Honeypot vs Deception ngagunakeun Xello sabagé conto

Geus aya sababaraha artikel ngeunaan Habré ngeunaan téknologi Honeypot and Deception (1 artikel, 2 artikel). Nanging, urang masih disanghareupan ku kurangna pamahaman ngeunaan bédana antara kelas alat pelindung ieu. Pikeun ieu, kolega urang ti Halo Penipuan (pamekar Rusia munggaran Platform tipu daya) mutuskeun pikeun ngajelaskeun sacara rinci bédana, kaunggulan sareng fitur arsitéktur solusi ieu.

Hayu urang terang naon "honeypots" jeung "deceptions" téh:

"Téhnologi tipu daya" muncul dina pasar sistem kaamanan inpormasi rélatif anyar. Tapi, sababaraha ahli masih nganggap Security Deception ngan ukur honeypots anu langkung maju.

Dina artikel ieu kami baris coba nyorot duanana kamiripan jeung béda fundamental antara dua solusi ieu. Dina bagian kahiji, urang bakal ngobrol ngeunaan honeypot, kumaha téhnologi ieu dimekarkeun sarta naon kaunggulan jeung kalemahan na. Sarta dina bagian kadua, urang bakal Huni di jéntré dina prinsip operasi platform pikeun nyieun infrastruktur disebarkeun of decoys (Inggris, Distributed Deception Platform - DDP).

Prinsip dasar honeypots nyaéta nyieun bubu pikeun hacker. Solusi Penipuan anu munggaran dikembangkeun dina prinsip anu sami. Tapi DDPs modern sacara signifikan punjul ti honeypots, boh dina fungsionalitas jeung efisiensi. Platform tipu daya ngawengku: decoys, bubu, lures, aplikasi, data, database, Active Directory. DDP modern tiasa nyayogikeun kamampuan anu kuat pikeun deteksi ancaman, analisa serangan, sareng otomatisasi réspon.

Ku kituna, Deception mangrupikeun téknik pikeun simulasi infrastruktur IT perusahaan sareng peretas anu nyasabkeun. Hasilna, platform sapertos ngamungkinkeun pikeun ngeureunkeun serangan sateuacan nyababkeun karusakan signifikan kana aset perusahaan. Honeypots, tangtosna, henteu ngagaduhan fungsionalitas anu lega sareng tingkat otomatisasi sapertos kitu, ku kituna panggunaanana peryogi langkung seueur kualifikasi ti karyawan departemén kaamanan inpormasi.

1. Honeypots, Honeynets na Sandboxing: naon aranjeunna sarta kumaha aranjeunna dipaké

Istilah "honeypots" mimiti dianggo dina taun 1989 dina buku Clifford Stoll "The Cuckoo's Egg", anu ngajelaskeun kajadian nyukcruk hacker di Laboratorium Nasional Lawrence Berkeley (AS). Gagasan ieu dilaksanakeun dina 1999 ku Lance Spitzner, spesialis kaamanan inpormasi di Sun Microsystems, anu ngadegkeun proyék panalungtikan Honeynet Project. The honeypots munggaran éta pisan sumberdaya-intensif, hésé nyetél jeung ngajaga.

Hayu urang nempo leuwih deukeut naon éta honeypots и honeynets. Honeypots mangrupikeun host individu anu tujuanana pikeun narik panyerang pikeun nembus jaringan perusahaan sareng nyobian maok data anu berharga, ogé ngalegaan daérah cakupan jaringan. Honeypot (sacara harfiah ditarjamahkeun salaku "tong madu") mangrupikeun server khusus sareng sakumpulan sababaraha jasa sareng protokol jaringan, sapertos HTTP, FTP, jsb. (tingali Gbr. 1).

Lamun ngagabungkeun sababaraha honeypots kana jaringan, mangka urang bakal meunang sistem leuwih efisien honeynet, anu mangrupa émulasi tina jaringan perusahaan perusahaan (pangladén wéb, pangladén file, sareng komponén jaringan sanés). Solusi ieu ngamungkinkeun anjeun ngartos strategi panyerang sareng nyasabkeun aranjeunna. A honeynet has, sakumaha aturan, beroperasi dina paralel jeung jaringan gawé sarta sagemblengna bebas tina eta. Sapertos "jaringan" tiasa diterbitkeun dina Internét ngalangkungan saluran anu kapisah, sajumlah alamat IP anu misah ogé tiasa dialokasikeun pikeun éta (tingali Gbr. 2).

Maksudna ngagunakeun honeynet nyaéta pikeun nunjukkeun ka hacker yén anjeunna parantos nembus jaringan perusahaan organisasi; kanyataanna, panyerang aya dina "lingkungan terasing" sareng dina pangawasan anu ketat ku spesialis kaamanan inpormasi (tingali Gbr. 3).

Di dieu urang ogé kedah nyebatkeun alat sapertos ".kotak pasir"(Inggris, sandbox), anu ngamungkinkeun panyerang masang sareng ngajalankeun malware dina lingkungan anu terasing dimana IT tiasa ngawas kagiatanana pikeun ngaidentipikasi poténsial résiko sareng nyandak tindakan anu pas. Ayeuna, sandboxing biasana dilaksanakeun dina mesin virtual khusus dina host virtual. Nanging, kedah diperhatoskeun yén sandboxing ngan ukur nunjukkeun kumaha program bahaya sareng jahat kalakuanana, sedengkeun honeynet ngabantosan spesialis nganalisa paripolah "pamaén bahaya."

Kauntungan jelas tina honeynets nyaéta nyasabkeun panyerang, ngabuang tanaga, sumber daya sareng waktosna. Hasilna, tinimbang udagan nyata, aranjeunna nyerang anu palsu sareng tiasa ngeureunkeun narajang jaringan tanpa ngahontal nanaon. Seringna, téknologi honeynets dianggo di lembaga pamaréntahan sareng korporasi ageung, organisasi kauangan, sabab ieu mangrupikeun struktur anu janten target serangan cyber utama. Tapi, usaha leutik sareng sedeng (UKM) ogé peryogi alat anu épéktip pikeun nyegah insiden kaamanan inpormasi, tapi honeynets di séktor UKM henteu gampang dianggo kusabab kurangna tanaga anu mumpuni pikeun padamelan anu kompleks sapertos kitu.

Watesan Honeypots na Honeynets Leyuran

Naha honeypots sareng honeynets sanes solusi anu pangsaéna pikeun ngalawan serangan ayeuna? Ieu kudu dicatet yén serangan anu jadi beuki badag skala, téhnisna rumit sarta sanggup ngabalukarkeun karuksakan serius kana infrastruktur IT organisasi, sarta cybercrime geus ngahontal tingkat lengkep beda jeung ngagambarkeun struktur bisnis kalangkang kacida diatur dilengkepan sagala sumberdaya diperlukeun. Ka ieu kudu ditambahkeun "faktor manusa" (kasalahan dina software jeung setélan hardware, lampah insiders, jsb), jadi ngagunakeun ngan téhnologi pikeun nyegah serangan geus euweuh cukup di momen.

Di handap ieu kami daptar watesan utama sareng kalemahan honeypots (honeynets):

1. Honeypots mimitina dikembangkeun pikeun ngaidentipikasi ancaman anu aya di luar jaringan perusahaan, dimaksudkeun pikeun nganalisis paripolah panyerang sareng henteu dirancang pikeun gancang ngabales ancaman.

2. Panyerang, sakumaha aturan, parantos diajar ngakuan sistem anu ditiru sareng nyingkahan honeypots.

3. Honeynets (honeypots) gaduh tingkat interaktivitas sareng interaksi anu rendah pisan sareng sistem kaamanan anu sanés, salaku hasilna, ngagunakeun honeypots, sesah kéngingkeun inpormasi lengkep ngeunaan serangan sareng panyerang, sareng ku kituna ngaréspon sacara efektif sareng gancang kana insiden kaamanan inpormasi. . Sumawona, spesialis kaamanan inpormasi nampi sajumlah ageung peringatan ancaman palsu.

4. Dina sababaraha kasus, hacker bisa ngagunakeun honeypot kompromi salaku titik awal neruskeun serangan maranéhanana dina jaringan hiji organisasi.

5. Masalah sering timbul sareng skalabilitas honeypots, beban operasional anu luhur sareng konfigurasi sistem sapertos kitu (aranjeunna peryogi spesialis anu mumpuni, henteu gaduh antarmuka manajemén anu saé, jsb.). Aya kasusah hébat dina nyebarkeun honeypots dina lingkungan khusus sapertos IoT, POS, sistem awan, jsb.

2. Téknologi tipu daya: kaunggulan sareng prinsip operasi dasar

Sanggeus diajar sagala kaunggulan jeung kalemahan honeypots, urang datang ka kacindekan yén pendekatan lengkep anyar pikeun ngarespon kana insiden kaamanan informasi diperlukeun guna ngamekarkeun respon gancang tur nyukupan kana lampah panyerang. Sareng solusi sapertos kitu nyaéta téknologi Penipuan siber (Tipuan Kaamanan).

Terminologi "Tipuan Cyber", "Tipuan Kaamanan", "Teknologi tipuan", "Platform Penipuan Distribusi" (DDP) kawilang anyar sareng muncul teu lami pisan. Nyatana, sadaya istilah ieu hartosna panggunaan "téknologi tipu daya" atanapi "téknik pikeun simulasi infrastruktur IT sareng disinformasi panyerang." Solusi Penipuan pangbasajanna nyaéta pamekaran ideu honeypots, ngan dina tingkat anu langkung maju sacara téknologi, anu ngalibatkeun otomatisasi deteksi ancaman sareng réspon kana aranjeunna. Nanging, parantos aya solusi kelas DDP anu serius dina pasaran anu gampang disebarkeun sareng skala, sareng ogé gaduh arsenal serius "bubu" sareng "umpan" pikeun panyerang. Contona, tipu daya ngidinan Anjeun pikeun emulate objék infrastruktur IT kayaning database, workstations, routers, switch, ATM, server na SCADA, alat-alat médis sarta IoT.

Kumaha cara kerja Distributed Deception Platform? Saatos DDP disebarkeun, infrastruktur IT organisasi bakal diwangun saolah-olah tina dua lapisan: lapisan kahiji nyaéta infrastruktur nyata pausahaan, sarta kadua mangrupa lingkungan "emulated" diwangun ku decoys na baits. lures), nu lokasina. dina alat jaringan fisik nyata (tingali Gbr. 4).

Salaku conto, panyerang tiasa mendakan pangkalan data palsu sareng "dokumen rahasia", kredensial palsu anu disangka "pamaké anu gaduh hak istimewa" - sadayana ieu mangrupikeun decoy anu tiasa narik minat anu ngalanggar, ku kituna ngalihkeun perhatianna tina aset inpormasi perusahaan anu leres (tingali Gambar 5).

DDP mangrupikeun produk énggal dina pasar produk kaamanan inpormasi; solusi ieu umurna ngan ukur sababaraha taun sareng sajauh ieu ngan ukur séktor perusahaan anu mampuh. Tapi usaha leutik sareng sedeng bakal engké ogé tiasa ngamangpaatkeun Penipuan ku nyéwa DDP ti panyadia khusus "salaku jasa." Pilihan ieu malah leuwih merenah, sabab teu merlukeun personel kacida mumpuni sorangan.

Kaunggulan utama téknologi Deception ditémbongkeun di handap ieu:

• Kaaslian (authenticity). Téknologi tipu daya sanggup ngahasilkeun lingkungan IT lengkep otentik hiji perusahaan, sacara kualitatif niru sistem operasi, IoT, POS, sistem khusus (médis, industri, jsb.), jasa, aplikasi, kredensial, jsb. Umpan sacara saksama dicampurkeun sareng lingkungan kerja, sareng panyerang moal tiasa ngaidentipikasi aranjeunna salaku honeypots.

• Palaksanaan. DDPs ngagunakeun pembelajaran mesin (ML) dina karyana. Kalayan bantosan ML, kesederhanaan, kalenturan dina setélan sareng efisiensi palaksanaan Penipuan dipastikeun. "Trap" sareng "decoys" diropéa gancang pisan, mamingan panyerang kana infrastruktur IT "palsu" perusahaan, sareng samentawis éta, sistem analisis canggih dumasar kana intelijen buatan tiasa ngadeteksi tindakan aktif peretas sareng nyegah aranjeunna (contona, nyobian ngakses akun curang dumasar Active Directory).

• Betah operasi. Platform Penipuan Distribusi Modern gampang dijaga sareng diurus. Biasana diurus ku konsol lokal atanapi awan, kalayan kamampuan integrasi sareng SOC perusahaan (Pusat Operasi Kaamanan) ngalangkungan API sareng seueur kontrol kaamanan anu tos aya. Pangropéa sareng operasi DDP henteu ngabutuhkeun jasa para ahli kaamanan inpormasi anu mumpuni.

• Skalabilitas. tipu daya kaamanan bisa deployed di lingkungan fisik, maya jeung awan. DDP ogé suksés damel sareng lingkungan khusus sapertos IoT, ICS, POS, SWIFT, jsb. Platform Penipuan Canggih tiasa ngadamel "téknologi tipu daya" ka kantor terpencil sareng lingkungan terasing, tanpa peryogi panyebaran platform pinuh tambahan.

• Interaksi. Ngagunakeun decoys kuat tur pikaresepeun nu dumasar kana sistem operasi nyata jeung cleverly disimpen diantara infrastruktur IT nyata, platform tipu daya ngumpulkeun informasi éksténsif ngeunaan panyerang. DDP lajeng ensures yén ngabejaan anceman anu dikirimkeun, laporan dihasilkeun, sarta insiden kaamanan informasi otomatis direspon.

• Titik mimiti serangan. Dina tipu daya modern, sarap sareng umpan disimpen dina jangkauan jaringan, tinimbang di luar (sapertos kasus honeypots). Modél panyebaran decoy ieu nyegah panyerang ngagunakeunana salaku titik ngungkit pikeun nyerang infrastruktur IT nyata perusahaan. Solusi anu langkung maju tina kelas Penipuan gaduh kamampuan routing lalu lintas, ku kituna anjeun tiasa ngarahkeun sadaya lalu lintas panyerang ngalangkungan sambungan anu khusus. Ieu bakal ngamungkinkeun anjeun nganalisa kagiatan panyerang tanpa ngabahayakeun aset perusahaan anu berharga.

• The persuasiveness tina "téhnologi tipu daya". Dina tahap awal serangan, panyerang ngumpulkeun sareng nganalisis data ngeunaan infrastruktur IT, teras dianggo pikeun mindahkeun sacara horisontal dina jaringan perusahaan. Kalayan bantosan "téknologi tipu daya," panyerang pasti bakal digolongkeun kana "perangkap" anu bakal ngajauhan anjeunna tina aset nyata organisasi. DDP bakal nganalisis jalur poténsial pikeun ngakses kredensial dina jaringan perusahaan sareng nyayogikeun panyerang "target decoy" tinimbang kapercayaan nyata. Kamampuhan ieu kirang pisan dina téknologi honeypot. (Tingali Gambar 6).

Panipuan VS Honeypot

Sarta pamustunganana, urang datang ka momen paling metot panalungtikan urang. Kami bakal nyobian nyorot bédana utama antara téknologi Deception sareng Honeypot. Sanaos sababaraha kamiripan, dua téknologi ieu masih béda pisan, tina ide dasar dugi ka efisiensi operasi.

1. gagasan dasar béda. Salaku urang wrote luhur, honeypots dipasang salaku "decoys" sabudeureun aset parusahaan berharga (di luar jaringan perusahaan), sahingga nyoba ngaganggu lawan. Téknologi Honeypot dumasar kana pamahaman infrastruktur organisasi, tapi honeypot tiasa janten titik awal pikeun ngaluncurkeun serangan dina jaringan perusahaan. Téknologi tipu daya dikembangkeun kalayan nimbang sudut pandang panyerang sareng ngamungkinkeun anjeun pikeun ngaidentipikasi serangan dina tahap awal, ku kituna, spesialis kaamanan inpormasi nampi kauntungan anu signifikan pikeun panyerang sareng kéngingkeun waktos.

2. "Atraksi" VS "Kabingungan". Nalika ngagunakeun honeypots, kasuksésan gumantung kana attracting perhatian panyerang sarta salajengna motivating aranjeunna pikeun pindah ka udagan dina honeypot nu. Ieu ngandung harti yén panyerang masih kedah ngahontal honeypot sateuacan anjeun tiasa ngeureunkeunana. Ku kituna, ayana panyerang dina jaringan bisa lepas pikeun sababaraha bulan atawa leuwih, sarta ieu bakal ngakibatkeun leakage data jeung karuksakan. DDPs sacara kualitatif niru infrastruktur IT nyata hiji perusahaan; tujuan palaksanaanna henteu ngan ukur pikeun narik perhatian panyerang, tapi pikeun ngabingungkeun anjeunna ku kituna anjeunna miceunan waktos sareng sumber daya, tapi henteu kéngingkeun aksés kana aset nyata. pausahaan.

3. "Skalabilitas terbatas" VS "Skalabilitas otomatis". Salaku nyatet saméméhna, honeypots na honeynets boga masalah skala. Ieu sesah sareng mahal, sareng pikeun ningkatkeun jumlah honeypots dina sistem perusahaan, anjeun kedah nambihan komputer anyar, OS, mésér lisénsi, sareng alokasi IP. Leuwih ti éta, éta ogé perlu boga tanaga mumpuni pikeun ngatur sistem misalna. Platform tipu daya otomatis nyebarkeun salaku skala infrastruktur anjeun, tanpa overhead anu signifikan.

4. "Sajumlah ageung positip palsu" VS "henteu aya positip palsu". Intina masalahna nyaéta yén bahkan pangguna saderhana tiasa mendakan honeypot, janten "kakurangan" téknologi ieu mangrupikeun sajumlah positip palsu, anu ngaganggu spesialis kaamanan inpormasi tina padamelan na. "Baits" sareng "bubu" dina DDP sacara saksama disumputkeun tina pangguna rata-rata sareng dirarancang ngan ukur pikeun panyerang, ku kituna unggal sinyal tina sistem sapertos kitu mangrupikeun béwara ngeunaan ancaman nyata, sanés positip palsu.

kacindekan

Dina pamadegan urang, téhnologi tipu daya mangrupakeun pamutahiran badag leuwih téhnologi Honeypots heubeul. Intina, DDP parantos janten platform kaamanan komprehensif anu gampang disebarkeun sareng diurus.

Platform modérn kelas ieu maénkeun peran anu penting dina ngadeteksi akurat sareng ngaréspon sacara efektif kana ancaman jaringan, sareng integrasina sareng komponén tumpukan kaamanan anu sanés ningkatkeun tingkat otomatisasi, ningkatkeun efisiensi sareng efektivitas réspon kajadian. Platform tipu daya dumasar kana kaaslian, skalabilitas, betah manajemén sareng integrasi sareng sistem anu sanés. Sadaya ieu méré kaunggulan signifikan dina laju respon kana insiden kaamanan informasi.

Ogé, dumasar kana observasi pentests pausahaan mana platform Xello Deception ieu dilaksanakeun atawa piloted, urang bisa narik conclusions yén sanajan pentesters ngalaman mindeng teu bisa mikawanoh bait dina jaringan perusahaan tur gagal nalika aranjeunna digolongkeun kana sarap diatur. Kanyataan ieu sakali deui confirms efektivitas tipu daya jeung prospek hébat nu muka nepi ka téhnologi ieu dina mangsa nu bakal datang.

nguji produk

Upami anjeun resep kana platform Penipuan, maka kami siap ngalaksanakeun tés babarengan.

Tetep katala pikeun apdet dina saluran kami (telegram, Facebook, VK, TS Solusi Blog)!

sumber: www.habr.com