Honeypot vs Deception na príklade Xello

Na Habrém je už niekoľko článkov o Honeypot a Deception technológiách (Článok 1, Článok 2). Stále sa však stretávame s nepochopením rozdielu medzi týmito triedami ochranných prostriedkov. Za to naši kolegovia z Ahoj Deception (prvý ruský vývojár Podvádzanie platformy) sa rozhodli podrobne popísať rozdiely, výhody a architektonické vlastnosti týchto riešení.

Poďme zistiť, čo sú „honeypot“ a „klamy“:

„Technológie podvodov“ sa na trhu systémov informačnej bezpečnosti objavili pomerne nedávno. Niektorí odborníci však stále považujú Bezpečnostný podvod len za pokročilejšie honeypoty.

V tomto článku sa pokúsime zdôrazniť podobnosti a zásadné rozdiely medzi týmito dvoma riešeniami. V prvej časti si povieme o honeypotu, ako sa táto technológia vyvinula a aké sú jej výhody a nevýhody. A v druhej časti sa budeme podrobne venovať princípom fungovania platforiem na vytváranie distribuovanej infraštruktúry návnad (angličtina, Distributed Deception Platform - DDP).

Základným princípom, ktorý je základom honeypotov, je vytváranie pascí pre hackerov. Úplne prvé riešenia Deception boli vyvinuté na rovnakom princípe. Moderné DDP sú však výrazne lepšie ako honeypoty, a to tak z hľadiska funkčnosti, ako aj účinnosti. Platformy klamania zahŕňajú: návnady, pasce, návnady, aplikácie, dáta, databázy, Active Directory. Moderné DDP môžu poskytnúť výkonné funkcie na detekciu hrozieb, analýzu útokov a automatizáciu odozvy.

Deception je teda technika na simuláciu podnikovej IT infraštruktúry a zavádzanie hackerov. Výsledkom je, že takéto platformy umožňujú zastaviť útoky skôr, ako spôsobia značné škody na majetku spoločnosti. Honeypoty, samozrejme, nemajú takú širokú funkcionalitu a takú úroveň automatizácie, takže ich používanie si vyžaduje vyššiu kvalifikáciu zamestnancov oddelení informačnej bezpečnosti.

1. Honeypots, Honeynets a Sandboxing: čo sú a ako sa používajú

Termín „honeypots“ bol prvýkrát použitý v roku 1989 v knihe Clifforda Stolla „The Cuckoo's Egg“, ktorá opisuje udalosti vystopovania hackera v Lawrence Berkeley National Laboratory (USA). Túto myšlienku uviedol do praxe v roku 1999 Lance Spitzner, špecialista na informačnú bezpečnosť zo Sun Microsystems, ktorý založil výskumný projekt Honeynet Project. Prvé honeypoty boli veľmi náročné na zdroje, náročné na nastavenie a údržbu.

Poďme sa bližšie pozrieť na to, čo to je lákadlá и medové siete. Honeypots sú individuálni hostitelia, ktorých účelom je prilákať útočníkov, aby prenikli do siete spoločnosti a pokúsili sa ukradnúť cenné údaje, ako aj rozšíriť oblasť pokrytia siete. Honeypot (v doslovnom preklade „sud medu“) je špeciálny server so sadou rôznych sieťových služieb a protokolov, ako sú HTTP, FTP atď. (pozri obr. 1).

Ak skombinujete niekoľko lákadlá do siete, potom získame efektívnejší systém honeynet, čo je emulácia podnikovej siete (webový server, súborový server a ďalšie sieťové komponenty). Toto riešenie vám umožňuje pochopiť stratégiu útočníkov a uviesť ich do omylu. Typický honeynet spravidla funguje paralelne s pracovnou sieťou a je od nej úplne nezávislý. Takáto „sieť“ môže byť zverejnená na internete prostredníctvom samostatného kanála, pričom jej možno prideliť aj samostatný rozsah IP adries (pozri obr. 2).

Účelom použitia honeynetu je ukázať hackerovi, že údajne prenikol do podnikovej siete organizácie, v skutočnosti je útočník v „izolovanom prostredí“ a pod prísnym dohľadom špecialistov na informačnú bezpečnosť (pozri obr. 3).

Tu musíme spomenúť aj taký nástroj ako „pieskovisko"(Angličtina, pieskovisko), ktorý útočníkom umožňuje inštalovať a spúšťať malvér v izolovanom prostredí, kde môže IT monitorovať ich aktivity, identifikovať potenciálne riziká a prijať vhodné protiopatrenia. V súčasnosti sa sandboxing zvyčajne implementuje na vyhradených virtuálnych strojoch na virtuálnom hostiteľovi. Treba však poznamenať, že sandboxing iba ukazuje, ako sa správajú nebezpečné a škodlivé programy, zatiaľ čo honeynet pomáha špecialistom analyzovať správanie „nebezpečných hráčov“.

Zjavnou výhodou honeynetov je, že zavádzajú útočníkov, plytvajú ich energiou, zdrojmi a časom. Výsledkom je, že namiesto skutočných cieľov útočia na falošné a môžu prestať útočiť na sieť bez toho, aby čokoľvek dosiahli. Najčastejšie sa technológie honeynetov používajú vo vládnych agentúrach a veľkých korporáciách, finančných organizáciách, pretože práve tieto štruktúry sa ukázali byť cieľom veľkých kybernetických útokov. Malé a stredné podniky (SMB) však tiež potrebujú účinné nástroje na predchádzanie incidentom v oblasti informačnej bezpečnosti, ale použitie honeynetov v sektore SMB nie je také jednoduché kvôli nedostatku kvalifikovaného personálu na takúto komplexnú prácu.

Obmedzenia Honeypots a Honeynets riešení

Prečo dnes nie sú honeypoty a honeynety najlepšími riešeniami na boj proti útokom? Treba poznamenať, že útoky sú čoraz rozsiahlejšie, technicky zložitejšie a schopné spôsobiť vážne škody na IT infraštruktúre organizácie a počítačová kriminalita dosiahla úplne inú úroveň a predstavuje vysoko organizované tieňové obchodné štruktúry vybavené všetkými potrebnými zdrojmi. K tomu treba prirátať „ľudský faktor“ (chyby v nastaveniach softvéru a hardvéru, počínanie insiderov a pod.), takže používať len technológiu na predchádzanie útokom už v súčasnosti nestačí.

Nižšie uvádzame hlavné obmedzenia a nevýhody honeypotov (honeynetov):

1. Honeypoty boli pôvodne vyvinuté na identifikáciu hrozieb, ktoré sa nachádzajú mimo podnikovej siete, sú určené skôr na analýzu správania útočníkov a nie sú určené na rýchlu reakciu na hrozby.

2. Útočníci sa už spravidla naučili rozpoznávať emulované systémy a vyhýbať sa honeypotom.

3. Honeynety (honeypoty) majú extrémne nízku úroveň interaktivity a interakcie s inými bezpečnostnými systémami, v dôsledku čoho je pomocou honeypotov ťažké získať podrobné informácie o útokoch a útočníkoch, a teda efektívne a rýchlo reagovať na incidenty informačnej bezpečnosti . Špecialisti na informačnú bezpečnosť navyše dostávajú veľké množstvo falošných upozornení na hrozby.

4. V niektorých prípadoch môžu hackeri použiť kompromitovaný honeypot ako východiskový bod pre pokračovanie v útoku na sieť organizácie.

5. Problémy často vznikajú so škálovateľnosťou honeypotov, vysokou prevádzkovou záťažou a konfiguráciou takýchto systémov (vyžadujú vysokokvalifikovaných špecialistov, nemajú pohodlné rozhranie na správu a pod.). Pri nasadzovaní honeypotov v špecializovaných prostrediach ako IoT, POS, cloudové systémy atď. sú veľké ťažkosti.

2. Technológia klamania: výhody a základné princípy fungovania

Po preštudovaní všetkých výhod a nevýhod honeypotov sme dospeli k záveru, že je potrebný úplne nový prístup k reakcii na incidenty informačnej bezpečnosti, aby sa vyvinula rýchla a adekvátna reakcia na akcie útočníkov. A takýmto riešením je technológia Kybernetický podvod (bezpečnostný podvod).

Terminológia „Kybernetický podvod“, „Bezpečnostný podvod“, „Technológia podvodu“, „Platforma distribuovaného podvodu“ (DDP) je relatívne nová a objavila sa nie tak dávno. Všetky tieto výrazy v skutočnosti znamenajú použitie „technológií klamania“ alebo „techniky na simuláciu IT infraštruktúry a dezinformácií útočníkov“. Najjednoduchšie riešenia Deception sú rozvinutím myšlienok honeypotov, len na technologicky vyspelejšej úrovni, ktorá zahŕňa väčšiu automatizáciu detekcie hrozieb a reakcie na ne. Na trhu však už existujú seriózne riešenia triedy DDP, ktoré sa dajú ľahko nasadiť a škálovať a majú tiež vážny arzenál „pascí“ a „návnad“ pre útočníkov. Napríklad Deception vám umožňuje emulovať objekty IT infraštruktúry, ako sú databázy, pracovné stanice, smerovače, prepínače, bankomaty, servery a SCADA, lekárske vybavenie a internet vecí.

Ako funguje platforma distribuovaného podvodu? Po nasadení DDP bude IT infraštruktúra organizácie vybudovaná akoby z dvoch vrstiev: prvá vrstva je skutočná infraštruktúra spoločnosti a druhá je „emulované“ prostredie pozostávajúce z návnad a návnad, návnad), ktoré sa nachádzajú na skutočných fyzických sieťových zariadeniach (pozri obr. 4).

Útočník môže napríklad objaviť falošné databázy s „dôvernými dokumentmi“, falošnými povereniami údajne „privilegovaných používateľov“ – to všetko sú návnady, ktoré môžu zaujať porušovateľov, čím odvrátia ich pozornosť od skutočných informačných aktív spoločnosti (pozri obrázok 5).

DDP je novinkou na trhu produktov informačnej bezpečnosti, tieto riešenia sú staré len niekoľko rokov a zatiaľ si ich môže dovoliť len firemný sektor. Malé a stredné podniky však čoskoro budú môcť využívať výhody podvodu aj tým, že si prenajmú DDP od špecializovaných poskytovateľov „ako službu“. Táto možnosť je ešte výhodnejšia, pretože nie je potrebný vlastný vysokokvalifikovaný personál.

Hlavné výhody technológie Deception sú uvedené nižšie:

• autenticita (pravosť). Technológia podvodu je schopná reprodukovať úplne autentické IT prostredie spoločnosti, kvalitatívne emulovať operačné systémy, IoT, POS, špecializované systémy (medicínske, priemyselné atď.), služby, aplikácie, poverenia atď. Návnady sú starostlivo zmiešané s pracovným prostredím a útočník ich nebude môcť identifikovať ako honeypoty.

• Implementácia. DDP využívajú pri svojej práci strojové učenie (ML). Pomocou ML je zabezpečená jednoduchosť, flexibilita v nastaveniach a efektívnosť implementácie Deception. „Pasce“ a „návnady“ sa aktualizujú veľmi rýchlo, čím lákajú útočníka do „falošnej“ IT infraštruktúry spoločnosti a medzičasom dokážu pokročilé analytické systémy založené na umelej inteligencii odhaliť aktívne akcie hackerov a zabrániť im (napr. pokus o prístup k podvodným účtom založeným na Active Directory).

• Jednoduchá obsluha. Moderné platformy distribuovaného podvodu sa ľahko udržiavajú a spravujú. Zvyčajne sú spravované prostredníctvom lokálnej alebo cloudovej konzoly, s možnosťami integrácie s podnikovým SOC (Security Operations Center) cez API a s mnohými existujúcimi bezpečnostnými kontrolami. Údržba a prevádzka DDP si nevyžaduje služby vysokokvalifikovaných odborníkov na informačnú bezpečnosť.

• Škálovateľnosť. Bezpečnostné klamstvo je možné nasadiť vo fyzickom, virtuálnom a cloudovom prostredí. DDP tiež úspešne spolupracujú so špecializovanými prostrediami, ako sú IoT, ICS, POS, SWIFT atď. Pokročilé platformy Deception môžu projektovať „technológie podvodov“ do vzdialených kancelárií a izolovaných prostredí bez potreby ďalšieho nasadenia celej platformy.

• Interakcie. Platforma Deception pomocou výkonných a atraktívnych návnad, ktoré sú založené na skutočných operačných systémoch a šikovne umiestnené medzi skutočnou IT infraštruktúrou, zhromažďuje rozsiahle informácie o útočníkovi. DDP potom zaisťuje, že sa prenášajú výstrahy o hrozbách, generujú sa správy a automaticky sa reagujú na incidenty bezpečnosti informácií.

• Počiatočný bod útoku. V modernom podvode sú pasce a návnady umiestnené v dosahu siete a nie mimo nej (ako je to v prípade honeypotov). Tento model nasadenia návnady bráni útočníkovi použiť ich ako pákový bod na útok na skutočnú IT infraštruktúru spoločnosti. Pokročilejšie riešenia triedy Deception majú možnosti smerovania premávky, takže môžete všetku komunikáciu útočníka nasmerovať cez špeciálne vyhradené pripojenie. To vám umožní analyzovať aktivitu útočníkov bez toho, aby ste riskovali cenné aktíva spoločnosti.

• Presvedčivosť „technológií klamania“. V počiatočnej fáze útoku útočníci zhromažďujú a analyzujú údaje o IT infraštruktúre a potom ich používajú na horizontálny pohyb v podnikovej sieti. Pomocou „technológií podvodu“ sa útočník určite dostane do „pascí“, ktoré ho odvedú od skutočných aktív organizácie. DDP bude analyzovať potenciálne cesty k prístupu k povereniam v podnikovej sieti a poskytne útočníkovi „nástražné ciele“ namiesto skutočných poverení. Tieto schopnosti v technológiách honeypotov veľmi chýbali. (Pozri obrázok 6).

Podvod VS Honeypot

A konečne sa dostávame k najzaujímavejšiemu momentu nášho výskumu. Pokúsime sa poukázať na hlavné rozdiely medzi technológiami Deception a Honeypot. Napriek niektorým podobnostiam sú tieto dve technológie stále veľmi odlišné, od základnej myšlienky až po prevádzkovú efektivitu.

1. Rôzne základné myšlienky. Ako sme písali vyššie, honeypoty sú inštalované ako „návnady“ okolo cenných firemných aktív (mimo firemnej siete), čím sa snažia odvrátiť pozornosť útočníkov. Technológia Honeypot je založená na pochopení infraštruktúry organizácie, ale honeypoty sa môžu stať východiskovým bodom pre začatie útoku na sieť spoločnosti. Technológia klamania je vyvinutá s prihliadnutím na pohľad útočníka a umožňuje identifikovať útok v počiatočnom štádiu, čím špecialisti na informačnú bezpečnosť získajú významnú výhodu nad útočníkmi a získajú čas.

2. "Príťažlivosť" VS "Zmätok". Pri použití honeypotov závisí úspech od upútania pozornosti útočníkov a ich ďalšej motivácie k pohybu k cieľu v honeypotu. To znamená, že útočník musí ešte dosiahnuť honeypot, kým ho zastavíte. Prítomnosť útočníkov v sieti teda môže trvať niekoľko mesiacov aj viac, čo povedie k úniku a poškodeniu dát. DDP kvalitatívne napodobňujú skutočnú IT infraštruktúru firmy, účelom ich implementácie nie je len upútať pozornosť útočníka, ale zmiasť ho tak, aby plytval časom a zdrojmi, ale nezískal prístup k skutočným aktívam firmy. spoločnosti.

3. „Obmedzená škálovateľnosť“ VS „automatická škálovateľnosť“. Ako už bolo uvedené, honeypoty a honeynety majú problémy s mierkou. Je to ťažké a drahé a na zvýšenie počtu honeypotov v podnikovom systéme budete musieť pridať nové počítače, OS, kúpiť licencie a prideliť IP. Okrem toho je tiež potrebné mať kvalifikovaný personál na riadenie takýchto systémov. Platformy podvodov sa automaticky nasadzujú pri rozširovaní vašej infraštruktúry bez výraznej réžie.

4. „Veľký počet falošne pozitívnych výsledkov“ VS „žiadne falošné pozitívne výsledky“. Podstatou problému je, že s honeypotom sa môže stretnúť aj jednoduchý používateľ, takže „nevýhodou“ tejto technológie je veľké množstvo falošných poplachov, ktoré odvádzajú pozornosť špecialistov na informačnú bezpečnosť od ich práce. „Návnady“ a „pasce“ v DDP sú pred bežným používateľom starostlivo skryté a sú určené len pre útočníka, takže každý signál z takéhoto systému je upozornením na skutočnú hrozbu, a nie falošne pozitívny.

Záver

Podľa nášho názoru je technológia Deception obrovským zlepšením oproti staršej technológii Honeypots. V podstate sa DDP stala komplexnou bezpečnostnou platformou, ktorú je možné jednoducho nasadiť a spravovať.

Moderné platformy tejto triedy zohrávajú dôležitú úlohu pri presnej detekcii a efektívnej reakcii na sieťové hrozby a ich integrácia s ostatnými komponentmi bezpečnostného stacku zvyšuje úroveň automatizácie, zvyšuje efektivitu a efektivitu reakcie na incidenty. Platformy pre podvody sú založené na autentickosti, škálovateľnosti, jednoduchosti správy a integrácii s inými systémami. To všetko dáva významnú výhodu v rýchlosti reakcie na incidenty informačnej bezpečnosti.

Aj na základe pozorovaní pentestov spoločností, kde bola platforma Xello Deception implementovaná alebo pilotovaná, môžeme vyvodiť závery, že ani skúsení pentestri často nedokážu rozpoznať návnadu v podnikovej sieti a zlyhajú, keď chytia nastražené pasce. Tento fakt opäť potvrdzuje účinnosť Deception a veľké vyhliadky, ktoré sa tejto technológii otvárajú do budúcnosti.

Testovanie produktu

Ak máte záujem o platformu Deception, sme pripravení vykonať spoločné testovanie.

Zostaňte naladení na aktualizácie v našich kanáloch (telegram, facebook, VK, Blog riešení TS)!

Zdroj: hab.com