Honeypot vs Udanganyifu kwa mfano wa Xello

Tayari kuna nakala kadhaa juu ya Habre kuhusu Honeypot na teknolojia ya Udanganyifu (1 makala, 2 makala) Walakini, bado tunakabiliwa na ukosefu wa ufahamu wa tofauti kati ya madarasa haya ya vifaa vya kinga. Kwa hili, wenzetu kutoka Habari Udanganyifu (msanidi programu wa kwanza wa Urusi Udanganyifu wa Jukwaa) aliamua kuelezea kwa undani tofauti, faida na vipengele vya usanifu wa ufumbuzi huu.

Wacha tujue "vyungu vya asali" na "udanganyifu" ni:

"Teknolojia za udanganyifu" zilionekana kwenye soko la mifumo ya usalama wa habari hivi karibuni. Walakini, wataalam wengine bado wanaona Udanganyifu wa Usalama kuwa sufuria za juu zaidi za asali.

Katika makala haya tutajaribu kuangazia kufanana na tofauti za kimsingi kati ya masuluhisho haya mawili. Katika sehemu ya kwanza, tutazungumzia kuhusu asali, jinsi teknolojia hii ilivyoendelea na ni faida gani na hasara zake. Na katika sehemu ya pili, tutakaa kwa undani juu ya kanuni za uendeshaji wa majukwaa kwa ajili ya kujenga miundombinu iliyosambazwa ya decoys (Kiingereza, Distributed Deception Platform - DDP).

Kanuni ya msingi ya vyungu vya asali ni kuunda mitego ya wadukuzi. Suluhu za kwanza kabisa za Udanganyifu zilitengenezwa kwa kanuni sawa. Lakini DDP za kisasa ni bora zaidi kuliko asali, katika utendaji na ufanisi. Majukwaa ya udanganyifu ni pamoja na: udanganyifu, mitego, chambo, programu, data, hifadhidata, Saraka Inayotumika. DDP za kisasa zinaweza kutoa uwezo mkubwa wa kugundua vitisho, uchanganuzi wa shambulio na uwekaji kiotomatiki wa majibu.

Kwa hivyo, Udanganyifu ni mbinu ya kuiga miundombinu ya IT ya biashara na walaghai wanaopotosha. Kwa hivyo, majukwaa kama haya hufanya iwezekane kusimamisha mashambulizi kabla ya kusababisha uharibifu mkubwa kwa mali ya kampuni. Vipu vya asali, kwa kweli, hazina utendaji mpana na kiwango kama hicho cha otomatiki, kwa hivyo matumizi yao yanahitaji sifa zaidi kutoka kwa wafanyikazi wa idara za usalama wa habari.

1. Vyungu vya asali, Nyavu na Sandboxing: ni nini na jinsi vinavyotumiwa

Neno "vyungu vya asali" lilitumika kwa mara ya kwanza mwaka wa 1989 katika kitabu cha Clifford Stoll "The Cuckoo's Egg", ambacho kinaelezea matukio ya kufuatilia mdukuzi katika Maabara ya Kitaifa ya Lawrence Berkeley (USA). Wazo hili lilitekelezwa mwaka wa 1999 na Lance Spitzner, mtaalamu wa usalama wa habari katika Sun Microsystems, ambaye alianzisha mradi wa utafiti wa Mradi wa Honeynet. Vipu vya asali vya kwanza vilikuwa na rasilimali nyingi, ni vigumu kuviweka na kuvitunza.

Hebu tuangalie kwa karibu ni nini viunga vya asali и nyavu za asali. Vipuli vya asali ni wahudumu binafsi ambao madhumuni yao ni kuvutia washambuliaji kupenya mtandao wa kampuni na kujaribu kuiba data muhimu, na pia kupanua eneo la chanjo ya mtandao. Honeypot (iliyotafsiriwa kama "pipa la asali") ni seva maalum iliyo na seti ya huduma na itifaki mbalimbali za mtandao, kama vile HTTP, FTP, nk. (tazama Mchoro 1).

Ikiwa unachanganya kadhaa viunga vya asali kwenye mtandao, basi tutapata mfumo wa ufanisi zaidi asali, ambayo ni mwigo wa mtandao wa ushirika wa kampuni (seva ya wavuti, seva ya faili, na vipengee vingine vya mtandao). Suluhisho hili hukuruhusu kuelewa mkakati wa washambuliaji na kuwapotosha. Asali ya kawaida, kama sheria, inafanya kazi sambamba na mtandao wa kazi na inajitegemea kabisa. "Mtandao" kama huo unaweza kuchapishwa kwenye mtandao kupitia chaneli tofauti; anuwai tofauti ya anwani za IP pia inaweza kutengwa kwa ajili yake (ona Mchoro 2).

Hatua ya kutumia asali ni kumwonyesha mdukuzi kwamba eti ameingia kwenye mtandao wa shirika la shirika; kwa kweli, mshambuliaji yuko katika "mazingira ya pekee" na chini ya usimamizi wa karibu wa wataalamu wa usalama wa habari (ona Mchoro 3).

Hapa tunahitaji pia kutaja zana kama "sanduku la mchanga"(Kiingereza, sandbox), ambayo huruhusu washambuliaji kusakinisha na kuendesha programu hasidi katika mazingira ya pekee ambapo TEHAMA inaweza kufuatilia shughuli zao ili kutambua hatari zinazoweza kutokea na kuchukua hatua zinazofaa za kukabiliana nazo. Hivi sasa, mchezo wa sandbox kwa kawaida hutekelezwa kwenye mashine maalum zilizojitolea kwenye seva pangishi pepe. Walakini, inapaswa kuzingatiwa kuwa sanduku la mchanga linaonyesha tu jinsi programu hatari na hasidi zinavyofanya, wakati asali husaidia mtaalamu kuchambua tabia ya "wachezaji hatari."

Faida ya wazi ya asali ni kwamba huwapotosha washambuliaji, kupoteza nguvu zao, rasilimali na wakati. Matokeo yake, badala ya malengo halisi, wanashambulia wale wa uongo na wanaweza kuacha kushambulia mtandao bila kufikia chochote. Mara nyingi, teknolojia za asali hutumiwa katika mashirika ya serikali na mashirika makubwa, mashirika ya kifedha, kwa kuwa haya ni miundo ambayo inageuka kuwa malengo ya mashambulizi makubwa ya cyber. Hata hivyo, wafanyabiashara wadogo na wa kati (SMBs) pia wanahitaji zana madhubuti za kuzuia matukio ya usalama wa habari, lakini asali katika sekta ya SMB si rahisi sana kutumia kutokana na ukosefu wa wafanyakazi wenye sifa za kufanya kazi hiyo ngumu.

Mapungufu ya Suluhu za Asali na Asali

Kwa nini sufuria za asali na asali sio suluhisho bora kwa kukabiliana na mashambulizi leo? Ikumbukwe kwamba mashambulizi yanazidi kuwa makubwa, magumu ya kiufundi na yenye uwezo wa kusababisha uharibifu mkubwa kwa miundombinu ya IT ya shirika, na uhalifu wa mtandao umefikia kiwango tofauti kabisa na unawakilisha miundo ya biashara ya kivuli iliyopangwa sana iliyo na rasilimali zote muhimu. Kwa hili lazima iongezwe "sababu ya kibinadamu" (makosa katika mipangilio ya programu na vifaa, vitendo vya watu wa ndani, nk), hivyo kutumia teknolojia tu kuzuia mashambulizi haitoshi tena kwa sasa.

Hapo chini tunaorodhesha mapungufu na hasara kuu za sufuria za asali (asali):

1. Vipuli vya asali vilitengenezwa awali ili kutambua vitisho ambavyo viko nje ya mtandao wa shirika, vinakusudiwa kuchambua tabia ya washambuliaji na havikuundwa kujibu vitisho haraka.

2. Washambuliaji, kama sheria, tayari wamejifunza kutambua mifumo iliyoigwa na epuka sufuria za asali.

3. Asali (vyungu vya asali) vina kiwango cha chini sana cha mwingiliano na mwingiliano na mifumo mingine ya usalama, kwa sababu hiyo, kwa kutumia vyungu vya asali, ni vigumu kupata taarifa za kina kuhusu mashambulizi na washambuliaji, na kwa hiyo kujibu kwa ufanisi na haraka matukio ya usalama wa habari. . Kwa kuongezea, wataalam wa usalama wa habari hupokea arifa nyingi za tishio la uwongo.

4. Katika baadhi ya matukio, wavamizi wanaweza kutumia chungu cha asali kilichoathiriwa kama sehemu ya kuanzia ili kuendeleza mashambulizi yao kwenye mtandao wa shirika.

5. Shida mara nyingi huibuka na uboreshaji wa sufuria za asali, mzigo mkubwa wa kufanya kazi na usanidi wa mifumo kama hiyo (zinahitaji wataalam waliohitimu sana, hawana interface rahisi ya usimamizi, nk). Kuna ugumu mkubwa katika kupeleka vyungu vya asali katika mazingira maalum kama vile IoT, POS, mifumo ya wingu, n.k.

2. Teknolojia ya udanganyifu: faida na kanuni za msingi za uendeshaji

Baada ya kusoma faida na hasara zote za sufuria za asali, tunafikia hitimisho kwamba mbinu mpya kabisa ya kukabiliana na matukio ya usalama wa habari inahitajika ili kuendeleza majibu ya haraka na ya kutosha kwa vitendo vya washambuliaji. Na suluhisho kama hilo ni teknolojia Udanganyifu wa mtandao (udanganyifu wa Usalama).

Istilahi "Udanganyifu wa Mtandao", "Udanganyifu wa Usalama", "Teknolojia ya Udanganyifu", "Jukwaa la Udanganyifu Lililosambazwa" (DDP) ni mpya na ilionekana si muda mrefu uliopita. Kwa kweli, maneno haya yote yanamaanisha matumizi ya "teknolojia ya udanganyifu" au "mbinu za kuiga miundomsingi ya TEHAMA na taarifa potofu za washambuliaji." Ufumbuzi rahisi zaidi wa Udanganyifu ni maendeleo ya mawazo ya asali, tu katika ngazi ya juu zaidi ya teknolojia, ambayo inahusisha automatisering kubwa ya kugundua tishio na kukabiliana nao. Hata hivyo, tayari kuna ufumbuzi mkubwa wa darasa la DDP kwenye soko ambalo ni rahisi kupeleka na kupima, na pia kuwa na arsenal kubwa ya "mitego" na "baits" kwa washambuliaji. Kwa mfano, Udanganyifu hukuruhusu kuiga vitu vya miundombinu ya IT kama vile hifadhidata, vituo vya kazi, vipanga njia, swichi, ATM, seva na SCADA, vifaa vya matibabu na IoT.

Je, Mfumo wa Udanganyifu Uliosambazwa hufanya kazi vipi? Baada ya DDP kupelekwa, miundombinu ya IT ya shirika itajengwa kana kwamba kutoka kwa tabaka mbili: safu ya kwanza ni miundombinu halisi ya kampuni, na ya pili ni mazingira "ya kuigwa" yanayojumuisha decoys na nyambo.), ambayo iko. kwenye vifaa halisi vya mtandao wa kimwili (tazama Mchoro 4).

Kwa mfano, mshambulizi anaweza kugundua hifadhidata za uwongo zilizo na "hati za siri", kitambulisho bandia cha wanaodaiwa kuwa "watumiaji waliobahatika" - yote haya ni udanganyifu ambao unaweza kuwavutia wakiukaji, na hivyo kugeuza mawazo yao kutoka kwa mali ya habari ya kweli ya kampuni (ona Mchoro 5).

DDP ni bidhaa mpya kwenye soko la bidhaa za usalama wa habari; suluhu hizi ni za miaka michache tu na hadi sasa ni sekta ya ushirika pekee inayoweza kumudu. Lakini biashara ndogo na za kati hivi karibuni pia zitaweza kuchukua fursa ya Udanganyifu kwa kukodisha DDP kutoka kwa watoa huduma maalum "kama huduma." Chaguo hili ni rahisi zaidi, kwani hakuna haja ya wafanyikazi wako waliohitimu sana.

Faida kuu za teknolojia ya Udanganyifu zimeonyeshwa hapa chini:

• Uhalisi (ukweli). Teknolojia ya udanganyifu ina uwezo wa kuzalisha tena mazingira halisi ya IT ya kampuni, kuiga mifumo ya uendeshaji kwa ubora, IoT, POS, mifumo maalum (matibabu, viwanda, nk.), huduma, maombi, sifa, nk. Decoys huchanganywa kwa uangalifu na mazingira ya kazi, na mshambulizi hataweza kuwatambua kama sufuria za asali.

• Utekelezaji. DDP hutumia kujifunza kwa mashine (ML) katika kazi zao. Kwa msaada wa ML, unyenyekevu, kubadilika katika mipangilio na ufanisi wa utekelezaji wa Udanganyifu huhakikishwa. "Mitego" na "vyungu vya asali" vinasasishwa kwa haraka sana, na kumvutia mshambuliaji kwenye miundombinu ya IT "ya uwongo" ya kampuni, na wakati huo huo, mifumo ya hali ya juu ya uchambuzi kulingana na akili ya bandia inaweza kugundua vitendo vya wadukuzi na kuwazuia (kwa mfano, jaribu kufikia akaunti za ulaghai zinazotokana na Active Directory).

• Operesheni rahisi. Majukwaa ya Kisasa ya Udanganyifu Yanayosambazwa ni rahisi kutunza na kudhibiti. Kwa kawaida hudhibitiwa kupitia kiweko cha ndani au cha wingu, chenye uwezo wa kuunganishwa na SOC ya shirika (Kituo cha Uendeshaji wa Usalama) kupitia API na kwa vidhibiti vingi vya usalama vilivyopo. Matengenezo na uendeshaji wa DDP hauhitaji huduma za wataalam wa usalama wa habari waliohitimu sana.

• Scalability. Udanganyifu wa usalama unaweza kutumwa katika mazingira ya kimwili, ya mtandaoni na ya wingu. DDP pia hufanya kazi kwa mafanikio na mazingira maalum kama vile IoT, ICS, POS, SWIFT, nk. Majukwaa ya Udanganyifu wa Hali ya Juu yanaweza kutayarisha "teknolojia za udanganyifu" katika ofisi za mbali na mazingira yaliyotengwa, bila hitaji la uwekaji wa ziada wa jukwaa kamili.

• Mwingiliano. Kwa kutumia udanganyifu wenye nguvu na wa kuvutia ambao unategemea mifumo halisi ya uendeshaji na kuwekwa kwa ustadi kati ya miundombinu halisi ya IT, jukwaa la Udanganyifu hukusanya taarifa nyingi kuhusu mshambuliaji. DDP basi huhakikisha kuwa arifa za vitisho zinasambazwa, ripoti zinatolewa, na matukio ya usalama wa habari yanajibiwa kiotomatiki.

• Hatua ya kuanza kwa mashambulizi. Katika Udanganyifu wa kisasa, mitego na baits huwekwa ndani ya aina mbalimbali za mtandao, badala ya nje (kama ilivyo kwa asali). Muundo huu wa utumiaji wa decoy huzuia mshambulizi kuzitumia kama njia ya kushambulia miundombinu halisi ya IT ya kampuni. Masuluhisho ya hali ya juu zaidi ya darasa la Udanganyifu yana uwezo wa kuelekeza trafiki, kwa hivyo unaweza kuelekeza trafiki yote ya wavamizi kupitia muunganisho uliojitolea maalum. Hii itakuruhusu kuchambua shughuli za washambuliaji bila kuhatarisha mali muhimu ya kampuni.

• Ushawishi wa "teknolojia za udanganyifu". Katika hatua ya awali ya shambulio hilo, wavamizi hukusanya na kuchanganua data kuhusu miundombinu ya TEHAMA, kisha kuitumia kusonga mlalo kupitia mtandao wa shirika. Kwa msaada wa "teknolojia za udanganyifu," mshambuliaji hakika ataanguka katika "mitego" ambayo itampeleka mbali na mali halisi ya shirika. DDP itachanganua njia zinazowezekana za kufikia vitambulisho kwenye mtandao wa shirika na kumpa mshambuliaji "lengo la udanganyifu" badala ya vitambulisho halisi. Uwezo huu ulikosekana sana katika teknolojia ya asali. (Ona Mchoro 6).

Udanganyifu VS Honeypot

Na hatimaye, tunakuja kwenye wakati wa kuvutia zaidi wa utafiti wetu. Tutajaribu kuonyesha tofauti kuu kati ya teknolojia za Udanganyifu na Honeypot. Licha ya kufanana fulani, teknolojia hizi mbili bado ni tofauti sana, kutoka kwa wazo la msingi hadi ufanisi wa uendeshaji.

1. Mawazo tofauti ya msingi. Kama tulivyoandika hapo juu, vyungu vya asali vimewekwa kama "vidanganyifu" karibu na mali muhimu ya kampuni (nje ya mtandao wa ushirika), na hivyo kujaribu kuwasumbua washambuliaji. Teknolojia ya chungu cha asali inategemea uelewa wa miundomsingi ya shirika, lakini vyungu vya asali vinaweza kuwa mahali pa kuanzia kwa kuanzisha mashambulizi kwenye mtandao wa kampuni. Teknolojia ya udanganyifu inatengenezwa kwa kuzingatia mtazamo wa mshambuliaji na inakuwezesha kutambua mashambulizi katika hatua ya awali, kwa hivyo, wataalamu wa usalama wa habari hupata faida kubwa juu ya washambuliaji na kupata muda.

2. "Kivutio" VS "Kuchanganyikiwa". Wakati wa kutumia sufuria za asali, mafanikio yanategemea kuvutia tahadhari ya washambuliaji na kuwahamasisha zaidi kuhamia lengo katika asali. Hii ina maana kwamba mshambuliaji lazima bado afikie chungu cha asali kabla ya kumzuia. Kwa hivyo, uwepo wa washambuliaji kwenye mtandao unaweza kudumu kwa miezi kadhaa au zaidi, na hii itasababisha uvujaji wa data na uharibifu. DDPs kwa ubora huiga miundombinu halisi ya IT ya kampuni; madhumuni ya utekelezaji wao sio tu kuvutia tahadhari ya mshambuliaji, lakini kumchanganya ili apoteze muda na rasilimali, lakini asipate upatikanaji wa mali halisi ya kampuni. kampuni.

3. "Uwezo mdogo" VS "uwezo wa kiotomatiki". Kama ilivyoelezwa hapo awali, vyungu vya asali na asali vina matatizo ya kuongeza. Hii ni ngumu na ya gharama kubwa, na ili kuongeza idadi ya asali katika mfumo wa ushirika, itabidi kuongeza kompyuta mpya, OS, kununua leseni, na kutenga IP. Zaidi ya hayo, ni lazima pia kuwa na wafanyakazi waliohitimu kusimamia mifumo hiyo. Mifumo ya ulaghai huweka kiotomatiki kama mizani yako ya miundombinu, bila malipo makubwa.

4. "Idadi kubwa ya chanya za uwongo" VS "hakuna chanya za uwongo". Kiini cha tatizo ni kwamba hata mtumiaji rahisi anaweza kukutana na sufuria ya asali, hivyo "upungufu" wa teknolojia hii ni idadi kubwa ya chanya za uongo, ambazo huwazuia wataalam wa usalama wa habari kutoka kwa kazi zao. "Baits" na "mitego" katika DDP hufichwa kwa uangalifu kutoka kwa mtumiaji wa kawaida na imeundwa tu kwa mshambuliaji, hivyo kila ishara kutoka kwa mfumo huo ni taarifa ya tishio la kweli, na sio chanya cha uongo.

Hitimisho

Kwa maoni yetu, teknolojia ya Udanganyifu ni uboreshaji mkubwa zaidi ya teknolojia ya zamani ya Asali. Kimsingi, DDP imekuwa jukwaa pana la usalama ambalo ni rahisi kusambaza na kudhibiti.

Majukwaa ya kisasa ya darasa hili yana jukumu muhimu katika kutambua kwa usahihi na kujibu kwa ufanisi vitisho vya mtandao, na ushirikiano wao na vipengele vingine vya stack ya usalama huongeza kiwango cha automatisering, huongeza ufanisi na ufanisi wa majibu ya tukio. Majukwaa ya udanganyifu yanategemea uhalisi, ukubwa, urahisi wa usimamizi na ushirikiano na mifumo mingine. Yote hii inatoa faida kubwa katika kasi ya kukabiliana na matukio ya usalama wa habari.

Pia, kwa kuzingatia uchunguzi wa pentest ya makampuni ambapo jukwaa la Udanganyifu wa Xello lilitekelezwa au majaribio, tunaweza kufikia hitimisho kwamba hata pentesters wenye uzoefu mara nyingi hawawezi kutambua bait katika mtandao wa ushirika na kushindwa wakati wanaanguka kwa mitego iliyowekwa. Ukweli huu mara nyingine tena unathibitisha ufanisi wa Udanganyifu na matarajio makubwa ambayo yanafungua kwa teknolojia hii katika siku zijazo.

Upimaji wa bidhaa

Ikiwa una nia ya jukwaa la Udanganyifu, basi tuko tayari kufanya majaribio ya pamoja.

Endelea kuwa nasi kwa sasisho katika chaneli zetu (telegram, Facebook, VK, TS Solution Blog)!

Chanzo: mapenzi.com