brak fałszywych alarmów”. Istota problemu polega na tym, że nawet prosty użytkownik może spotkać się z Honeypotem, zatem „minusem” tej technologii jest duża liczba fałszywych alarmów, co odrywa specjalistów ds. bezpieczeństwa informacji od ich pracy. „Przynęty” i „pułapki” w DDP są starannie ukrywane przed przeciętnym użytkownikiem i przeznaczone wyłącznie dla atakującego, dlatego każdy sygnał z takiego systemu jest powiadomieniem o realnym zagrożeniu, a nie fałszywym alarmem.

wniosek

Naszym zdaniem technologia Deception stanowi ogromny postęp w stosunku do starszej technologii Honeypots. Zasadniczo DDP stał się kompleksową platformą bezpieczeństwa, którą można łatwo wdrożyć i zarządzać.

Nowoczesne platformy tej klasy odgrywają ważną rolę w dokładnym wykrywaniu i skutecznym reagowaniu na zagrożenia sieciowe, a ich integracja z innymi elementami stosu bezpieczeństwa zwiększa poziom automatyzacji, zwiększa efektywność i skuteczność reakcji na incydenty. Platformy oszustw opierają się na autentyczności, skalowalności, łatwości zarządzania i integracji z innymi systemami. Wszystko to daje znaczącą przewagę w szybkości reakcji na incydenty związane z bezpieczeństwem informacji.

Również na podstawie obserwacji pentestów firm, w których wdrożono lub pilotażowano platformę Xello Deception, możemy wyciągnąć wnioski, że nawet doświadczeni pentesterzy często nie potrafią rozpoznać przynęty w sieci korporacyjnej i ponoszą porażkę, gdy wpadają w zastawione pułapki. Fakt ten po raz kolejny potwierdza skuteczność Oszustwa i ogromne perspektywy, jakie otwierają się przed tą technologią w przyszłości.

Testowanie produktu

Jeżeli interesuje Cię platforma Deception to jesteśmy gotowi przeprowadzić wspólne testy.

Bądź na bieżąco z aktualizacjami na naszych kanałach (Telegram, Facebook, VK, Blog rozwiązań TS)!

Źródło: www.habr.com