ProHoster > BLOG > administrare > Honeypot vs Deception folosind Xello ca exemplu

Honeypot vs Deception folosind Xello ca exemplu

Honeypot vs Deception folosind Xello ca exemplu

Există deja câteva articole despre Habré despre tehnologiile Honeypot și Deception (Articolul 1, Articolul 2). Cu toate acestea, ne confruntăm încă cu o lipsă de înțelegere a diferenței dintre aceste clase de echipamente de protecție. Pentru aceasta, colegii noștri din Bună Deception (primul dezvoltator rus Amăgirea platformei) a decis să descrie în detaliu diferențele, avantajele și caracteristicile arhitecturale ale acestor soluții.

Să ne dăm seama ce sunt „honeypots” și „înșelăciunile”:

„Tehnologiile de înșelăciune” au apărut pe piața sistemelor de securitate a informațiilor relativ recent. Cu toate acestea, unii experți consideră în continuare Security Deception ca fiind doar niște honeypots mai avansate.

În acest articol vom încerca să evidențiem atât asemănările, cât și diferențele fundamentale dintre aceste două soluții. În prima parte, vom vorbi despre honeypot, cum s-a dezvoltat această tehnologie și care sunt avantajele și dezavantajele ei. Și în a doua parte, ne vom opri în detaliu asupra principiilor de funcționare a platformelor pentru crearea unei infrastructuri distribuite de momeli (engleză, Distributed Deception Platform - DDP).

Principiul de bază care stă la baza honeypot-urilor este acela de a crea capcane pentru hackeri. Primele soluții Deception au fost dezvoltate pe același principiu. Dar DDP-urile moderne sunt semnificativ superioare honeypot-urilor, atât ca funcționalitate, cât și ca eficiență. Platformele de înșelăciune includ: momeli, capcane, momeli, aplicații, date, baze de date, Active Directory. DDP-urile moderne pot oferi capabilități puternice pentru detectarea amenințărilor, analiza atacurilor și automatizarea răspunsului.

Astfel, Deception este o tehnică de simulare a infrastructurii IT a unei întreprinderi și de a induce în eroare hackerii. Drept urmare, astfel de platforme fac posibilă oprirea atacurilor înainte de a provoca daune semnificative activelor companiei. Honeypots, desigur, nu au o funcționalitate atât de largă și un asemenea nivel de automatizare, așa că utilizarea lor necesită mai multe calificări din partea angajaților departamentelor de securitate a informațiilor.

1. Honeypots, Honeynets și Sandboxing: ce sunt și cum sunt folosite

Termenul „honeypots” a fost folosit pentru prima dată în 1989 în cartea lui Clifford Stoll „The Cuckoo’s Egg”, care descrie evenimentele de urmărire a unui hacker la Laboratorul Național Lawrence Berkeley (SUA). Această idee a fost pusă în practică în 1999 de Lance Spitzner, un specialist în securitatea informațiilor la Sun Microsystems, care a fondat proiectul de cercetare Honeynet Project. Primele honeypots consumau foarte multe resurse, greu de amenajat și întreținut.

Să aruncăm o privire mai atentă la ce este honeypots и plase de miere. Honeypot-urile sunt gazde individuale al căror scop este atragerea atacatorilor pentru a pătrunde în rețeaua unei companii și pentru a încerca să fure date valoroase, precum și să extindă aria de acoperire a rețelei. Honeypot (tradus literal ca „butoi de miere”) este un server special cu un set de diverse servicii și protocoale de rețea, cum ar fi HTTP, FTP etc. (vezi fig. 1).

Honeypot vs Deception folosind Xello ca exemplu

Dacă combinați mai multe honeypots în rețea, atunci vom obține un sistem mai eficient plasă de miere, care este o emulare a rețelei corporative a unei companii (server web, server de fișiere și alte componente de rețea). Această soluție vă permite să înțelegeți strategia atacatorilor și să-i induceți în eroare. O honeynet tipică, de regulă, funcționează în paralel cu rețeaua de lucru și este complet independentă de aceasta. O astfel de „rețea” poate fi publicată pe Internet printr-un canal separat, pentru care poate fi, de asemenea, alocată o gamă separată de adrese IP (vezi Fig. 2).

Honeypot vs Deception folosind Xello ca exemplu

Scopul utilizării honeynet este de a arăta hackerului că se presupune că a pătruns în rețeaua corporativă a organizației; de fapt, atacatorul se află într-un „mediu izolat” și sub supravegherea atentă a specialiștilor în securitatea informațiilor (vezi Fig. 3).

Honeypot vs Deception folosind Xello ca exemplu

Aici trebuie să menționăm și un astfel de instrument ca „Sandbox"(Engleză, nisip), care permite atacatorilor să instaleze și să ruleze programe malware într-un mediu izolat în care IT-ul își poate monitoriza activitățile pentru a identifica riscurile potențiale și pentru a lua măsurile adecvate. În prezent, sandboxing-ul este implementat de obicei pe mașini virtuale dedicate pe o gazdă virtuală. Cu toate acestea, trebuie remarcat că sandboxing-ul arată doar cât de periculoase și rău intenționate se comportă, în timp ce honeynet ajută un specialist să analizeze comportamentul „jucătorilor periculoși”.

Beneficiul evident al honeynets este că induc în eroare atacatorii, irosindu-și energia, resursele și timpul. Drept urmare, în loc de ținte reale, ele le atacă pe cele false și pot înceta să atace rețeaua fără a obține nimic. Cel mai adesea, tehnologiile honeynets sunt folosite în agențiile guvernamentale și marile corporații, organizațiile financiare, deoarece acestea sunt structurile care se dovedesc a fi ținte pentru atacuri cibernetice majore. Cu toate acestea, întreprinderile mici și mijlocii (IMM) au nevoie și de instrumente eficiente pentru a preveni incidentele de securitate a informațiilor, dar honeynet-urile din sectorul IMM-urilor nu sunt atât de ușor de utilizat din cauza lipsei de personal calificat pentru o astfel de muncă complexă.

Limitările Honeypots și Honeynets Solutions

De ce honeypots și honeynets nu sunt cele mai bune soluții pentru contracararea atacurilor astăzi? Trebuie menționat că atacurile devin din ce în ce mai mari, complexe din punct de vedere tehnic și capabile să provoace daune grave infrastructurii IT a unei organizații, iar criminalitatea cibernetică a atins un cu totul alt nivel și reprezintă structuri de afaceri din umbră extrem de organizate, dotate cu toate resursele necesare. La aceasta trebuie adăugat și „factorul uman” (erori în setările software și hardware, acțiuni ale insiderului etc.), așa că folosirea doar a tehnologiei pentru prevenirea atacurilor nu mai este suficientă momentan.

Mai jos listăm principalele limitări și dezavantaje ale honeypots (honeynets):

  1. Honeypot-urile au fost dezvoltate inițial pentru a identifica amenințările care se află în afara rețelei corporative, sunt destinate mai degrabă să analizeze comportamentul atacatorilor și nu sunt concepute pentru a răspunde rapid amenințărilor.

  2. Atacatorii, de regulă, au învățat deja să recunoască sistemele emulate și să evite honeypots.

  3. Honeynet-urile (honeypots) au un nivel extrem de scăzut de interactivitate și interacțiune cu alte sisteme de securitate, drept urmare, folosind honeypot-urile, este dificil să obțineți informații detaliate despre atacuri și atacatori și, prin urmare, să răspundeți eficient și rapid la incidentele de securitate a informațiilor. . Mai mult, specialiștii în securitatea informațiilor primesc un număr mare de alerte de amenințări false.

  4. În unele cazuri, hackerii pot folosi un honeypot compromis ca punct de plecare pentru a-și continua atacul asupra rețelei unei organizații.

  5. Probleme apar adesea cu scalabilitatea honeypot-urilor, sarcina operațională mare și configurarea unor astfel de sisteme (au nevoie de specialiști înalt calificați, nu au o interfață de management convenabilă etc.). Există dificultăți mari în implementarea honeypot-urilor în medii specializate precum IoT, POS, sisteme cloud etc.

2. Tehnologia înșelăciunii: avantaje și principii de funcționare de bază

După ce am studiat toate avantajele și dezavantajele honeypot-urilor, ajungem la concluzia că este necesară o abordare complet nouă a răspunsului la incidentele de securitate a informațiilor pentru a dezvolta un răspuns rapid și adecvat la acțiunile atacatorilor. Și o astfel de soluție este tehnologia Înșelăciune cibernetică (înșelăciune de securitate).

Terminologia „înșelăciune cibernetică”, „înșelăciune de securitate”, „tehnologie de înșelăciune”, „Platforma de înșelăciune distribuită” (DDP) este relativ nouă și a apărut nu cu mult timp în urmă. De fapt, toți acești termeni înseamnă utilizarea „tehnologiilor de înșelăciune” sau „tehnici de simulare a infrastructurii IT și dezinformare a atacatorilor”. Cele mai simple soluții Deception sunt o dezvoltare a ideilor de honeypots, doar la un nivel mai avansat tehnologic, ceea ce presupune o mai mare automatizare a detectării amenințărilor și a răspunsului la acestea. Cu toate acestea, există deja soluții serioase de clasă DDP pe piață, care sunt ușor de implementat și scalat și au, de asemenea, un arsenal serios de „capcane” și „momeli” pentru atacatori. De exemplu, Deception vă permite să emulați obiecte de infrastructură IT, cum ar fi baze de date, stații de lucru, routere, comutatoare, bancomate, servere și SCADA, echipamente medicale și IoT.

Cum funcționează Platforma de înșelăciune distribuită? După implementarea DDP, infrastructura IT a organizației va fi construită parcă din două straturi: primul strat este infrastructura reală a companiei, iar al doilea este un mediu „emulat” format din momeli și momeli, care sunt amplasate. pe dispozitive fizice reale de rețea (vezi Fig. 4).

Honeypot vs Deception folosind Xello ca exemplu

De exemplu, un atacator poate descoperi baze de date false cu „documente confidențiale”, acreditări false ale presupusului „utilizatori privilegiați” - toate acestea sunt momeli care îi pot interesa pe infractorii, atrăgându-le astfel atenția de la adevăratele active de informații ale companiei (vezi Figura 5).

Honeypot vs Deception folosind Xello ca exemplu

DDP este un produs nou pe piața produselor de securitate a informațiilor; aceste soluții sunt vechi de doar câțiva ani și până acum doar sectorul corporativ și le poate permite. Dar întreprinderile mici și mijlocii vor putea în curând să profite de Deception prin închirierea DDP de la furnizori specializați „ca serviciu”. Această opțiune este și mai convenabilă, deoarece nu este nevoie de personalul dumneavoastră înalt calificat.

Principalele avantaje ale tehnologiei Deception sunt prezentate mai jos:

  • Autenticitate (autenticitate). Tehnologia Deception este capabilă să reproducă un mediu IT complet autentic al unei companii, emulând calitativ sisteme de operare, IoT, POS, sisteme specializate (medicale, industriale etc.), servicii, aplicații, acreditări etc. Momelile sunt amestecate cu grijă cu mediul de lucru, iar un atacator nu le va putea identifica ca honeypots.

  • introducerea. DDP-urile folosesc învățarea automată (ML) în munca lor. Cu ajutorul ML, sunt asigurate simplitatea, flexibilitatea în setări și eficiența implementării Deception. „Capcanele” și „momeliile” sunt actualizate foarte rapid, atrăgând un atacator în infrastructura IT „falsă” a companiei, iar între timp, sistemele avansate de analiză bazate pe inteligența artificială pot detecta acțiunile active ale hackerilor și le pot preveni (de exemplu, un încercarea de a accesa conturi frauduloase bazate pe Active Directory).

  • Ușurința de funcționare. Platformele moderne de înșelăciune distribuită sunt ușor de întreținut și gestionat. Acestea sunt de obicei gestionate printr-o consolă locală sau cloud, cu capabilități de integrare cu SOC (Centrul de operațiuni de securitate) corporativ prin intermediul API și cu multe controale de securitate existente. Întreținerea și operarea DDP nu necesită serviciile unor experți înalt calificați în securitatea informațiilor.

  • Scalabilitate. Înșelăciunea de securitate poate fi implementată în medii fizice, virtuale și cloud. De asemenea, DDP-urile funcționează cu succes cu medii specializate precum IoT, ICS, POS, SWIFT etc. Platformele Advanced Deception pot proiecta „tehnologii de înșelăciune” în birouri îndepărtate și în medii izolate, fără a fi nevoie de o implementare suplimentară completă a platformei.

  • Interacţiune. Folosind momeli puternice și atractive, bazate pe sisteme de operare reale și plasate inteligent în infrastructura IT reală, platforma Deception colectează informații extinse despre atacator. DDP se asigură apoi că alertele de amenințări sunt transmise, sunt generate rapoarte și că incidentele de securitate a informațiilor sunt răspuns automat.

  • Punctul de pornire al atacului. În Deception modernă, capcanele și momelile sunt plasate în raza de acțiune a rețelei, mai degrabă decât în ​​afara acesteia (cum este cazul honeypots). Acest model de implementare a momei împiedică atacatorul să le folosească ca punct de pârghie pentru a ataca infrastructura IT reală a companiei. Soluțiile mai avansate din clasa Deception au capabilități de rutare a traficului, astfel încât să puteți direcționa tot traficul atacatorului printr-o conexiune special dedicată. Acest lucru vă va permite să analizați activitatea atacatorilor fără a risca activele valoroase ale companiei.

  • Persuasivitatea „tehnologiilor de înșelăciune”. În etapa inițială a atacului, atacatorii colectează și analizează date despre infrastructura IT, apoi le folosesc pentru a se deplasa orizontal prin rețeaua corporativă. Cu ajutorul „tehnologiilor de înșelăciune”, atacatorul va cădea cu siguranță în „capcane” care îl vor îndepărta de bunurile reale ale organizației. DDP va analiza căile potențiale pentru a accesa acreditările într-o rețea corporativă și va oferi atacatorului „ținte captivante” în loc de acreditări reale. Aceste capacități au lipsit foarte mult în tehnologiile honeypot. (A se vedea figura 6).

Honeypot vs Deception folosind Xello ca exemplu

Înșelăciune VS Honeypot

Și, în sfârșit, ajungem la cel mai interesant moment al cercetării noastre. Vom încerca să evidențiem principalele diferențe dintre tehnologiile Deception și Honeypot. În ciuda unor asemănări, aceste două tehnologii sunt încă foarte diferite, de la ideea fundamentală până la eficiența operațională.

  1. Diferite idei de bază. După cum am scris mai sus, honeypot-urile sunt instalate ca „momeli” în jurul activelor valoroase ale companiei (în afara rețelei corporative), încercând astfel să distrage atenția atacatorilor. Tehnologia Honeypot se bazează pe înțelegerea infrastructurii unei organizații, dar honeypot-urile pot deveni un punct de plecare pentru lansarea unui atac asupra rețelei unei companii. Tehnologia Deception este dezvoltată ținând cont de punctul de vedere al atacatorului și vă permite să identificați un atac într-un stadiu incipient, astfel, specialiștii în securitatea informațiilor câștigă un avantaj semnificativ față de atacatori și câștigă timp.

  2. „Atracție” VS „Confuzie”. Atunci când folosiți honeypots, succesul depinde de atragerea atenției atacatorilor și de motivarea acestora să se deplaseze la ținta din honeypot. Aceasta înseamnă că atacatorul trebuie să ajungă în continuare la honeypot înainte de a-l putea opri. Astfel, prezența atacatorilor în rețea poate dura câteva luni sau mai mult, iar acest lucru va duce la scurgeri și deteriorarea datelor. DDP-urile imită calitativ infrastructura IT reală a unei companii; scopul implementării lor nu este doar de a atrage atenția unui atacator, ci de a-l deruta astfel încât să piardă timp și resurse, dar să nu aibă acces la activele reale ale acestuia. companie.

  3. „Scalabilitate limitată” VS „Scalabilitate automată”. După cum sa menționat mai devreme, honeypots și honeynets au probleme de scalare. Acest lucru este dificil și costisitor și, pentru a crește numărul de honeypots într-un sistem corporativ, va trebui să adăugați noi computere, sistemul de operare, să cumpărați licențe și să alocați IP. De asemenea, este necesar să existe personal calificat pentru gestionarea unor astfel de sisteme. Platformele de înșelăciune se implementează automat pe măsură ce infrastructura dvs. crește, fără costuri generale semnificative.

  4. „Un număr mare de false pozitive” VS „fără false pozitive”. Esența problemei este că chiar și un simplu utilizator poate întâlni un honeypot, așa că „dezavantajul” acestei tehnologii este un număr mare de fals pozitive, care distrage atenția specialiștilor în securitatea informațiilor de la munca lor. „Momelile” și „capcanele” din DDP sunt ascunse cu grijă de utilizatorul obișnuit și sunt concepute numai pentru un atacator, astfel încât fiecare semnal de la un astfel de sistem este o notificare a unei amenințări reale și nu un fals pozitiv.

Concluzie

În opinia noastră, tehnologia Deception este o îmbunătățire uriașă față de tehnologia mai veche Honeypots. În esență, DDP a devenit o platformă cuprinzătoare de securitate care este ușor de implementat și gestionat.

Platformele moderne din această clasă joacă un rol important în detectarea cu acuratețe și răspunsul eficient la amenințările rețelei, iar integrarea lor cu alte componente ale stivei de securitate crește nivelul de automatizare, crește eficiența și eficacitatea răspunsului la incident. Platformele de înșelăciune se bazează pe autenticitate, scalabilitate, ușurință de gestionare și integrare cu alte sisteme. Toate acestea oferă un avantaj semnificativ în viteza de răspuns la incidentele de securitate a informațiilor.

De asemenea, pe baza observațiilor de pentestere ale companiilor în care platforma Xello Deception a fost implementată sau pilotată, putem trage concluzii că chiar și pentesterii cu experiență nu pot recunoaște adesea momeala în rețeaua corporativă și eșuează atunci când cad în capcanele puse. Acest fapt confirmă încă o dată eficacitatea Deception și marile perspective care se deschid pentru această tehnologie în viitor.

Testarea produsului

Dacă ești interesat de platforma Deception, atunci suntem gata efectuează testarea comună.

Rămâneți pe fază pentru actualizări pe canalele noastre (TelegramăFacebookVKTS Solution Blog)!

Sursa: www.habr.com

Adauga un comentariu