Honeypot vs Deception na primeru Xello

Na Habréju je že več člankov o tehnologijah Honeypot in Deception (1 članek, 2 članek). Še vedno pa se soočamo s pomanjkanjem razumevanja razlike med temi razredi zaščitne opreme. Za to so naši kolegi iz Pozdravljena Prevara (prvi ruski razvijalec Prevara platforme) se je odločil podrobno opisati razlike, prednosti in arhitekturne značilnosti teh rešitev.

Ugotovimo, kaj so "honeypots" in "prevare":

"Tehnologije zavajanja" so se na trgu sistemov informacijske varnosti pojavile relativno nedavno. Vendar pa nekateri strokovnjaki še vedno menijo, da je Varnostno zavajanje le naprednejši medenjaki.

V tem članku bomo poskušali izpostaviti tako podobnosti kot temeljne razlike med tema dvema rešitvama. V prvem delu bomo govorili o honeypotu, kako se je ta tehnologija razvila in kakšne so njene prednosti in slabosti. In v drugem delu se bomo podrobno posvetili načelom delovanja platform za ustvarjanje porazdeljene infrastrukture vab (angleško, Distributed Deception Platform - DDP).

Osnovno načelo honeypots je ustvariti pasti za hekerje. Prve rešitve Deception so bile razvite po istem principu. Toda sodobni DDP so bistveno boljši od honeypots, tako v funkcionalnosti kot učinkovitosti. Platforme za prevare vključujejo: vabe, pasti, vabe, aplikacije, podatke, baze podatkov, Active Directory. Sodobni DDP lahko zagotovijo zmogljive zmogljivosti za odkrivanje groženj, analizo napadov in avtomatizacijo odzivanja.

Prevara je torej tehnika za simulacijo informacijske infrastrukture podjetja in zavajanje hekerjev. Posledično takšne platforme omogočajo zaustavitev napadov, preden povzročijo znatno škodo premoženju podjetja. Honeypots seveda nimajo tako široke funkcionalnosti in takšne stopnje avtomatizacije, zato njihova uporaba zahteva večjo usposobljenost zaposlenih v oddelkih za informacijsko varnost.

1. Honeypots, Honeynets in Sandboxing: kaj so in kako se uporabljajo

Izraz "honeypots" je bil prvič uporabljen leta 1989 v knjigi Clifforda Stolla "The Cuckoo's Egg", ki opisuje dogodke izsleditve hekerja v nacionalnem laboratoriju Lawrence Berkeley (ZDA). To idejo je leta 1999 uresničil Lance Spitzner, strokovnjak za informacijsko varnost pri Sun Microsystems, ki je ustanovil raziskovalni projekt Honeynet Project. Prvi honeypots so bili zelo intenzivni, težko jih je bilo postaviti in vzdrževati.

Oglejmo si podrobneje, kaj je honeypots и honeynets. Honeypots so posamezni gostitelji, katerih namen je privabiti napadalce, da prodrejo v omrežje podjetja in poskušajo ukrasti dragocene podatke, ter razširiti območje pokritosti omrežja. Honeypot (dobesedno preveden kot »sod medu«) je poseben strežnik z naborom različnih omrežnih storitev in protokolov, kot so HTTP, FTP itd. (glej sliko 1).

Če združite več honeypots v omrežje, potem bomo dobili učinkovitejši sistem honeynet, ki je emulacija korporativnega omrežja podjetja (spletni strežnik, datotečni strežnik in druge omrežne komponente). Ta rešitev vam omogoča razumevanje strategije napadalcev in njihovo zavajanje. Tipični honeynet praviloma deluje vzporedno z delovnim omrežjem in je od njega popolnoma neodvisen. Takšno "omrežje" je mogoče objaviti na internetu prek ločenega kanala, lahko pa mu dodelite tudi ločen obseg naslovov IP (glej sliko 2).

Bistvo uporabe honeyneta je pokazati hekerju, da je domnevno prodrl v korporativno omrežje organizacije; v resnici je napadalec v "izoliranem okolju" in pod strogim nadzorom strokovnjakov za informacijsko varnost (glej sliko 3).

Tukaj moramo omeniti tudi orodje, kot je "peskovnik"(Angleščina, peskovnik), ki napadalcem omogoča namestitev in zagon zlonamerne programske opreme v izoliranem okolju, kjer lahko IT spremlja njihove dejavnosti, da prepozna potencialna tveganja in sprejme ustrezne protiukrepe. Trenutno je peskovnik običajno implementiran na namenskih virtualnih strojih na virtualnem gostitelju. Vendar je treba opozoriti, da peskovnik samo pokaže, kako se obnašajo nevarni in zlonamerni programi, medtem ko honeynet pomaga strokovnjaku pri analizi obnašanja »nevarnih igralcev«.

Očitna prednost honeynetov je, da zavajajo napadalce, zapravljajo njihovo energijo, sredstva in čas. Posledično namesto pravih tarč napadajo lažne in lahko prenehajo z napadi na omrežje, ne da bi kar koli dosegli. Najpogosteje se tehnologije honeynets uporabljajo v vladnih agencijah in velikih korporacijah, finančnih organizacijah, saj so to strukture, ki se izkažejo za tarče večjih kibernetskih napadov. Vendar tudi mala in srednje velika podjetja (SMB) potrebujejo učinkovita orodja za preprečevanje incidentov na področju informacijske varnosti, vendar honeynet v sektorju SMB ni tako enostaven za uporabo zaradi pomanjkanja usposobljenega osebja za tako kompleksno delo.

Omejitve rešitev Honeypots in Honeynets

Zakaj honeypots in honeynets danes niso najboljše rešitve za boj proti napadom? Treba je opozoriti, da napadi postajajo vse bolj obsežni, tehnično zapleteni in lahko povzročijo resno škodo IT infrastrukturi organizacije, kibernetska kriminaliteta pa je dosegla povsem drugo raven in predstavlja visoko organizirane poslovne strukture v senci, opremljene z vsemi potrebnimi viri. K temu je treba dodati še »človeški faktor« (napake v nastavitvah programske in strojne opreme, dejanja insajderjev ipd.), zato uporaba samo tehnologije za preprečevanje napadov trenutno ne zadostuje več.

Spodaj navajamo glavne omejitve in slabosti honeypotov (honeynet):

1. Honeypots so bili prvotno razviti za prepoznavanje groženj, ki so zunaj korporativnega omrežja, namenjeni so bolj analizi vedenja napadalcev in niso zasnovani za hiter odziv na grožnje.

2. Napadalci so se praviloma že naučili prepoznati emulirane sisteme in se izogibati honeypotom.

3. Honeyneti (honeypots) imajo izjemno nizko stopnjo interaktivnosti in interakcije z drugimi varnostnimi sistemi, zaradi česar je z uporabo honeypotov težko pridobiti podrobne informacije o napadih in napadalcih ter se s tem učinkovito in hitro odzvati na informacijsko varnostne incidente. . Poleg tega strokovnjaki za informacijsko varnost prejmejo veliko število lažnih opozoril o grožnjah.

4. V nekaterih primerih lahko hekerji uporabijo ogroženo honeypot kot izhodišče za nadaljevanje napada na omrežje organizacije.

5. Težave se pogosto pojavljajo pri razširljivosti honeypotov, visoki operativni obremenitvi in ​​konfiguraciji takih sistemov (zahtevajo visoko usposobljene strokovnjake, nimajo priročnega vmesnika za upravljanje itd.). Obstajajo velike težave pri uvajanju honeypots v specializiranih okoljih, kot so IoT, POS, sistemi v oblaku itd.

2. Tehnologija zavajanja: prednosti in osnovni principi delovanja

Ko smo preučili vse prednosti in slabosti honeypotov, smo prišli do zaključka, da je potreben popolnoma nov pristop k odzivanju na incidente informacijske varnosti, da bi razvili hiter in ustrezen odziv na dejanja napadalcev. In taka rešitev je tehnologija Kibernetska prevara (varnostna prevara).

Terminologija "kibernetska prevara", "varnostna prevara", "tehnologija prevare", "platforma porazdeljene prevare" (DDP) je relativno nova in se je pojavila ne tako dolgo nazaj. Pravzaprav vsi ti izrazi pomenijo uporabo »tehnologij zavajanja« ali »tehnik za simulacijo IT infrastrukture in dezinformacije napadalcev«. Najenostavnejše Deception rešitve so razvoj idej honeypots, le da na tehnološko naprednejši ravni, ki vključuje večjo avtomatizacijo zaznavanja groženj in odzivanja nanje. Vendar pa na trgu že obstajajo resne rešitve razreda DDP, ki jih je enostavno namestiti in prilagoditi ter imajo tudi resen arzenal "pasti" in "vab" za napadalce. Na primer, Deception vam omogoča posnemanje objektov IT infrastrukture, kot so baze podatkov, delovne postaje, usmerjevalniki, stikala, bankomati, strežniki in SCADA, medicinska oprema in IoT.

Kako deluje Distributed Deception Platform? Po uvedbi DDP bo IT infrastruktura organizacije zgrajena kot iz dveh plasti: prva plast je prava infrastruktura podjetja, druga pa je »emulirano« okolje, sestavljeno iz vab in vab), ki se nahajajo na resničnih fizičnih omrežnih napravah (glej sliko 4).

Napadalec lahko na primer odkrije lažne zbirke podatkov z »zaupnimi dokumenti«, lažnimi poverilnicami domnevno »privilegiranih uporabnikov« – vse to so vabe, ki lahko zainteresirajo kršitelje in tako preusmerijo njihovo pozornost od resničnih informacij podjetja (glej sliko 5).

DDP je nov produkt na trgu produktov za informacijsko varnost, te rešitve so stare šele nekaj let in si jih zaenkrat lahko privošči le podjetniški sektor. Toda mala in srednja podjetja bodo kmalu lahko izkoristila tudi Deception z najemom DDP pri specializiranih ponudnikih »kot storitev«. Ta možnost je še bolj priročna, saj ni potrebe po lastnem visokokvalificiranem osebju.

Glavne prednosti tehnologije Deception so prikazane spodaj:

• Pristnost (avtentičnost). Tehnologija zavajanja je sposobna reproducirati popolnoma avtentično IT okolje podjetja, ki kvalitativno posnema operacijske sisteme, IoT, POS, specializirane sisteme (medicinske, industrijske itd.), storitve, aplikacije, poverilnice itd. Vabe so skrbno pomešane z delovnim okoljem in napadalec jih ne bo mogel prepoznati kot medene lonce.

• Izvajanje. DDP pri svojem delu uporabljajo strojno učenje (ML). S pomočjo ML je zagotovljena enostavnost, prilagodljivost nastavitev in učinkovitost implementacije Deceptiona. »Pasti« in »vabe« se zelo hitro posodabljajo in zvabijo napadalca v »lažno« IT infrastrukturo podjetja, medtem pa lahko napredni analitični sistemi, ki temeljijo na umetni inteligenci, zaznajo aktivna dejanja hekerjev in jih preprečijo (npr. poskus dostopa do goljufivih računov, ki temeljijo na Active Directory).

• Enostavno delovanje. Sodobne porazdeljene platforme za zavajanje so preproste za vzdrževanje in upravljanje. Običajno se upravljajo prek lokalne konzole ali konzole v oblaku, z zmožnostmi integracije s korporativnim SOC (Security Operations Center) prek API-ja in s številnimi obstoječimi varnostnimi kontrolami. Vzdrževanje in delovanje DDP ne zahteva storitev visoko usposobljenih strokovnjakov za informacijsko varnost.

• Razširljivost. Varnostno prevaro je mogoče uporabiti v fizičnih, virtualnih in oblačnih okoljih. DDP-ji uspešno delujejo tudi s specializiranimi okolji, kot so IoT, ICS, POS, SWIFT itd. Napredne platforme za zavajanje lahko projicirajo »tehnologije zavajanja« v oddaljene pisarne in izolirana okolja brez potrebe po dodatni uvedbi celotne platforme.

• Interakcija. Platforma Deception z uporabo zmogljivih in privlačnih vab, ki temeljijo na resničnih operacijskih sistemih in so pametno umeščena v resnično IT infrastrukturo, zbira obsežne informacije o napadalcu. DDP nato zagotovi, da se opozorila o grožnjah prenašajo, poročila generirajo in se samodejno odzovejo na varnostne incidente informacij.

• Začetna točka napada. V sodobnem Deceptionu so pasti in vabe postavljene znotraj dosega omrežja, ne pa zunaj njega (kot je v primeru medenih lončkov). Ta model uvajanja vabe preprečuje napadalcu, da bi jih uporabil kot vzvodno točko za napad na resnično IT infrastrukturo podjetja. Naprednejše rešitve razreda Deception imajo zmožnosti usmerjanja prometa, tako da lahko ves promet napadalcev usmerite prek posebej namenske povezave. To vam bo omogočilo analizo dejavnosti napadalcev, ne da bi tvegali dragocena sredstva podjetja.

• Prepričljivost »tehnologij zavajanja«. V začetni fazi napada napadalci zbirajo in analizirajo podatke o IT infrastrukturi, nato pa jih uporabijo za horizontalno premikanje po omrežju podjetja. S pomočjo »tehnologij zavajanja« se bo napadalec zagotovo ujel v »pasti«, ki ga bodo odpeljale stran od resničnega premoženja organizacije. DDP bo analiziral možne poti za dostop do poverilnic v omrežju podjetja in napadalcu ponudil »tarče za vabo« namesto pravih poverilnic. Te zmožnosti so bile zelo pomanjkljive v tehnologijah honeypot. (Glej sliko 6).

Prevara VS Honeypot

In končno smo prišli do najbolj zanimivega trenutka našega raziskovanja. Poskušali bomo izpostaviti glavne razlike med tehnologijama Deception in Honeypot. Kljub nekaterim podobnostim se ti dve tehnologiji še vedno zelo razlikujeta, od osnovne ideje do učinkovitosti delovanja.

1. Različne osnovne ideje. Kot smo zapisali zgoraj, so honeypots nameščeni kot »vabe« okoli dragocenega premoženja podjetja (zunaj korporativnega omrežja) in tako poskušajo odvrniti napadalce. Tehnologija Honeypot temelji na razumevanju infrastrukture organizacije, vendar lahko honeypot postane izhodišče za začetek napada na omrežje podjetja. Tehnologija zavajanja je razvita ob upoštevanju vidika napadalca in vam omogoča, da prepoznate napad v zgodnji fazi, tako da strokovnjaki za informacijsko varnost pridobijo pomembno prednost pred napadalci in pridobijo čas.

2. "Privlačnost" VS "Zmeda". Pri uporabi honeypotov je uspeh odvisen od pritegovanja pozornosti napadalcev in njihovega nadaljnjega motiviranja, da se pomaknejo do tarče v honeypotu. To pomeni, da mora napadalec še vedno doseči honeypot, preden ga lahko ustavite. Tako lahko prisotnost napadalcev v omrežju traja več mesecev ali več, kar bo povzročilo uhajanje podatkov in škodo. DDP kvalitativno posnemajo realno IT infrastrukturo podjetja, namen njihove implementacije ni le pritegniti pozornost napadalca, temveč ga zmedeti, da zapravlja čas in sredstva, ne pa dostopa do realnega premoženja podjetja. podjetje.

3. "Omejena razširljivost" VS "samodejna razširljivost". Kot smo že omenili, imajo honeypots in honeynets težave s skaliranjem. To je težko in drago in da bi povečali število honeypots v sistemu podjetja, boste morali dodati nove računalnike, OS, kupiti licence in dodeliti IP. Poleg tega je za upravljanje takih sistemov potrebno tudi usposobljeno osebje. Zavajajoče platforme se samodejno uvedejo, ko se vaša infrastruktura poveča, brez večjih stroškov.

4. »Veliko število lažno pozitivnih rezultatov« V primerjavi z »ni lažnih pozitivnih rezultatov«. Bistvo problema je v tem, da lahko tudi preprost uporabnik naleti na honeypot, zato je "slaba stran" te tehnologije veliko število lažnih pozitivnih rezultatov, kar strokovnjake za informacijsko varnost odvrne od njihovega dela. »Vabe« in »pasti« v DDP so skrbno skrite pred povprečnim uporabnikom in so namenjene samo napadalcu, zato je vsak signal iz takega sistema obvestilo o resnični grožnji in ne lažno pozitivno.

Zaključek

Po našem mnenju je tehnologija Deception velik napredek v primerjavi s starejšo tehnologijo Honeypots. V bistvu je DDP postal celovita varnostna platforma, ki jo je enostavno namestiti in upravljati.

Sodobne platforme tega razreda igrajo pomembno vlogo pri natančnem odkrivanju in učinkovitem odzivanju na omrežne grožnje, njihova integracija z drugimi komponentami varnostnega sklada pa povečuje stopnjo avtomatizacije, povečuje učinkovitost in uspešnost odzivanja na incidente. Prevarantske platforme temeljijo na avtentičnosti, razširljivosti, enostavnosti upravljanja in integraciji z drugimi sistemi. Vse to daje pomembno prednost pri hitrosti odzivanja na informacijsko varnostne incidente.

Prav tako lahko na podlagi opazovanj pentestov podjetij, kjer je bila implementirana ali pilotirana platforma Xello Deception, sklepamo, da tudi izkušeni pentesterji pogosto ne morejo prepoznati vabe v korporativnem omrežju in zatajijo, ko se ujamejo v postavljene pasti. To dejstvo še enkrat potrjuje učinkovitost Deceptiona in velike možnosti, ki se tej tehnologiji odpirajo v prihodnosti.

Testiranje izdelkov

Če vas zanima platforma Deception, potem smo pripravljeni opraviti skupno testiranje.

Spremljajte novosti na naših kanalih (Telegram, Facebook , VK, Spletni dnevnik rešitev TS)!

Vir: www.habr.com