Honeypot vs Deception med Xello som exempel

Det finns redan flera artiklar på Habré om Honeypot och Deception-teknologier (1 artikel, 2 artikel). Men vi står fortfarande inför en bristande förståelse för skillnaden mellan dessa klasser av skyddsutrustning. För detta har våra kollegor från Hej Deception (första ryska utvecklaren Plattformsbedrägeri) beslutade att i detalj beskriva skillnaderna, fördelarna och arkitektoniska egenskaperna hos dessa lösningar.

Låt oss ta reda på vad "honungskrukor" och "bedrägerier" är:

"Deception-teknologier" dök upp på marknaden för informationssäkerhetssystem relativt nyligen. Men vissa experter anser fortfarande att Security Deception bara är mer avancerade honungskrukor.

I den här artikeln kommer vi att försöka belysa både likheterna och grundläggande skillnaderna mellan dessa två lösningar. I den första delen kommer vi att prata om honeypot, hur denna teknik utvecklades och vilka är dess fördelar och nackdelar. Och i den andra delen kommer vi att uppehålla oss i detalj vid principerna för drift av plattformar för att skapa en distribuerad infrastruktur av lockbete (engelska, Distributed Deception Platform - DDP).

Den grundläggande principen bakom honeypots är att skapa fällor för hackare. De allra första Deception-lösningarna utvecklades enligt samma princip. Men moderna DDP:er är avsevärt överlägsna honeypots, både i funktionalitet och effektivitet. Bedrägeriplattformar inkluderar: lockbeten, fällor, beten, applikationer, data, databaser, Active Directory. Moderna DDP:er kan tillhandahålla kraftfulla funktioner för hotdetektion, attackanalys och svarsautomatisering.

Således är Deception en teknik för att simulera ett företags IT-infrastruktur och vilseledande hackare. Som ett resultat gör sådana plattformar det möjligt att stoppa attacker innan de orsakar betydande skada på företagets tillgångar. Honeypots, naturligtvis, har inte så bred funktionalitet och en sådan nivå av automatisering, så deras användning kräver mer kvalifikationer från anställda på informationssäkerhetsavdelningar.

1. Honeypots, Honeynets and Sandboxing: vad de är och hur de används

Termen "honeypots" användes första gången 1989 i Clifford Stolls bok "The Cuckoo's Egg", som beskriver händelserna med att spåra en hacker vid Lawrence Berkeley National Laboratory (USA). Denna idé omsattes 1999 av Lance Spitzner, en informationssäkerhetsspecialist på Sun Microsystems, som grundade forskningsprojektet Honeynet Project. De första honungskrukorna var mycket resurskrävande, svåra att sätta upp och underhålla.

Låt oss ta en närmare titt på vad det är honeypots и honeynets. Honeypots är individuella värdar vars syfte är att locka angripare att penetrera ett företags nätverk och försöka stjäla värdefull data, samt utöka nätverkets täckningsområde. Honeypot (bokstavligen översatt som "fat honung") är en speciell server med en uppsättning olika nätverkstjänster och protokoll, som HTTP, FTP, etc. (se fig. 1).

Om man kombinerar flera honeypots in i nätverket, då får vi ett mer effektivt system honungsnät, som är en emulering av ett företags företagsnätverk (webbserver, filserver och andra nätverkskomponenter). Denna lösning låter dig förstå angriparnas strategi och vilseleda dem. Ett typiskt honungnät fungerar normalt parallellt med arbetsnätverket och är helt oberoende av det. Ett sådant "nätverk" kan publiceras på Internet via en separat kanal, ett separat intervall av IP-adresser kan också tilldelas det (se fig. 2).

Poängen med att använda honeynet är att visa hackaren att han påstås ha penetrerat organisationens företagsnätverk, i själva verket befinner sig angriparen i en "isolerad miljö" och under noggrann övervakning av informationssäkerhetsspecialister (se fig. 3).

Här måste vi också nämna ett sådant verktyg som "sandlåda"(Engelsk, sandlåda), som tillåter angripare att installera och köra skadlig programvara i en isolerad miljö där IT kan övervaka deras aktiviteter för att identifiera potentiella risker och vidta lämpliga motåtgärder. För närvarande implementeras sandboxing vanligtvis på dedikerade virtuella maskiner på en virtuell värd. Det bör dock noteras att sandboxning bara visar hur farliga och skadliga program beter sig, medan honeynet hjälper en specialist att analysera beteendet hos "farliga spelare".

Den uppenbara fördelen med honeynets är att de vilseleder angripare och slösar bort deras energi, resurser och tid. Som ett resultat, istället för riktiga mål, attackerar de falska och kan sluta attackera nätverket utan att uppnå någonting. Oftast används honeynet-teknologier i statliga myndigheter och stora företag, finansiella organisationer, eftersom dessa är de strukturer som visar sig vara mål för stora cyberattacker. Små och medelstora företag (SMB) behöver dock också effektiva verktyg för att förhindra informationssäkerhetsincidenter, men honeynets inom SMB-sektorn är inte så lätta att använda på grund av bristen på kvalificerad personal för ett så komplext arbete.

Begränsningar för Honeypots och Honeynets Solutions

Varför är honeypots och honeynets inte de bästa lösningarna för att motverka attacker idag? Det bör noteras att attacker blir allt mer storskaliga, tekniskt komplexa och kan orsaka allvarlig skada på en organisations IT-infrastruktur, och cyberbrottslighet har nått en helt annan nivå och representerar högorganiserade skuggaffärsstrukturer utrustade med alla nödvändiga resurser. Till detta måste läggas den "mänskliga faktorn" (fel i mjukvaru- och hårdvaruinställningar, insiders agerande etc.), så att använda enbart teknik för att förhindra attacker är inte längre tillräckligt för tillfället.

Nedan listar vi de viktigaste begränsningarna och nackdelarna med honungskrukor (honungsnät):

1. Honeypots utvecklades ursprungligen för att identifiera hot som ligger utanför företagsnätverket, är snarare avsedda att analysera angripares beteende och är inte utformade för att snabbt svara på hot.

2. Angripare har som regel redan lärt sig att känna igen emulerade system och undvika honungskrukor.

3. Honeynets (honeypots) har en extremt låg nivå av interaktivitet och interaktion med andra säkerhetssystem, vilket gör att det med hjälp av honeypots är svårt att få detaljerad information om attacker och angripare, och därför att reagera effektivt och snabbt på informationssäkerhetsincidenter . Dessutom får informationssäkerhetsspecialister ett stort antal falska hotvarningar.

4. I vissa fall kan hackare använda en komprometterad honeypot som utgångspunkt för att fortsätta sin attack mot en organisations nätverk.

5. Problem uppstår ofta med skalbarheten av honungskrukor, hög driftsbelastning och konfiguration av sådana system (de kräver högt kvalificerade specialister, har inte ett bekvämt gränssnitt för hantering, etc.). Det finns stora svårigheter med att distribuera honeypots i specialiserade miljöer som IoT, POS, molnsystem, etc.

2. Bedrägeriteknik: fördelar och grundläggande funktionsprinciper

Efter att ha studerat alla fördelar och nackdelar med honeypots, kommer vi till slutsatsen att ett helt nytt tillvägagångssätt för att svara på informationssäkerhetsincidenter behövs för att utveckla ett snabbt och adekvat svar på angriparnas handlingar. Och en sådan lösning är teknik Cyberbedrägeri (säkerhetsbedrägeri).

Terminologin "Cyberbedrägeri", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) är relativt ny och dök upp för inte så länge sedan. I själva verket betyder alla dessa termer användningen av "bedrägeriteknik" eller "tekniker för att simulera IT-infrastruktur och desinformation från angripare." De enklaste Deception-lösningarna är en utveckling av idéerna med honeypots, bara på en mer tekniskt avancerad nivå, vilket innebär en större automatisering av hotdetektering och svar på dem. Det finns dock redan seriösa DDP-klasslösningar på marknaden som är enkla att distribuera och skala, och som även har en seriös arsenal av "fällor" och "beten" för angripare. Till exempel låter Deception dig emulera IT-infrastrukturobjekt som databaser, arbetsstationer, routrar, switchar, bankomater, servrar och SCADA, medicinsk utrustning och IoT.

Hur fungerar Distributed Deception Platform? Efter att DDP har implementerats kommer organisationens IT-infrastruktur att byggas upp som från två lager: det första lagret är företagets verkliga infrastruktur och det andra är en "emulerad" miljö bestående av lockbeten och lockbeten), som är placerade på riktiga fysiska nätverksenheter (se fig. 4).

Till exempel kan en angripare upptäcka falska databaser med "konfidentiella dokument", falska inloggningsuppgifter för förment "privilegierade användare" - alla dessa är lockbete som kan intressera överträdare och därigenom avleda deras uppmärksamhet från företagets verkliga informationstillgångar (se figur 5).

DDP är en ny produkt på produktmarknaden för informationssäkerhet, dessa lösningar är bara några år gamla och än så länge har bara företagssektorn råd med dem. Men små och medelstora företag kommer snart också att kunna dra fördel av Deception genom att hyra DDP från specialiserade leverantörer "som en tjänst". Detta alternativ är ännu bekvämare, eftersom det inte finns något behov av din egen högkvalificerade personal.

De främsta fördelarna med Deception-tekniken visas nedan:

• Autenticitet (äkthet). Deception-teknologi kan återskapa en helt autentisk IT-miljö för ett företag, kvalitativt emulera operativsystem, IoT, POS, specialiserade system (medicinska, industriella, etc.), tjänster, applikationer, referenser, etc. Decoys blandas noggrant med arbetsmiljön, och en angripare kommer inte att kunna identifiera dem som honungskrukor.

• införande av. DDP:er använder maskininlärning (ML) i sitt arbete. Med hjälp av ML säkerställs enkelhet, flexibilitet i inställningar och effektivitet i implementeringen av Deception. "Traps" och "locky" uppdateras mycket snabbt, vilket lockar en angripare till företagets "falska" IT-infrastruktur, och under tiden kan avancerade analyssystem baserade på artificiell intelligens upptäcka aktiva handlingar från hackare och förhindra dem (till exempel en försök att komma åt Active Directory-baserade bedrägliga konton).

• Enkel drift. Moderna distribuerade bedrägeriplattformar är enkla att underhålla och hantera. De hanteras vanligtvis via en lokal eller molnkonsol, med integrationsmöjligheter med företagets SOC (Security Operations Center) via API och med många befintliga säkerhetskontroller. Underhåll och drift av DDP kräver inte tjänster från högkvalificerade informationssäkerhetsexperter.

• Skalbarhet. Säkerhetsbedrägeri kan användas i fysiska, virtuella och molnmiljöer. DDP:er fungerar också framgångsrikt med specialiserade miljöer som IoT, ICS, POS, SWIFT, etc. Avancerade Deception-plattformar kan projicera "bedrägeriteknologier" i avlägsna kontor och isolerade miljöer, utan behov av ytterligare fullständig plattformsinstallation.

• Interaktion. Med hjälp av kraftfulla och attraktiva lockbeten som är baserade på verkliga operativsystem och skickligt placerade bland riktig IT-infrastruktur, samlar Deception-plattformen in omfattande information om angriparen. DDP ser sedan till att hotvarningar överförs, rapporter genereras och informationssäkerhetsincidenter besvaras automatiskt.

• Startpunkt för attack. I modern Deception placeras fällor och beten inom nätverkets räckvidd, snarare än utanför det (som är fallet med honungskrukor). Denna decoy-implementeringsmodell förhindrar en angripare från att använda dem som en hävstångspunkt för att attackera företagets verkliga IT-infrastruktur. Mer avancerade lösningar av klassen Deception har trafikdirigeringsmöjligheter, så att du kan dirigera all angripartrafik genom en speciellt dedikerad anslutning. Detta gör att du kan analysera angriparnas aktivitet utan att riskera värdefulla företagstillgångar.

• Övertalningsförmågan hos "bedrägeritekniker". I det inledande skedet av attacken samlar angripare in och analyserar data om IT-infrastrukturen och använder den sedan för att röra sig horisontellt genom företagets nätverk. Med hjälp av "bedrägeriteknik" kommer angriparen definitivt att hamna i "fällor" som leder honom bort från organisationens verkliga tillgångar. DDP kommer att analysera potentiella vägar för att komma åt referenser på ett företagsnätverk och förse angriparen med "lockmål" istället för riktiga referenser. Dessa möjligheter saknades verkligen i honeypot-teknologier. (Se figur 6).

Deception VS Honeypot

Och slutligen kommer vi till det mest intressanta ögonblicket i vår forskning. Vi kommer att försöka belysa de viktigaste skillnaderna mellan Deception och Honeypot-teknologier. Trots vissa likheter är dessa två tekniker fortfarande väldigt olika, från den grundläggande idén till driftseffektiviteten.

1. Olika grundidéer. Som vi skrev ovan installeras honungskrukor som "lockor" runt värdefulla företagstillgångar (utanför företagsnätverket), och försöker på så sätt distrahera angripare. Honeypot-teknik bygger på en förståelse för en organisations infrastruktur, men honeypots kan bli en startpunkt för att sätta igång en attack mot ett företags nätverk. Deception-tekniken är utvecklad med hänsyn till angriparens synvinkel och låter dig identifiera en attack i ett tidigt skede, vilket gör att informationssäkerhetsspecialister får en betydande fördel gentemot angripare och vinner tid.

2. "Attraktion" VS "Förvirring". När du använder honungskrukor beror framgång på att fånga uppmärksamheten från angriparna och ytterligare motivera dem att flytta till målet i honungskrukan. Det betyder att angriparen fortfarande måste nå honungskrukan innan du kan stoppa honom. Således kan närvaron av angripare på nätverket pågå i flera månader eller mer, och detta kommer att leda till dataläckage och skador. DDP:er imiterar kvalitativt den verkliga IT-infrastrukturen hos ett företag; syftet med deras implementering är inte bara att locka en angripares uppmärksamhet, utan att förvirra honom så att han slösar tid och resurser, men inte får tillgång till de verkliga tillgångarna i företag.

3. "Begränsad skalbarhet" VS "automatisk skalbarhet". Som nämnts tidigare har honungskrukor och honeynets problem med skalning. Detta är svårt och dyrt, och för att öka antalet honeypots i ett företagssystem måste du lägga till nya datorer, OS, köpa licenser och allokera IP. Dessutom är det också nödvändigt att ha kvalificerad personal för att hantera sådana system. Deception-plattformar distribueras automatiskt när din infrastruktur skalas, utan betydande omkostnader.

4. "Ett stort antal falska positiva" VS "inga falska positiva". Kärnan i problemet är att även en enkel användare kan stöta på en honungskruka, så "nackdelen" med denna teknik är ett stort antal falska positiva resultat, vilket distraherar informationssäkerhetsspecialister från deras arbete. "Beten" och "fällor" i DDP är noggrant dolda för den genomsnittliga användaren och är endast utformade för en angripare, så varje signal från ett sådant system är ett meddelande om ett verkligt hot och inte en falsk positiv.

Slutsats

Enligt vår åsikt är Deception-tekniken en enorm förbättring jämfört med den äldre Honeypots-tekniken. I huvudsak har DDP blivit en heltäckande säkerhetsplattform som är enkel att distribuera och hantera.

Moderna plattformar av denna klass spelar en viktig roll för att noggrant upptäcka och effektivt svara på nätverkshot, och deras integration med andra komponenter i säkerhetsstacken ökar automationsnivån, ökar effektiviteten och effektiviteten av incidentrespons. Deception-plattformar är baserade på autenticitet, skalbarhet, enkel hantering och integration med andra system. Allt detta ger en betydande fördel när det gäller snabba svar på informationssäkerhetsincidenter.

Baserat på observationer av pentests av företag där Xello Deception-plattformen implementerades eller piloterades, kan vi dra slutsatser att även erfarna pentesters ofta inte kan känna igen betet i företagsnätverket och misslyckas när de faller för fällorna som sätts. Detta faktum bekräftar återigen effektiviteten av Deception och de stora möjligheter som öppnar upp för denna teknik i framtiden.

Produkttester

Om du är intresserad av Deception-plattformen, då är vi redo genomföra gemensamma tester.

Håll utkik efter uppdateringar i våra kanaler (Telegram, Facebook, VK, TS Lösningsblogg)!

Källa: will.com