Honeypot vs Deception duke përdorur Xello si shembull

Ka tashmë disa artikuj në Habré rreth teknologjive Honeypot dhe Deception (Artikull 1, Artikull 2). Megjithatë, ne ende përballemi me mungesën e të kuptuarit të ndryshimit midis këtyre klasave të pajisjeve mbrojtëse. Për këtë, kolegët tanë nga Përshëndetje Mashtrim (zhvilluesi i parë rus Mashtrimi i platformës) vendosi të përshkruajë në detaje ndryshimet, avantazhet dhe veçoritë arkitekturore të këtyre zgjidhjeve.

Le të kuptojmë se çfarë janë "honeypots" dhe "mashtrimet":

"Teknologjitë e mashtrimit" u shfaqën në tregun e sistemeve të sigurisë së informacionit relativisht kohët e fundit. Megjithatë, disa ekspertë ende e konsiderojnë Mashtrimin e Sigurisë si vetëm honeypot më të avancuara.

Në këtë artikull ne do të përpiqemi të nxjerrim në pah si ngjashmëritë ashtu edhe ndryshimet themelore midis këtyre dy zgjidhjeve. Në pjesën e parë do të flasim për honeypot, si u zhvillua kjo teknologji dhe cilat janë avantazhet dhe disavantazhet e saj. Dhe në pjesën e dytë, ne do të ndalemi në detaje në parimet e funksionimit të platformave për krijimin e një infrastrukture të shpërndarë të mashtrimeve (Anglisht, Platforma e Mashtrimit të Shpërndar - DDP).

Parimi bazë që qëndron në themel të honeypots është krijimi i kurtheve për hakerat. Zgjidhjet e para të mashtrimit u zhvilluan në të njëjtin parim. Por DDP-të moderne janë dukshëm superiore ndaj honeypots, si në funksionalitet ashtu edhe në efikasitet. Platformat e mashtrimit përfshijnë: decoys, kurthe, joshje, aplikacione, të dhëna, baza të të dhënave, Active Directory. DDP-të moderne mund të ofrojnë aftësi të fuqishme për zbulimin e kërcënimeve, analizën e sulmit dhe automatizimin e përgjigjes.

Kështu, mashtrimi është një teknikë për simulimin e infrastrukturës së TI-së të një ndërmarrje dhe për të mashtruar hakerat. Si rezultat, platforma të tilla bëjnë të mundur ndalimin e sulmeve përpara se të shkaktojnë dëme të konsiderueshme në asetet e kompanisë. Honeypots, natyrisht, nuk kanë funksionalitet kaq të gjerë dhe një nivel të tillë automatizimi, kështu që përdorimi i tyre kërkon më shumë kualifikime nga punonjësit e departamenteve të sigurisë së informacionit.

1. Honeypots, Honeynets dhe Sandboxing: çfarë janë dhe si përdoren

Termi "honeypots" u përdor për herë të parë në vitin 1989 në librin e Clifford Stoll "The Cuckoo's Egg", i cili përshkruan ngjarjet e gjurmimit të një hakeri në Laboratorin Kombëtar Lawrence Berkeley (SHBA). Kjo ide u zbatua në vitin 1999 nga Lance Spitzner, një specialist i sigurisë së informacionit në Sun Microsystems, i cili themeloi projektin kërkimor të Projektit Honeynet. Honeypot-et e para ishin me shumë burime intensive, të vështira për t'u vendosur dhe mirëmbajtur.

Le të hedhim një vështrim më të afërt se çfarë është honeypots и rrjeta mjalti. Honeypots janë hostë individualë, qëllimi i të cilëve është të tërheqin sulmuesit që të depërtojnë në rrjetin e një kompanie dhe të përpiqen të vjedhin të dhëna të vlefshme, si dhe të zgjerojnë zonën e mbulimit të rrjetit. Honeypot (përkthyer fjalë për fjalë si "fuçi me mjaltë") është një server i veçantë me një grup shërbimesh dhe protokollesh të ndryshme të rrjetit, si HTTP, FTP, etj. (shih Fig. 1).

Nëse kombinoni disa honeypots në rrjet, atëherë do të kemi një sistem më efikas rrjetë mjalti, i cili është një emulim i rrjetit të korporatës së një kompanie (serveri në internet, serveri i skedarëve dhe komponentë të tjerë të rrjetit). Kjo zgjidhje ju lejon të kuptoni strategjinë e sulmuesve dhe t'i mashtroni ata. Një rrjet tipik honeynet, si rregull, funksionon paralelisht me rrjetin e punës dhe është plotësisht i pavarur prej tij. Një "rrjet" i tillë mund të publikohet në internet nëpërmjet një kanali të veçantë; gjithashtu mund të ndahet një gamë e veçantë adresash IP për të (shih Fig. 2).

Qëllimi i përdorimit të honeynet-it është t'i tregojë hakerit se ai supozohet se ka depërtuar në rrjetin e korporatës së organizatës; në fakt, sulmuesi është në një "mjedis të izoluar" dhe nën mbikëqyrjen e ngushtë të specialistëve të sigurisë së informacionit (shih Fig. 3).

Këtu duhet të përmendim edhe një mjet të tillë si "kuti rëre"(Anglisht, sandbox), i cili lejon sulmuesit të instalojnë dhe ekzekutojnë malware në një mjedis të izoluar ku IT mund të monitorojë aktivitetet e tyre për të identifikuar rreziqet e mundshme dhe për të marrë kundërmasat e duhura. Aktualisht, sandboxing zakonisht zbatohet në makina virtuale të dedikuara në një host virtual. Sidoqoftë, duhet të theksohet se sandboxing tregon vetëm sa të rrezikshme dhe keqdashëse sillen programet, ndërsa honeynet ndihmon një specialist të analizojë sjelljen e "lojtarëve të rrezikshëm".

Përfitimi i dukshëm i honeynets është se ata mashtrojnë sulmuesit, duke humbur energjinë, burimet dhe kohën e tyre. Si rezultat, në vend të objektivave realë, ata sulmojnë ato false dhe mund të ndalojnë së sulmuari rrjetin pa arritur asgjë. Më shpesh, teknologjitë honeynets përdoren në agjencitë qeveritare dhe korporatat e mëdha, organizatat financiare, pasi këto janë strukturat që rezultojnë të jenë objektiva për sulme të mëdha kibernetike. Megjithatë, bizneset e vogla dhe të mesme (SMB) gjithashtu kanë nevojë për mjete efektive për të parandaluar incidentet e sigurisë së informacionit, por honeynets në sektorin SMB nuk janë aq të lehta për t'u përdorur për shkak të mungesës së personelit të kualifikuar për punë kaq komplekse.

Kufizimet e Honeypots dhe Honeynets Solutions

Pse honeypots dhe honeynets nuk janë zgjidhjet më të mira për të luftuar sulmet sot? Duhet të theksohet se sulmet po bëhen gjithnjë e më të përmasave, teknikisht komplekse dhe të afta për të shkaktuar dëme serioze në infrastrukturën e IT të një organizate, dhe krimi kibernetik ka arritur një nivel krejtësisht të ndryshëm dhe përfaqëson struktura shumë të organizuara biznesi hije të pajisura me të gjitha burimet e nevojshme. Kësaj duhet t'i shtohet edhe “faktori njerëzor” (gabimet në cilësimet e softuerit dhe harduerit, veprimet e personave të brendshëm, etj.), ndaj përdorimi i vetëm teknologjisë për të parandaluar sulmet nuk është më i mjaftueshëm për momentin.

Më poshtë rendisim kufizimet dhe disavantazhet kryesore të honeypots (honeynets):

1. Honeypot-et fillimisht u zhvilluan për të identifikuar kërcënimet që janë jashtë rrjetit të korporatës, kanë për qëllim më tepër të analizojnë sjelljen e sulmuesve dhe nuk janë krijuar për t'iu përgjigjur shpejt kërcënimeve.

2. Sulmuesit, si rregull, tashmë kanë mësuar të njohin sistemet e emuluara dhe të shmangin honeypots.

3. Honeynets (honeypots) kanë një nivel jashtëzakonisht të ulët të ndërveprimit dhe ndërveprimit me sistemet e tjera të sigurisë, si rezultat i të cilit, duke përdorur honeypots, është e vështirë të merret informacion i detajuar për sulmet dhe sulmuesit, dhe për rrjedhojë të përgjigjet në mënyrë efektive dhe të shpejtë ndaj incidenteve të sigurisë së informacionit. . Për më tepër, specialistët e sigurisë së informacionit marrin një numër të madh alarmesh të rreme të kërcënimit.

4. Në disa raste, hakerët mund të përdorin një honeypot të komprometuar si pikënisje për të vazhduar sulmin e tyre në rrjetin e një organizate.

5. Problemet shpesh lindin me shkallëzueshmërinë e honeypots, ngarkesën e lartë operacionale dhe konfigurimin e sistemeve të tilla (ata kërkojnë specialistë të kualifikuar, nuk kanë një ndërfaqe të përshtatshme menaxhimi, etj.). Ka vështirësi të mëdha në vendosjen e honeypot-eve në mjedise të specializuara si IoT, POS, sistemet cloud, etj.

2. Teknologjia e mashtrimit: avantazhet dhe parimet bazë të funksionimit

Duke studiuar të gjitha avantazhet dhe disavantazhet e honeypots, ne arrijmë në përfundimin se nevojitet një qasje krejtësisht e re për t'iu përgjigjur incidenteve të sigurisë së informacionit, në mënyrë që të zhvillohet një reagim i shpejtë dhe adekuat ndaj veprimeve të sulmuesve. Dhe një zgjidhje e tillë është teknologjia Mashtrimi kibernetik (Mashtrimi i sigurisë).

Terminologjia "Mashtrimi kibernetik", "Mashtrimi i sigurisë", "Teknologjia e mashtrimit", "Platforma e mashtrimit të shpërndarë" (DDP) është relativisht e re dhe u shfaq jo shumë kohë më parë. Në fakt, të gjitha këto terma nënkuptojnë përdorimin e "teknologjive të mashtrimit" ose "teknikave për simulimin e infrastrukturës së TI-së dhe dezinformimin e sulmuesve". Zgjidhjet më të thjeshta të mashtrimit janë një zhvillim i ideve të honeypots, vetëm në një nivel më të avancuar teknologjik, i cili përfshin një automatizim më të madh të zbulimit të kërcënimeve dhe reagimit ndaj tyre. Sidoqoftë, ekzistojnë tashmë zgjidhje serioze të klasës DDP në treg, të cilat janë të lehta për t'u vendosur dhe shkallëzuar, dhe gjithashtu kanë një arsenal serioz të "kurtheve" dhe "karremeve" për sulmuesit. Për shembull, Mashtrimi ju lejon të imitoni objekte të infrastrukturës së TI-së si bazat e të dhënave, stacionet e punës, ruterat, çelësat, ATM-të, serverët dhe SCADA, pajisjet mjekësore dhe IoT.

Si funksionon platforma e mashtrimit të shpërndarë? Pasi të vendoset DDP, infrastruktura e IT-së e organizatës do të ndërtohet sikur nga dy shtresa: shtresa e parë është infrastruktura reale e kompanisë dhe e dyta është një mjedis "i emuluar" i përbërë nga karrema dhe karrem. në pajisjet reale fizike të rrjetit (shih Fig. 4).

Për shembull, një sulmues mund të zbulojë baza të dhënash false me "dokumente konfidenciale", kredenciale të rreme të gjoja "përdoruesve të privilegjuar" - të gjitha këto janë mashtrime që mund të interesojnë shkelësit, duke devijuar kështu vëmendjen e tyre nga asetet e vërteta të informacionit të kompanisë (shih Figurën 5).

DDP është një produkt i ri në tregun e produkteve të sigurisë së informacionit; këto zgjidhje janë vetëm disa vite të vjetra dhe deri më tani vetëm sektori i korporatave mund t'i përballojë ato. Por bizneset e vogla dhe të mesme së shpejti do të jenë gjithashtu në gjendje të përfitojnë nga mashtrimi duke marrë me qira DDP nga ofruesit e specializuar "si shërbim". Ky opsion është edhe më i përshtatshëm, pasi nuk ka nevojë për personelin tuaj shumë të kualifikuar.

Përparësitë kryesore të teknologjisë së mashtrimit tregohen më poshtë:

• Autenticiteti (autenticiteti). Teknologjia e mashtrimit është e aftë të riprodhojë një mjedis IT plotësisht autentik të një kompanie, duke emuluar në mënyrë cilësore sisteme operative, IoT, POS, sisteme të specializuara (mjekësore, industriale, etj.), shërbime, aplikacione, kredenciale etj. Mashtrimet përzihen me kujdes me mjedisin e punës dhe një sulmues nuk do të jetë në gjendje t'i identifikojë ato si vazo mjalti.

• futja e. DDP-të përdorin mësimin e makinerive (ML) në punën e tyre. Me ndihmën e ML-së sigurohet thjeshtësia, fleksibiliteti në cilësime dhe efikasiteti i zbatimit të Mashtrimit. "Kurthe" dhe "mashtrues" përditësohen shumë shpejt, duke joshur një sulmues në infrastrukturën e IT "të rreme" të kompanisë, dhe ndërkohë, sistemet e avancuara të analizës bazuar në inteligjencën artificiale mund të zbulojnë veprimet aktive të hakerëve dhe t'i parandalojnë ato (për shembull, një përpjekje për të hyrë në llogaritë mashtruese të bazuara në Active Directory).

• Lehtësia e funksionimit. Platformat moderne të mashtrimit të shpërndarë janë të lehta për tu mirëmbajtur dhe menaxhuar. Ato zakonisht menaxhohen nëpërmjet një tastierë lokale ose cloud, me aftësi integruese me SOC të korporatës (Qendra e Operacioneve të Sigurisë) nëpërmjet API dhe me shumë kontrolle ekzistuese të sigurisë. Mirëmbajtja dhe funksionimi i DDP nuk kërkon shërbimet e ekspertëve shumë të kualifikuar të sigurisë së informacionit.

• Shkallëzueshmëria. Mashtrimi i sigurisë mund të vendoset në mjedise fizike, virtuale dhe cloud. DDP-të gjithashtu punojnë me sukses me mjedise të specializuara si IoT, ICS, POS, SWIFT, etj. Platformat e avancuara të mashtrimit mund të projektojnë "teknologji mashtrimi" në zyra të largëta dhe mjedise të izoluara, pa pasur nevojë për vendosje shtesë të platformës së plotë.

• Bashkëveprim. Duke përdorur mashtrime të fuqishme dhe tërheqëse që bazohen në sisteme operative reale dhe të vendosura me zgjuarsi midis infrastrukturës reale të TI-së, platforma Deception mbledh informacion të gjerë rreth sulmuesit. DDP pastaj siguron që sinjalizimet e kërcënimit të transmetohen, raportet të gjenerohen dhe incidentet e sigurisë së informacionit të përgjigjen automatikisht.

• Pika e fillimit të sulmit. Në Mashtrimin modern, kurthet dhe karremat vendosen brenda rrezes së rrjetit, dhe jo jashtë tij (siç është rasti me vazot e mjaltit). Ky model i vendosjes së mashtrimit parandalon një sulmues që t'i përdorë ato si një pikë levash për të sulmuar infrastrukturën reale të IT të kompanisë. Zgjidhjet më të avancuara të klasës Deception kanë aftësi të drejtimit të trafikut, kështu që ju mund të drejtoni të gjithë trafikun e sulmuesve përmes një lidhjeje të dedikuar posaçërisht. Kjo do t'ju lejojë të analizoni aktivitetin e sulmuesve pa rrezikuar asetet e vlefshme të kompanisë.

• Bindësia e "teknologjive të mashtrimit". Në fazën fillestare të sulmit, sulmuesit mbledhin dhe analizojnë të dhënat në lidhje me infrastrukturën e TI-së, më pas i përdorin ato për të lëvizur horizontalisht nëpër rrjetin e korporatës. Me ndihmën e "teknologjive të mashtrimit", sulmuesi patjetër do të bjerë në "kurthe" që do ta largojnë atë nga asetet reale të organizatës. DDP do të analizojë shtigjet e mundshme për të hyrë në kredencialet në një rrjet të korporatës dhe do t'i sigurojë sulmuesit "objektivat e mashtrimit" në vend të kredencialeve reale. Këto aftësi i mungonin shumë teknologjive të honeypot. (Shih Figurën 6).

Mashtrimi VS Honeypot

Dhe së fundi, kemi ardhur në momentin më interesant të hulumtimit tonë. Ne do të përpiqemi të nxjerrim në pah ndryshimet kryesore midis teknologjive Deception dhe Honeypot. Pavarësisht disa ngjashmërive, këto dy teknologji janë ende shumë të ndryshme, nga ideja themelore deri te efikasiteti i funksionimit.

1. Ide të ndryshme themelore. Siç kemi shkruar më lart, honeypots janë instaluar si "karrike" rreth aseteve të vlefshme të kompanisë (jashtë rrjetit të korporatës), duke u përpjekur kështu të shpërqendrojnë sulmuesit. Teknologjia Honeypot bazohet në të kuptuarit e infrastrukturës së një organizate, por honeypot-et mund të bëhen një pikënisje për të nisur një sulm në rrjetin e një kompanie. Teknologjia e mashtrimit është zhvilluar duke marrë parasysh këndvështrimin e sulmuesit dhe ju lejon të identifikoni një sulm në një fazë të hershme, kështu që specialistët e sigurisë së informacionit fitojnë një avantazh të rëndësishëm ndaj sulmuesve dhe fitojnë kohë.

2. "Tërheqje" VS "Konfuzion". Kur përdorni honeypots, suksesi varet nga tërheqja e vëmendjes së sulmuesve dhe motivimi i mëtejshëm i tyre për të lëvizur drejt objektivit në honeypot. Kjo do të thotë që sulmuesi duhet të arrijë ende në honeypot përpara se të mund ta ndaloni atë. Kështu, prania e sulmuesve në rrjet mund të zgjasë për disa muaj ose më shumë, dhe kjo do të çojë në rrjedhje dhe dëmtim të të dhënave. DDP-të imitojnë në mënyrë cilësore infrastrukturën reale të TI-së të një kompanie; qëllimi i zbatimit të tyre nuk është vetëm të tërheqë vëmendjen e një sulmuesi, por ta ngatërrojë atë në mënyrë që ai të humbasë kohë dhe burime, por të mos ketë akses në asetet reale të kompania.

3. "Shkallëzimi i kufizuar" VS "shkallëzueshmëria automatike". Siç u përmend më herët, honeypot dhe honeynet kanë probleme shkallëzimi. Kjo është e vështirë dhe e shtrenjtë, dhe për të rritur numrin e honeypots në një sistem të korporatës, do t'ju duhet të shtoni kompjuterë të rinj, OS, të blini licenca dhe të ndani IP. Për më tepër, është gjithashtu e nevojshme që të ketë personel të kualifikuar për të menaxhuar sisteme të tilla. Platformat e mashtrimit vendosen automatikisht ndërsa infrastruktura juaj shkallëzohet, pa shpenzime të konsiderueshme.

4. "Një numër i madh pozitivësh të rremë" VS "pa pozitivitete false". Thelbi i problemit është se edhe një përdorues i thjeshtë mund të ndeshet me një honeypot, kështu që "anët e këqija" të kësaj teknologjie janë një numër i madh i pozitiviteteve të rreme, gjë që largon specialistët e sigurisë së informacionit nga puna e tyre. "Kremet" dhe "kurthet" në DDP fshihen me kujdes nga përdoruesi mesatar dhe janë krijuar vetëm për një sulmues, kështu që çdo sinjal nga një sistem i tillë është një njoftim i një kërcënimi real dhe jo një pozitiv i rremë.

Përfundim

Sipas mendimit tonë, teknologjia e mashtrimit është një përmirësim i madh në krahasim me teknologjinë e vjetër Honeypots. Në thelb, DDP është bërë një platformë gjithëpërfshirëse e sigurisë që është e lehtë për t'u vendosur dhe menaxhuar.

Platformat moderne të kësaj klase luajnë një rol të rëndësishëm në zbulimin e saktë dhe reagimin efektiv ndaj kërcënimeve të rrjetit, dhe integrimi i tyre me komponentët e tjerë të grupit të sigurisë rrit nivelin e automatizimit, rrit efikasitetin dhe efektivitetin e reagimit ndaj incidentit. Platformat e mashtrimit bazohen në autenticitetin, shkallëzueshmërinë, lehtësinë e menaxhimit dhe integrimin me sisteme të tjera. E gjithë kjo jep një avantazh të rëndësishëm në shpejtësinë e reagimit ndaj incidenteve të sigurisë së informacionit.

Gjithashtu, bazuar në vëzhgimet e pentesteve të kompanive ku është implementuar ose pilotuar platforma Xello Deception, mund të nxjerrim përfundime se edhe pentestuesit me përvojë shpesh nuk mund ta njohin karremin në rrjetin e korporatës dhe dështojnë kur bien në kurthe të vendosura. Ky fakt konfirmon edhe një herë efektivitetin e Mashtrimit dhe perspektivat e mëdha që i hapen kësaj teknologjie në të ardhmen.

Testimi i produktit

Nëse jeni të interesuar për platformën Deception, atëherë ne jemi gati kryejnë testime të përbashkëta.

Qëndroni të sintonizuar për përditësimet në kanalet tona (Telegram, Facebook, VK, TS Zgjidhja Blog)!

Burimi: www.habr.com