ProHoster > Blog > administração > Honeypot vs Deception no exemplo do Xello

Honeypot vs Deception no exemplo do Xello

Honeypot vs Deception no exemplo do Xello

Já existem vários artigos no Habré sobre as tecnologias Honeypot e Deception (Artigo 1, Artigo 2). No entanto, ainda nos deparamos com a falta de compreensão da diferença entre estas classes de equipamentos de proteção. Para isso, nossos colegas de Olá Decepção (primeiro desenvolvedor russo Decepção de plataforma) decidiram descrever detalhadamente as diferenças, vantagens e características arquitetônicas dessas soluções.

Vamos descobrir o que são “honeypots” e “enganos”:

As “tecnologias enganosas” surgiram no mercado de sistemas de segurança da informação há relativamente pouco tempo. No entanto, alguns especialistas ainda consideram o Security Deception apenas como honeypots mais avançados.

Neste artigo tentaremos destacar as semelhanças e diferenças fundamentais entre essas duas soluções. Na primeira parte falaremos sobre o honeypot, como essa tecnologia se desenvolveu e quais as suas vantagens e desvantagens. E na segunda parte nos deteremos detalhadamente nos princípios de funcionamento das plataformas para a criação de uma infraestrutura distribuída de iscas (Inglês, Distributed Deception Platform - DDP).

O princípio básico subjacente aos honeypots é criar armadilhas para hackers. As primeiras soluções Deception foram desenvolvidas com base no mesmo princípio. Mas os DDPs modernos são significativamente superiores aos honeypots, tanto em funcionalidade quanto em eficiência. As plataformas de engano incluem: iscas, armadilhas, iscas, aplicativos, dados, bancos de dados, Active Directory. Os DDPs modernos podem fornecer recursos poderosos para detecção de ameaças, análise de ataques e automação de respostas.

Assim, Deception é uma técnica para simular a infraestrutura de TI de uma empresa e enganar hackers. Como resultado, tais plataformas permitem impedir ataques antes de causar danos significativos aos ativos da empresa. Os honeypots, é claro, não possuem uma funcionalidade tão ampla e um nível de automação tão amplo, portanto seu uso exige mais qualificação dos funcionários dos departamentos de segurança da informação.

1. Honeypots, Honeynets e Sandboxing: o que são e como são utilizados

O termo "honeypots" foi usado pela primeira vez em 1989 no livro "The Cuckoo's Egg" de Clifford Stoll, que descreve os eventos de rastreamento de um hacker no Laboratório Nacional Lawrence Berkeley (EUA). Essa ideia foi colocada em prática em 1999 por Lance Spitzner, especialista em segurança da informação da Sun Microsystems, que fundou o projeto de pesquisa Honeynet Project. Os primeiros honeypots consumiam muitos recursos e eram difíceis de configurar e manter.

Vamos dar uma olhada mais de perto no que é honeypots и redes de mel. Honeypots são hosts individuais cujo objetivo é atrair invasores para penetrar na rede de uma empresa e tentar roubar dados valiosos, bem como expandir a área de cobertura da rede. Honeypot (traduzido literalmente como “barril de mel”) é um servidor especial com um conjunto de vários serviços e protocolos de rede, como HTTP, FTP, etc. (ver Fig. 1).

Honeypot vs Deception no exemplo do Xello

Se você combinar vários honeypots na rede, então teremos um sistema mais eficiente rede de mel, que é uma emulação da rede corporativa de uma empresa (servidor web, servidor de arquivos e outros componentes de rede). Esta solução permite compreender a estratégia dos invasores e enganá-los. Uma honeynet típica, via de regra, opera em paralelo com a rede de trabalho e é totalmente independente dela. Tal “rede” pode ser publicada na Internet através de um canal separado; um intervalo separado de endereços IP também pode ser alocado para ela (ver Fig. 2).

Honeypot vs Deception no exemplo do Xello

O objetivo de usar a honeynet é mostrar ao hacker que ele supostamente penetrou na rede corporativa da organização: na verdade, o invasor está em um “ambiente isolado” e sob a supervisão de especialistas em segurança da informação (ver Figura 3).

Honeypot vs Deception no exemplo do Xello

Aqui também precisamos mencionar uma ferramenta como “caixa de areia"(Inglês, sandbox), que permite que invasores instalem e executem malware em um ambiente isolado onde a TI pode monitorar suas atividades para identificar riscos potenciais e tomar contramedidas apropriadas. Atualmente, o sandbox é normalmente implementado em máquinas virtuais dedicadas em um host virtual. No entanto, deve-se notar que o sandboxing apenas mostra como os programas perigosos e maliciosos se comportam, enquanto o honeynet ajuda um especialista a analisar o comportamento de “jogadores perigosos”.

O benefício óbvio das honeynets é que elas enganam os invasores, desperdiçando energia, recursos e tempo. Como resultado, em vez de alvos reais, eles atacam alvos falsos e podem parar de atacar a rede sem conseguir nada. Na maioria das vezes, as tecnologias honeynets são utilizadas em agências governamentais e grandes corporações, organizações financeiras, uma vez que são essas estruturas que acabam sendo alvos de grandes ataques cibernéticos. No entanto, as pequenas e médias empresas (SMB) também precisam de ferramentas eficazes para prevenir incidentes de segurança da informação, mas as honeynets no sector das PME não são tão fáceis de utilizar devido à falta de pessoal qualificado para um trabalho tão complexo.

Limitações das soluções Honeypots e Honeynets

Por que os honeypots e honeynets não são as melhores soluções para combater ataques atualmente? Deve-se notar que os ataques estão se tornando cada vez mais em grande escala, tecnicamente complexos e capazes de causar sérios danos à infraestrutura de TI de uma organização, e o crime cibernético atingiu um nível completamente diferente e representa estruturas de negócios paralelas altamente organizadas e equipadas com todos os recursos necessários. A isto deve ser adicionado o “fator humano” (erros nas configurações de software e hardware, ações de pessoas internas, etc.), portanto, usar apenas a tecnologia para prevenir ataques não é mais suficiente no momento.

Abaixo listamos as principais limitações e desvantagens dos honeypots (honeynets):

  1. Os honeypots foram originalmente desenvolvidos para identificar ameaças que estão fora da rede corporativa, destinam-se antes a analisar o comportamento dos invasores e não são projetados para responder rapidamente às ameaças.

  2. Os invasores, via de regra, já aprenderam a reconhecer sistemas emulados e a evitar honeypots.

  3. Honeynets (honeypots) apresentam um nível extremamente baixo de interatividade e interação com outros sistemas de segurança, pelo que, através de honeypots, é difícil obter informações detalhadas sobre ataques e atacantes e, portanto, responder de forma eficaz e rápida aos incidentes de segurança da informação . Além disso, os especialistas em segurança da informação recebem um grande número de alertas falsos de ameaças.

  4. Em alguns casos, os hackers podem usar um honeypot comprometido como ponto de partida para continuar o ataque à rede de uma organização.

  5. Muitas vezes surgem problemas com a escalabilidade dos honeypots, alta carga operacional e configuração de tais sistemas (eles exigem especialistas altamente qualificados, não possuem uma interface de gerenciamento conveniente, etc.). Existem grandes dificuldades na implantação de honeypots em ambientes especializados como IoT, POS, sistemas em nuvem, etc.

2. Tecnologia de engano: vantagens e princípios básicos de funcionamento

Tendo estudado todas as vantagens e desvantagens dos honeypots, chegamos à conclusão de que é necessária uma abordagem completamente nova para responder a incidentes de segurança da informação, a fim de desenvolver uma resposta rápida e adequada às ações dos invasores. E tal solução é tecnologia Engano cibernético (engano de segurança).

A terminologia “Engano cibernético”, “Engano de segurança”, “Tecnologia de engano”, “Plataforma de engano distribuída” (DDP) é relativamente nova e apareceu não há muito tempo. Na verdade, todos estes termos significam a utilização de “tecnologias enganosas” ou “técnicas para simular infraestruturas de TI e desinformação de atacantes”. As soluções Deception mais simples são um desenvolvimento das ideias dos honeypots, só que em um nível tecnologicamente mais avançado, o que envolve maior automação na detecção de ameaças e resposta a elas. No entanto, já existem soluções sérias da classe DDP no mercado que são fáceis de implantar e escalar, e também possuem um sério arsenal de “armadilhas” e “iscas” para invasores. Por exemplo, Deception permite emular objetos de infraestrutura de TI, como bancos de dados, estações de trabalho, roteadores, switches, caixas eletrônicos, servidores e SCADA, equipamentos médicos e IoT.

Como funciona a Plataforma de Decepção Distribuída? Após a implantação do DDP, a infraestrutura de TI da organização será construída como se fosse de duas camadas: a primeira camada é a infraestrutura real da empresa e a segunda é um ambiente “emulado” composto por iscas e iscas), que estão localizadas em dispositivos de rede física real (ver Fig. 4).

Honeypot vs Deception no exemplo do Xello

Por exemplo, um invasor pode descobrir bancos de dados falsos com “documentos confidenciais”, credenciais falsas de supostamente “usuários privilegiados” – tudo isso são iscas que podem interessar aos infratores, desviando assim sua atenção dos verdadeiros ativos de informação da empresa (ver Figura 5).

Honeypot vs Deception no exemplo do Xello

O DDP é um produto novo no mercado de produtos de segurança da informação; essas soluções têm apenas alguns anos e até agora apenas o setor corporativo pode comprá-las. Mas em breve as pequenas e médias empresas também poderão tirar partido do Deception, alugando DDP a fornecedores especializados “como um serviço”. Esta opção é ainda mais conveniente, pois não há necessidade de pessoal próprio altamente qualificado.

As principais vantagens da tecnologia Deception são mostradas abaixo:

  • Autenticidade (autenticidade). A tecnologia Deception é capaz de reproduzir um ambiente de TI completamente autêntico de uma empresa, emulando qualitativamente sistemas operacionais, IoT, POS, sistemas especializados (médicos, industriais, etc.), serviços, aplicações, credenciais, etc. Os chamarizes são cuidadosamente misturados ao ambiente de trabalho e um invasor não será capaz de identificá-los como honeypots.

  • Implementação. Os DDPs usam aprendizado de máquina (ML) em seu trabalho. Com a ajuda do ML, são garantidas simplicidade, flexibilidade nas configurações e eficiência na implementação do Deception. “Armadilhas” e “iscas” são atualizadas muito rapidamente, atraindo um invasor para a “falsa” infraestrutura de TI da empresa e, enquanto isso, sistemas avançados de análise baseados em inteligência artificial podem detectar ações ativas de hackers e impedi-las (por exemplo, um tentativa de acessar contas fraudulentas baseadas no Active Directory).

  • De facil operação. As plataformas modernas de fraude distribuída são fáceis de manter e gerenciar. Normalmente são gerenciados por meio de um console local ou em nuvem, com capacidade de integração com o SOC (Security Operations Center) corporativo via API e com diversos controles de segurança existentes. A manutenção e operação do DDP não requerem os serviços de especialistas em segurança da informação altamente qualificados.

  • Escalabilidade. A fraude de segurança pode ser implantada em ambientes físicos, virtuais e em nuvem. Os DDPs também funcionam com sucesso com ambientes especializados como IoT, ICS, POS, SWIFT, etc. As plataformas Advanced Deception podem projetar “tecnologias de engano” em escritórios remotos e ambientes isolados, sem a necessidade de implantação completa adicional da plataforma.

  • Interação. Usando iscas poderosas e atraentes baseadas em sistemas operacionais reais e habilmente colocadas em infraestruturas de TI reais, a plataforma Deception coleta informações extensas sobre o invasor. O DDP garante então que os alertas de ameaças sejam transmitidos, os relatórios sejam gerados e os incidentes de segurança da informação sejam respondidos automaticamente.

  • Ponto inicial do ataque. No Deception moderno, armadilhas e iscas são colocadas dentro do alcance da rede, e não fora dela (como é o caso dos honeypots). Esse modelo de implantação isca evita que um invasor os utilize como ponto de alavancagem para atacar a infraestrutura real de TI da empresa. Soluções mais avançadas da classe Deception possuem recursos de roteamento de tráfego, para que você possa direcionar todo o tráfego do invasor por meio de uma conexão especialmente dedicada. Isso permitirá analisar a atividade dos invasores sem arriscar ativos valiosos da empresa.

  • O poder de persuasão das “tecnologias de engano”. No estágio inicial do ataque, os invasores coletam e analisam dados sobre a infraestrutura de TI e, em seguida, utilizam-nos para se moverem horizontalmente pela rede corporativa. Com a ajuda de “tecnologias de engano”, o invasor certamente cairá em “armadilhas” que o afastarão dos reais ativos da organização. O DDP analisará possíveis caminhos para acessar credenciais em uma rede corporativa e fornecerá ao invasor “alvos chamariz” em vez de credenciais reais. Essas capacidades estavam em falta nas tecnologias honeypot. (Ver Figura 6).

Honeypot vs Deception no exemplo do Xello

Decepção VS Honeypot

E finalmente chegamos ao momento mais interessante da nossa pesquisa. Tentaremos destacar as principais diferenças entre as tecnologias Deception e Honeypot. Apesar de algumas semelhanças, estas duas tecnologias ainda são muito diferentes, desde a ideia fundamental até à eficiência operacional.

  1. Diferentes ideias básicas. Como escrevemos acima, os honeypots são instalados como “iscas” em torno de ativos valiosos da empresa (fora da rede corporativa), tentando assim distrair os invasores. A tecnologia Honeypot é baseada na compreensão da infraestrutura de uma organização, mas os honeypots podem se tornar um ponto de partida para lançar um ataque à rede de uma empresa. A tecnologia Deception é desenvolvida levando em consideração o ponto de vista do invasor e permite identificar um ataque em um estágio inicial, assim, os especialistas em segurança da informação ganham uma vantagem significativa sobre os invasores e ganham tempo.

  2. “Atração” VS “Confusão”. Ao usar honeypots, o sucesso depende de atrair a atenção dos invasores e motivá-los ainda mais a se moverem em direção ao alvo no honeypot. Isso significa que o invasor ainda deve alcançar o honeypot antes que você possa detê-lo. Assim, a presença de invasores na rede pode durar vários meses ou mais, e isso levará ao vazamento e danos aos dados. Os DDPs imitam qualitativamente a infraestrutura real de TI de uma empresa; o objetivo de sua implementação não é apenas atrair a atenção de um invasor, mas confundi-lo para que ele perca tempo e recursos, mas não tenha acesso aos ativos reais do empresa.

  3. “Escalabilidade limitada” VS “escalabilidade automática”. Conforme observado anteriormente, honeypots e honeynets apresentam problemas de escala. Isso é difícil e caro, e para aumentar o número de honeypots em um sistema corporativo, você terá que adicionar novos computadores, sistemas operacionais, comprar licenças e alocar IP. Além disso, também é necessário contar com pessoal qualificado para gerenciar tais sistemas. As plataformas Deception são implementadas automaticamente à medida que sua infraestrutura é dimensionada, sem sobrecarga significativa.

  4. “Um grande número de falsos positivos” VS “nenhum falso positivo”. A essência do problema é que mesmo um usuário simples pode encontrar um honeypot, então a “desvantagem” dessa tecnologia é um grande número de falsos positivos, o que distrai os especialistas em segurança da informação de seu trabalho. “Iscas” e “armadilhas” no DDP são cuidadosamente escondidas do usuário médio e são projetadas apenas para um invasor, portanto, cada sinal desse sistema é uma notificação de uma ameaça real, e não um falso positivo.

Conclusão

Em nossa opinião, a tecnologia Deception é uma grande melhoria em relação à antiga tecnologia Honeypots. Em essência, o DDP tornou-se uma plataforma de segurança abrangente, fácil de implantar e gerenciar.

As plataformas modernas desta classe desempenham um papel importante na detecção precisa e na resposta eficaz às ameaças de rede, e a sua integração com outros componentes da pilha de segurança aumenta o nível de automação, aumenta a eficiência e eficácia da resposta a incidentes. As plataformas Deception são baseadas em autenticidade, escalabilidade, facilidade de gerenciamento e integração com outros sistemas. Tudo isso proporciona uma vantagem significativa na velocidade de resposta a incidentes de segurança da informação.

Além disso, com base em observações de pentests de empresas onde a plataforma Xello Deception foi implementada ou pilotada, podemos tirar conclusões de que mesmo pentesters experientes muitas vezes não conseguem reconhecer a isca na rede corporativa e falham quando caem nas armadilhas preparadas. Este facto confirma mais uma vez a eficácia do Deception e as grandes perspectivas que se abrem para esta tecnologia no futuro.

Teste de produto

Se você está interessado na plataforma Deception, então estamos prontos realizar testes conjuntos.

Fique atento às atualizações em nossos canais (TelegramFacebookVKBlog da solução TS)!

Fonte: habr.com

Adicionar um comentário