Det finns redan flera artiklar pÄ Habr om Honeypot och Deception-teknologier (, ). Vi har dock fortfarande en bristande förstÄelse för skillnaden mellan dessa klasser av skyddsutrustning. För detta ÀndamÄl har vÄra kollegor frÄn (den första ryska utvecklaren ) beslutade att i detalj beskriva skillnaderna, fördelarna och de arkitektoniska egenskaperna hos dessa lösningar.
LÄt oss ta reda pÄ vad "honungspottar" och "bedrÀgerier" Àr:
âBedrĂ€geriteknologierâ har dykt upp pĂ„ marknaden för informationssĂ€kerhetssystem relativt nyligen. Vissa experter anser dock fortfarande att Security Deception bara Ă€r en mer avancerad kĂ€lla till bedrĂ€geri.
I den hÀr artikeln ska vi försöka belysa bÄde likheterna och de grundlÀggande skillnaderna mellan dessa tvÄ lösningar. I den första delen kommer vi att prata om honeypot, hur denna teknik utvecklades och vilka dess fördelar och nackdelar Àr. Och i den andra delen kommer vi att fördjupa oss i detalj i plattformarnas funktionsprinciper för att skapa en distribuerad infrastruktur för falska mÄl (Distributed Deception Platform - DDP).
Grundprincipen bakom honeypots Àr att skapa fÀllor för hackare. De allra första Deception-lösningarna utvecklades enligt samma princip. Men moderna DDP:er Àr betydligt överlÀgsna honeypots, bÄde vad gÀller funktionalitet och effektivitet. BedrÀgeriplattformar inkluderar lockbeten, lockbeten, applikationer, data, databaser och Active Directory. Moderna DDP:er kan erbjuda omfattande funktioner för hotdetektering, attackanalys och automatiserade svar.
SÄledes Àr bedrÀgeri en teknik för att simulera ett företags IT-infrastruktur och vilseleda hackare. I slutÀndan gör sÄdana plattformar det möjligt att stoppa attacker innan betydande skador uppstÄr pÄ ett företags tillgÄngar. Honeypots har naturligtvis inte en sÄ bred funktionalitet och en sÄdan automatiseringsnivÄ, sÄ deras anvÀndning krÀver större kvalifikationer frÄn anstÀllda pÄ informationssÀkerhetsavdelningen.
1. Honeypots, honungsnÀt och sandlÄdor: Vad Àr de och hur anvÀnds de?
Termen "honeypots" anvÀndes första gÄngen 1989 i Clifford Stolls bok "The Cuckoo's Egg", som beskriver hÀndelserna kring spÄrningen av en hackare vid Lawrence Berkeley National Laboratory (USA). I praktiken omsattes denna idé 1999 av Lance Spitzner, en informationssÀkerhetsspecialist pÄ Sun Microsystems, som grundade forskningsprojektet Honeynet Project. De första honeypot-anlÀggningarna var mycket resurskrÀvande och svÄra att installera och underhÄlla.
LÄt oss titta nÀrmare pÄ vad det Àr honeypots О honungsnÀt. Honeypots Àr separata vÀrdar vars syfte Àr att locka angripare att penetrera ett företags nÀtverk och försöka stjÀla vÀrdefull data, samt utöka nÀtverkets tÀckningsomrÄde. En honeypot (bokstavligen översatt till "honungsfat") Àr en speciell server med en uppsÀttning olika nÀtverkstjÀnster och protokoll, sÄsom HTTP, FTP, etc. (se figur 1).
Om du kombinerar flera honeypots in i nĂ€tverket, sĂ„ fĂ„r vi ett mer effektivt system honungsnĂ€t, vilket Ă€r en emulering av ett företags nĂ€tverk (webbserver, filserver och andra nĂ€tverkskomponenter). Denna lösning gör det möjligt för oss att förstĂ„ angriparnas strategi och vilseleda dem. Ett typiskt honungsnĂ€tverk fungerar vanligtvis parallellt med produktionsnĂ€tverket och Ă€r helt oberoende av det. Ett sĂ„dant ânĂ€tverkâ kan publiceras pĂ„ internet via en separat kanal, och ett separat intervall av IP-adresser kan ocksĂ„ allokeras för det (se figur 2).
Syftet med att anvĂ€nda ett honeynet Ă€r att visa hackaren att han pĂ„stĂ„s ha penetrerat organisationens företagsnĂ€tverk; i sjĂ€lva verket befinner sig angriparen i en âisolerad miljöâ och under noggrann övervakning av informationssĂ€kerhetsspecialister (se figur 3).
HÀr Àr det ocksÄ nödvÀndigt att nÀmna ett sÄdant verktyg som "sandlÄda» (Engelska, sandlÄda), vilket gör det möjligt för angripare att installera och köra skadlig kod i en isolerad miljö dÀr IT-proffs kan övervaka sina aktiviteter för att identifiera potentiella risker och vidta nödvÀndiga motÄtgÀrder. Numera implementeras sandboxing vanligtvis pÄ dedikerade virtuella maskiner pÄ en virtuell vÀrd. Det bör dock noteras att sandboxing bara visar hur farliga och skadliga program beter sig, medan honeynet hjÀlper en specialist att analysera beteendet hos "farliga spelare".
Den uppenbara fördelen med honungsnÀt Àr att de vilseleder angripare och slösar bort deras energi, resurser och tid. Som ett resultat attackerar de falska mÄl istÀllet för riktiga och kan sluta attackera nÀtverket utan att uppnÄ nÄgonting. Honeynet-tekniker anvÀnds oftast i myndigheter och stora företag, finansiella organisationer, eftersom dessa strukturer Àr mÄltavlor för stora cyberattacker. SmÄ och medelstora företag (SMF) behöver dock ocksÄ effektiva verktyg för att förhindra informationssÀkerhetsincidenter, men honeynets Àr inte sÄ enkla att anvÀnda inom SMF-sektorn pÄ grund av bristen pÄ kvalificerad personal för sÄdant komplext arbete.
BegrÀnsningar för Honeypots och Honeynets
Varför Àr honeypots och honeynets inte de bÀsta lösningarna för att motverka attacker idag? Det bör noteras att attacker blir alltmer storskaliga, tekniskt komplexa och kapabla att orsaka allvarliga skador pÄ en organisations IT-infrastruktur, medan cyberbrottslighet har nÄtt en helt annan nivÄ och representeras av vÀlorganiserade skuggföretagsstrukturer utrustade med alla nödvÀndiga resurser. Till detta mÄste vi lÀgga till den "mÀnskliga faktorn" (fel i program- och hÄrdvaruinstÀllningar, insiders handlingar etc.), sÄ att enbart anvÀnda teknik för att förhindra attacker rÀcker inte lÀngre för nÀrvarande.
Nedan listar vi de viktigaste begrÀnsningarna och nackdelarna med honungsnÀt:
Honeypots var ursprungligen utformade för att upptÀcka hot som finns utanför företagsnÀtverket, Àr mer avsedda för att analysera angripares beteende och Àr inte utformade för att snabbt reagera pÄ hot.
Angripare har i allmÀnhet redan lÀrt sig att kÀnna igen emulerade system och undvika honeypots.
Honeynets (honeypots) har en extremt lÄg nivÄ av interaktivitet och interaktion med andra sÀkerhetssystem, vilket gör det svÄrt att med hjÀlp av honeypots fÄ detaljerad information om attacker och angripare, och dÀrför att effektivt och snabbt reagera pÄ informationssÀkerhetsincidenter. Dessutom fÄr informationssÀkerhetsspecialister ett stort antal falska hotmeddelanden.
I vissa fall kan hackare anvÀnda en komprometterad honeypot som utgÄngspunkt för att fortsÀtta sin attack mot en organisations nÀtverk.
Det finns ofta problem med skalbarheten hos honeypots, hög driftsbelastning och konfigurationen av sÄdana system (de krÀver högkvalificerade specialister, har inget bekvÀmt hanteringsgrÀnssnitt etc.). Det finns stora svÄrigheter med att driftsÀtta honeypots i specialiserade miljöer som IoT, POS, molnsystem etc.
2. BedrÀgeriteknik: fördelar och grundlÀggande funktionsprinciper
Efter att ha studerat alla fördelar och nackdelar med honeypots kommer vi till slutsatsen att en helt ny metod för att hantera informationssÀkerhetsincidenter behövs för att kunna utveckla en snabb och adekvat respons pÄ angripares handlingar. Och den hÀr lösningen Àr teknologi. CyberbedrÀgeri (SÀkerhetsbedrÀgeri).
Terminologin "CyberbedrĂ€geri", "SĂ€kerhetsbedrĂ€geri", "BedrĂ€geriteknologi", "Distribuerad bedrĂ€geriplattform" (DDP) Ă€r relativt ny och dök upp för inte sĂ„ lĂ€nge sedan. Faktum Ă€r att alla dessa termer hĂ€nvisar till anvĂ€ndningen av âbedrĂ€geriteknikerâ eller âtekniker för att imitera IT-infrastrukturen och desinformation frĂ„n angripareâ. De enklaste bedrĂ€gerilösningarna Ă€r en utveckling av honeypot-idĂ©er, fast pĂ„ en mer tekniskt avancerad nivĂ„, vilket innebĂ€r större automatisering av hotdetektering och -respons. Det finns dock redan seriösa DDP-lösningar pĂ„ marknaden som Ă€r enkla att driftsĂ€tta och skala upp, och som ocksĂ„ har en rejĂ€l arsenal av "fĂ€llor" och "beten" för angripare. Till exempel lĂ„ter Deception dig emulera IT-infrastrukturobjekt som databaser, arbetsstationer, routrar, switchar, bankomater, servrar och SCADA, medicinsk utrustning och IoT.
Hur fungerar en distribuerad bedrÀgeriplattform? Efter att DDP har driftsatts kommer organisationens IT-infrastruktur att byggas som om den vore bestÄende av tvÄ lager: det första lagret Àr företagets verkliga infrastruktur, och det andra Àr en "emulerad" miljö bestÄende av lockbeten och lockbeten, som finns pÄ verkliga fysiska nÀtverksenheter (se figur 4).
Till exempel kan en angripare upptĂ€cka falska databaser med âkonfidentiella dokumentâ, falska inloggningsuppgifter frĂ„n förmodat âprivilegierade anvĂ€ndareâ â allt detta Ă€r lockbete som kan intressera inkrĂ€ktare och dĂ€rigenom avleda deras uppmĂ€rksamhet frĂ„n företagets verkliga informationstillgĂ„ngar (se figur 5).
DDP Ă€r en ny produkt pĂ„ informationssĂ€kerhetsmarknaden; Dessa lösningar Ă€r bara nĂ„gra Ă„r gamla och hittills har bara företagssektorn rĂ„d med dem. Men smĂ„ och medelstora företag kommer snart ocksĂ„ att kunna dra nytta av Deception genom att hyra DDP frĂ„n specialiserade leverantörer âsom en tjĂ€nstâ. Det hĂ€r alternativet Ă€r Ă€nnu bekvĂ€mare eftersom det inte finns nĂ„got behov av egen högkvalificerad personal.
Nedan följer de viktigaste fördelarna med Deception-teknik:
Ăkthet. BedrĂ€geriteknik kan reproducera en helt autentisk IT-miljö för ett företag, och kvalitativt emulera operativsystem, IoT, POS, specialiserade system (medicinska, industriella etc.), tjĂ€nster, applikationer, inloggningsuppgifter etc. Lockbeten blandas grundligt in i arbetsmiljön, och en angripare kommer inte att kunna identifiera dem som honungspottar.
införande av. DDP:er anvĂ€nder maskininlĂ€rning (ML) i sitt arbete. ML möjliggör enkelhet, flexibilitet i anpassning och effektivitet vid implementering av Deception. âFĂ€llorâ och âbetenâ uppdateras mycket snabbt, vilket drar in angriparen i företagets âfalskaâ IT-infrastruktur, och under tiden kan avancerade analyssystem baserade pĂ„ artificiell intelligens upptĂ€cka hackares aktiva handlingar och förhindra dem (till exempel ett försök att komma Ă„t Active Directory baserat pĂ„ falska konton).
Enkel drift. Modern "Distribuerad bedrÀgeriplattform" Àr enkel att underhÄlla och hantera. Vanligtvis hanteras de via en lokal konsol eller molnkonsol, med integrationsmöjligheter med ett företags SOC (Security Operations Center) via API och med mÄnga befintliga sÀkerhetskontroller. UnderhÄll och drift av DDP krÀver inte tjÀnster frÄn högkvalificerade informationssÀkerhetsexperter.
Skalbarhet. SÀkerhetsbedrÀgeri kan anvÀndas i fysiska, virtuella och molnmiljöer. DDP:er fungerar ocksÄ framgÄngsrikt med specialiserade miljöer som IoT, ICS, POS, SWIFT, etc. Avancerade Deception-plattformar kan projicera "bedrÀgeritekniker" till fjÀrrkontor och isolerade miljöer utan behov av ytterligare fullstÀndig plattformsdistribution.
Interaktion. Med hjÀlp av effektiva och attraktiva lockbeten baserade pÄ verkliga operativsystem och smart placerade bland verklig IT-infrastruktur samlar Deception-plattformen in omfattande information om angriparen. DDP sÀkerstÀller sedan att hotvarningar skickas, rapporter genereras och automatiserade svar pÄ informationssÀkerhetsincidenter sker.
Startpunkt för attacken. I modern bedrÀgeri placeras fÀllor och beten inom nÀtverkets rÀckvidd, snarare Àn utanför den (som Àr fallet med honeypots). Denna modell för att distribuera honeypots förhindrar att en angripare anvÀnder dem som fotfÀste för att attackera ett företags verkliga IT-infrastruktur. Mer avancerade lösningar för Deception-klassen har funktioner för trafikdirigering, sÄ att all angripartrafik kan dirigeras via en dedikerad anslutning. Detta gör att du kan analysera angriparnas aktivitet utan att riskera företagets vÀrdefulla tillgÄngar.
Ăvertygelsekraften hos "bedrĂ€geriteknologier". I det inledande skedet av en attack samlar angriparna in och analyserar data om IT-infrastrukturen och anvĂ€nder den sedan för att förflytta sig horisontellt över företagets nĂ€tverk. Med hjĂ€lp av "bedrĂ€geritekniker" kommer angriparen oundvikligen att falla i "fĂ€llor" som leder honom bort frĂ„n organisationens verkliga tillgĂ„ngar. DDP analyserar potentiella Ă„tkomstvĂ€gar till inloggningsuppgifter i ett företagsnĂ€tverk och förser angriparen med "lockbeten" istĂ€llet för riktiga inloggningsuppgifter. Dessa funktioner saknades verkligen i honeypot-teknologier. (Se bild 6).
BedrÀgeri vs. Honeypot
Och slutligen kommer vi till det mest intressanta ögonblicket i vÄr forskning. Vi ska försöka belysa de viktigaste skillnaderna mellan Deception- och Honeypot-teknologierna. Trots vissa likheter Àr dessa tvÄ tekniker fortfarande mycket olika, frÄn den grundlÀggande idén till effektiviteten i deras drift.
Olika grundlÀggande idéer. Som vi skrev ovan installeras honeypots som "lockbete" runt vÀrdefulla företagstillgÄngar (utanför företagsnÀtverket) och försöker dÀrmed distrahera angripare. Honeypot-tekniken bygger pÄ idén om en organisations infrastruktur, men honeypots kan bli ett fotfÀste för att starta en attack mot ett företags nÀtverk. BedrÀgeriteknik Àr utformad ur angriparens perspektiv och möjliggör tidig identifiering av attacker, vilket ger informationssÀkerhetsproffs en betydande fördel gentemot angripare och sparar tid.
"Attraktion" kontra "Förvirring". NÀr man anvÀnder honeypots beror framgÄngen pÄ att fÄnga angriparnas uppmÀrksamhet och sedan motivera dem att röra sig mot mÄlet i honeypoten. Det betyder att angriparen fortfarande mÄste ta sig till honungsgrytan innan du kan stoppa honom. SÄledes kan angriparnas nÀrvaro i nÀtverket vara i flera mÄnader eller mer, vilket kommer att leda till datalÀckage och skador. DDP:er imiterar kvalitativt ett företags verkliga IT-infrastruktur, syftet med deras implementering Àr inte bara att locka en angripares uppmÀrksamhet, utan att förvirra honom sÄ att han slösar tid och resurser förgÀves, men inte fÄr tillgÄng till företagets verkliga tillgÄngar.
"BegrÀnsad skalbarhet" jÀmfört med "Automatisk skalbarhet". Som tidigare nÀmnts har honeypots och honeynets skalningsproblem. Detta Àr komplicerat och dyrt, och för att öka antalet honeypots i ett företagssystem mÄste man lÀgga till nya datorer och operativsystem, köpa licenser och allokera IP-adresser. Dessutom Àr det nödvÀndigt att ha kvalificerad personal för att hantera sÄdana system. BedrÀgeriplattformar driftsÀtts automatiskt allt eftersom din infrastruktur skalas upp, utan betydande omkostnader.
"Ett stort antal falska positiva resultat" KONSERT med "inga falska positiva resultat". KÀrnan i problemet Àr att Àven en vanlig anvÀndare kan stöta pÄ en honungspott, sÄ "nackdelen" med denna teknik Àr ett stort antal falska positiva resultat, vilket distraherar informationssÀkerhetsspecialister frÄn deras arbete. "Betena" och "fÀllorna" i DDP Àr noggrant dolda för den genomsnittliga anvÀndaren och Àr endast utformade för angriparen, sÄ varje signal frÄn ett sÄdant system Àr en anmÀlan om ett verkligt hot och inte ett falsklarm.
Slutsats
Enligt vÄr mening Àr Deception-tekniken ett stort steg upp frÄn den Àldre Honeypots-tekniken. I huvudsak har DDP blivit en omfattande sÀkerhetsplattform som Àr enkel att driftsÀtta och hantera.
Moderna plattformar av denna klass spelar en viktig roll i korrekt upptÀckt och effektiv respons pÄ nÀtverkshot, och deras integration med andra komponenter i sÀkerhetsstacken ökar automatiseringsnivÄn, ökar effektiviteten och ÀndamÄlsenligheten i incidentresponsen. BedrÀgeriplattformar Àr baserade pÄ autenticitet, skalbarhet, enkel hantering och integration med andra system. Allt detta ger en betydande fördel i snabbheten vid respons pÄ informationssÀkerhetsincidenter.
Baserat pÄ observationer av penetrationstester hos företag dÀr Xello Deception-plattformen implementerades eller testades, kan vi ocksÄ dra slutsatsen att Àven erfarna penetrationstestare ofta inte kan kÀnna igen beten i ett företagsnÀtverk och misslyckas och faller för de fÀllor som gillrats. Detta faktum bekrÀftar Äterigen Deceptions effektivitet och de stora möjligheter som denna teknik har för framtiden.
Produkttester
Om du Àr intresserad av Deception-plattformar Àr vi redo .
HÄll utkik efter uppdateringar i vÄra kanaler (, , , )!
KĂ€lla: will.com
