Honeypot против фиреб дар мисоли Xello

Дар бораи Habré аллакай якчанд мақолаҳо дар бораи технологияҳои Honeypot ва Deception мавҷуданд (Мақолаи 1, Мақолаи 2). Бо вуҷуди ин, мо то ҳол бо набудани фаҳмиши фарқияти байни ин синфҳои таҷҳизоти муҳофизатӣ дучор мешавем. Барои ин хамкасбони мо аз Салом фиреб (аввалин таҳиягари Русия Фиреби платформа)^арор дод, ки тафовут, бартарй ва хусусиятхои меъмории ин карорхоро муфассал баён кунад.

Биёед бифаҳмем, ки "кӯзаҳо" ва "фиребҳо" чистанд:

«Технологияҳои фиребгар» дар бозори системаҳои амнияти иттилоотӣ нисбатан ба наздикӣ пайдо шуданд. Бо вуҷуди ин, баъзе коршиносон то ҳол фиреби амниятро танҳо як қуттиҳои пешрафтатар медонанд.

Дар ин мақола мо кӯшиш хоҳем кард, ки ҳам монандӣ ва ҳам фарқиятҳои асосии байни ин ду ҳалли худро нишон диҳем. Дар қисми аввал, мо дар бораи асал, чӣ гуна ин технология таҳия шудааст ва афзалиятҳо ва нуқсонҳои он чӣ гунаанд, сӯҳбат хоҳем кард. Ва дар қисми дуюм, мо ба таври муфассал дар бораи принсипҳои кори платформаҳо барои эҷоди инфрасохтори тақсимшудаи decoys (англисӣ, Distributed Deception Platform - DDP) сухан меронем.

Принсипи асосии асосии асал ин сохтани домҳо барои ҳакерҳо мебошад. Аввалин қарорҳои фиребгарӣ дар ҳамон принсип таҳия карда шуданд. Аммо DDP-ҳои муосир ҳам аз ҷиҳати функсия ва ҳам самаранокӣ аз асалҳо хеле бартарӣ доранд. Платформаҳои фиребгарона иборатанд аз: фиребҳо, домҳо, фиребҳо, замимаҳо, додаҳо, пойгоҳи додаҳо, Active Directory. DDP-ҳои муосир метавонанд қобилиятҳои пурқувватро барои ошкор кардани таҳдидҳо, таҳлили ҳамлаҳо ва автоматикунонии посух пешниҳод кунанд.

Ҳамин тариқ, фиреб як усули тақлид кардани инфрасохтори IT-и корхона ва ҳакерҳои гумроҳкунанда мебошад. Дар натиҷа, чунин платформаҳо имкон медиҳанд, ки ҳамлаҳо пеш аз расонидани зарари назаррас ба дороиҳои ширкат қатъ карда шаванд. Асалҳо, албатта, чунин функсияҳои васеъ ва чунин сатҳи автоматизатсия надоранд, аз ин рӯ истифодаи онҳо аз кормандони шӯъбаҳои амнияти иттилоотӣ тахассуси бештар талаб мекунад.

1. Honeypots, Honeynets ва Sandboxing: онҳо чист ва чӣ тавр истифода мешаванд

Истилоҳи "кӯзаи асал" бори нахуст соли 1989 дар китоби Клиффорд Столл "Тухми коку" истифода шудааст, ки ҳодисаҳои пайгирии як ҳакерро дар Лабораторияи миллии Лоренс Беркли (ИМА) тавсиф мекунад. Ин идея дар соли 1999 аз ҷониби Лэнс Спитзнер, мутахассиси амнияти иттилоотии Sun Microsystems, ки лоиҳаи тадқиқотии лоиҳаи Honeynet-ро таъсис додааст, амалӣ карда шуд. Аввалин кӯзаҳои асал хеле серталаб буданд, ташкил ва нигоҳдории онҳо душвор буданд.

Биёед муфассалтар бубинем, ки он чист honeypots и торҳои асал. Honeypots ҳостҳои инфиродӣ мебошанд, ки ҳадафи онҳо ҷалби ҳамлагарон барои ворид шудан ба шабакаи ширкат ва кӯшиши дуздидани маълумоти арзишманд ва инчунин васеъ кардани минтақаи фарогирии шабака мебошад. Honeypot (айнан ҳамчун "баррели асал" тарҷума шудааст) як сервери махсус бо маҷмӯи хидматҳо ва протоколҳои гуногуни шабакавӣ, аз қабили HTTP, FTP ва ғайра мебошад. (нигаред ба расми 1).

Агар шумо якчанд чизро якҷоя кунед honeypots ба шабака, он гоҳ мо системаи самараноктар ба даст меорем асал, ки тақлиди шабакаи корпоративии ширкат (веб-сервер, сервери файл ва дигар ҷузъҳои шабака) мебошад. Ин ҳалли шумо имкон медиҳад, ки стратегияи ҳамлагаронро фаҳмед ва онҳоро гумроҳ кунед. Шабакаи маъмулӣ, чун қоида, дар баробари шабакаи корӣ кор мекунад ва аз он комилан мустақил аст. Чунин «шабака»-ро дар Интернет тавассути канали алохида интишор кардан мумкин аст, инчунин барои он доираи алохидаи IP-адресхо чудо кардан мумкин аст (ниг. Расми 2).

Мақсади истифодаи honeynet он аст, ки ба ҳакер нишон додани он аст, ки вай гӯё ба шабакаи корпоративии созмон ворид шудааст, дар асл ҳамлагар дар “муҳити ҷудогона” ва таҳти назорати наздики мутахассисони амнияти иттилоотӣ қарор дорад (ниг. Расми 3).

Дар ин ҷо мо бояд чунин асбоберо низ зикр кунем, ки «регзор"(англисӣ, зеркашӣ), ки ба ҳамлагарон имкон медиҳад, ки нармафзори зарароварро дар муҳити ҷудогона насб ва идора кунанд, ки дар он IT метавонад фаъолияти онҳоро барои муайян кардани хатарҳои эҳтимолӣ ва андешидани чораҳои мувофиқ назорат кунад. Дар айни замон, қумбокс одатан дар мошинҳои виртуалии бахшидашуда дар мизбони виртуалӣ амалӣ карда мешавад. Аммо, бояд қайд кард, ки регбокс танҳо чӣ гуна рафтори барномаҳои хатарнок ва зарароварро нишон медиҳад, дар ҳоле ки honeynet ба мутахассис дар таҳлили рафтори "бозингарони хатарнок" кӯмак мекунад.

Фоидаи возеҳи торҳои асал дар он аст, ки онҳо ҳамлагаронро гумроҳ карда, қувва, захираҳо ва вақти худро сарф мекунанд. Дар натиҷа, онҳо ба ҷои ҳадафҳои воқеӣ ба ҳадафҳои бардурӯғ ҳамла мекунанд ва бидуни ноил шудан ба ҳеҷ чиз метавонанд ҳамларо ба шабака қатъ кунанд. Аксар вақт, технологияҳои honeynets дар муассисаҳои давлатӣ ва корпоратсияҳои калон, ташкилотҳои молиявӣ истифода мешаванд, зеро ин сохторҳое мебошанд, ки ҳадафи ҳамлаҳои бузурги киберӣ мебошанд. Бо вуҷуди ин, соҳибкории хурду миёна (СМБ) низ ба абзорҳои муассир барои пешгирии ҳодисаҳои амнияти иттилоотӣ ниёз дорад, аммо аз сабаби нарасидани кадрҳои соҳибихтисос барои чунин корҳои мураккаб истифода бурдани асалҳо дар бахши SMB чандон осон нест.

Маҳдудиятҳои Honeypots ва Honeynets Solutions

Чаро кӯзаҳо ва тӯрҳои асал беҳтарин роҳи ҳалли мубориза бо ҳамлаҳо нестанд? Бояд қайд кард, ки ҳамлаҳо торафт миқёси васеъ, аз ҷиҳати техникӣ мураккаб ва қодир ба инфрасохтори ТИ-и созмон мегарданд ва киберҷиноятҳо ба сатҳи комилан дигар расида, сохторҳои хеле муташаккили тиҷоратии сояи бо тамоми захираҳои зарурӣ муҷаҳҳазшуда мебошанд. Ба ин бояд "омили инсонӣ" (хатоҳо дар танзимоти нармафзор ва сахтафзор, амали инсайдерҳо ва ғайра) илова карда шавад, аз ин рӯ, дар айни замон истифодаи танҳо технология барои пешгирии ҳамлаҳо кофӣ нест.

Дар зер мо маҳдудиятҳо ва нуқсонҳои асосии асал (honeynets) номбар мекунем:

1. Honeypots аслан барои муайян кардани таҳдидҳое, ки берун аз шабакаи корпоративӣ ҳастанд, таҳия шуда буданд, балки барои таҳлили рафтори ҳамлагарон пешбинӣ шудаанд ва барои вокуниши зуд ба таҳдидҳо пешбинӣ нашудаанд.

2. Ҳамлагарон, чун қоида, аллакай фаҳмиданд, ки системаҳои тақлидшударо эътироф кунанд ва аз асал канорагирӣ кунанд.

3. Honeynets (honeypots) сатҳи бениҳоят пасти интерактивӣ ва мутақобила бо дигар системаҳои амниятӣ доранд, ки дар натиҷа бо истифода аз honeypots ба даст овардани маълумоти муфассал дар бораи ҳамлаҳо ва ҳамлагарон ва аз ин рӯ вокуниши муассир ва зуд ба ҳодисаҳои амнияти иттилоотӣ душвор аст. . Гузашта аз ин, мутахассисони амнияти иттилоотӣ шумораи зиёди огоҳиҳои бардурӯғи таҳдидро мегиранд.

4. Дар баъзе мавридҳо, ҳакерҳо метавонанд ҳамчун нуқтаи ибтидоӣ барои идомаи ҳамлаи худ ба шабакаи созмон истифода баранд.

5. Мушкилот аксар вақт бо миқёспазирии кӯзаҳо, сарбории баланди амалиётӣ ва конфигуратсияи чунин системаҳо ба миён меоянд (онҳо мутахассисони баландихтисосро талаб мекунанд, интерфейси идоракунии қулай надоранд ва ғайра). Дар ҷойгиркунии кӯзаҳои асал дар муҳитҳои махсусгардонидашуда ба монанди IoT, POS, системаҳои абрӣ ва ғайра душвориҳои зиёд мавҷуданд.

2. Технологияи фиреб: афзалиятҳо ва принсипҳои асосии фаъолият

Пас аз омӯхтани тамоми бартариятҳо ва нуқсонҳои асал, мо ба хулосае омадем, ки муносибати комилан нав барои вокуниш ба ҳодисаҳои амнияти иттилоотӣ барои таҳияи вокуниши зуд ва мувофиқ ба амали ҳамлагарон лозим аст. Ва чунин ҳалли технология аст Фиреби киберӣ (фиреб дар амният).

Истилоҳоти "Фиреб дар кибер", "Фиреби амният", "Технологияи фиреб", "Платформаи паҳншудаи фиреб" (DDP) нисбатан нав аст ва чанде пеш пайдо шудааст. Дар асл, ҳамаи ин истилоҳҳо маънои истифодаи "технологияҳои фиребгарӣ" ё "усулҳои тақлид кардани инфрасохтори IT ва маълумоти бардурӯғро дар бораи ҳамлагарон" доранд. Соддатарин роҳҳои ҳалли фиреб ин таҳияи ғояҳои асалҳои асал аст, танҳо дар сатҳи пешрафтаи технологӣ, ки автоматикунонии бештари ошкор кардани таҳдид ва вокуниш ба онҳоро дар бар мегирад. Бо вуҷуди ин, дар бозор аллакай қарорҳои ҷиддии дараҷаи DDP мавҷуданд, ки ҷойгир кардан ва миқёс кардан осонанд ва инчунин арсенали ҷиддии "домҳо" ва "домҳо" барои ҳамлагарон доранд. Масалан, фиреб ба шумо имкон медиҳад, ки ба объектҳои инфрасохтори IT, аз қабили пойгоҳи додаҳо, истгоҳҳои корӣ, роутерҳо, коммутаторҳо, банкоматҳо, серверҳо ва SCADA, таҷҳизоти тиббӣ ва IoT тақлид кунед.

Платформаи тақсимшудаи фиреб чӣ гуна кор мекунад? Пас аз ҷойгиркунии DDP, инфрасохтори IT-и созмон гӯё аз ду қабат сохта мешавад: қабати якум инфрасохтори воқеии ширкат ва дуввум муҳити "тақлидшуда" иборат аз фиребгарон ва домҳо. lures), ки ҷойгир шудаанд дар дастгоҳҳои шабакаи физикии воқеӣ (ниг. Расми 4).

Масалан, ҳамлакунанда метавонад пойгоҳи додаҳои бардурӯғро бо "ҳуҷҷатҳои махфӣ", маълумотҳои қалбакии гӯё "истифодабарандагони имтиёзнок" кашф кунад - ҳамаи ин фиребгароне мебошанд, ки метавонанд вайронкунандагонро ба шавқ оваранд ва ба ин васила таваҷҷӯҳи онҳоро аз дороиҳои иттилоотии ҳақиқии ширкат дур кунанд (ниг. Расми 5).

DDP як маҳсулоти нав дар бозори маҳсулоти амнияти иттилоотӣ мебошад; ин қарорҳо ҳамагӣ чанд сол доранд ва то ҳол танҳо бахши корпоративӣ қодир аст онҳоро харидорӣ кунад. Аммо тиҷорати хурд ва миёна низ ба зудӣ метавонанд аз фиреб истифода баранд, тавассути иҷораи DDP аз провайдерҳои махсус "ҳамчун хидмат". Ин вариант боз ҳам қулайтар аст, зеро ба кадрҳои баландихтисоси шумо ниёзе нест.

Бартариҳои асосии технологияи Deception дар зер нишон дода шудаанд:

• Аслӣ (аслӣ). Технологияи фиребгарӣ қодир аст, ки муҳити комилан аслии IT-и ширкатро дубора тавлид кунад, системаҳои оператсионии сифатан тақлид кунад, IoT, POS, системаҳои махсус (тиббӣ, саноатӣ ва ғайра), хидматҳо, барномаҳо, эътимодномаҳо ва ғайра. Декоҳо бо муҳити корӣ бодиққат омехта карда мешаванд ва ҳамлакунанда онҳоро ҳамчун кӯзаҳои асал муайян карда наметавонад.

• Амалиёт. DDPs дар кори худ омӯзиши мошинро (ML) истифода мебаранд. Бо ёрии ML, соддагӣ, чандирӣ дар танзимот ва самаранокии татбиқи фиреб таъмин карда мешавад. "Домҳо" ва "деко" хеле зуд нав карда мешаванд, ки ҳамлакунандаро ба инфрасохтори "дурӯғи" IT-и ширкат ҷалб мекунанд ва дар айни замон, системаҳои пешрафтаи таҳлили бар асоси зеҳни сунъӣ метавонанд амалҳои фаъоли ҳакерҳоро ошкор ва пешгирӣ кунанд (масалан, кӯшиш кунед, ки ба ҳисобҳои қаллобӣ дар асоси Active Directory дастрасӣ пайдо кунед).

• Осонии кор. Платформаҳои муосири тақсимшудаи фиребро нигоҳ доштан ва идора кардан осон аст. Онҳо маъмулан тавассути консоли маҳаллӣ ё абрӣ, бо қобилиятҳои ҳамгироӣ бо SOC корпоративӣ (Маркази Амалиётҳои Амният) тавассути API ва бо бисёре аз назорати мавҷудаи амният идора карда мешаванд. Нигоҳдорӣ ва истифодаи DDP хидматрасонии коршиносони баландихтисоси амнияти иттилоотиро талаб намекунад.

• Миқёспазирӣ. Фиреби амниятро дар муҳити физикӣ, виртуалӣ ва абрӣ истифода бурдан мумкин аст. DDPs инчунин бо муҳитҳои махсусгардонидашуда ба монанди IoT, ICS, POS, SWIFT ва ғайра бомуваффақият кор мекунанд. Платформаҳои пешрафтаи фиребгарон метавонанд "технологияҳои фиребро" дар офисҳои дурдаст ва муҳитҳои ҷудогона бидуни ниёз ба густариши пурраи платформаи иловагӣ тарҳрезӣ кунанд.

• Муносибат. Бо истифода аз фиребҳои пурқувват ва ҷолибе, ки ба системаҳои оператсионии воқеӣ асос ёфтаанд ва дар байни инфрасохтори воқеии IT оқилона ҷойгир шудаанд, платформаи Deception маълумоти васеъро дар бораи ҳамла ҷамъ меорад. Пас DDP кафолат медиҳад, ки огоҳиҳои таҳдид интиқол дода мешаванд, гузоришҳо тавлид мешаванд ва ба ҳодисаҳои амнияти иттилоотӣ ба таври худкор посух дода мешаванд.

• Нуқтаи оғози ҳамла. Дар фиреби муосир, домҳо ва домҳо дар доираи шабака ҷойгир карда мешаванд, на берун аз он (чунон ки дар ҳолати асалҳо). Ин модели густариши фиребгарона пешгирӣ мекунад, ки ҳамлакунанда онҳоро ҳамчун нуқтаи фишанги ҳамла ба инфрасохтори воқеии IT ширкат истифода барад. Қарорҳои пешрафтаи синфи Deception дорои имкониятҳои масири трафик мебошанд, аз ин рӯ шумо метавонед тамоми трафики ҳамлагаронро тавассути пайвасти махсус бахшидашуда равона кунед. Ин ба шумо имкон медиҳад, ки фаъолияти ҳамлагаронро бидуни хатари дороиҳои арзишманди ширкат таҳлил кунед.

• Мӯътамад будани «технологияҳои фиреб». Дар марҳилаи ибтидоии ҳамла, ҳамлагарон маълумотро дар бораи инфрасохтори IT ҷамъоварӣ ва таҳлил мекунанд ва сипас онро барои ҳаракати уфуқӣ тавассути шабакаи корпоративӣ истифода мебаранд. Бо ёрии «технологияҳои фиребгар» ҳамлакунанда ҳатман ба «домҳо» меафтад, ки ӯро аз дороиҳои воқеии созмон дур мекунад. DDP роҳҳои эҳтимолии дастрасӣ ба эътимодномаҳоро дар шабакаи корпоративӣ таҳлил мекунад ва ба ҳамлагар ба ҷои маълумоти воқеӣ "ҳадафҳои фиребанда" медиҳад. Ин қобилиятҳо дар технологияҳои асал хеле кам буданд. (Ба расми 6 нигаред).

Фиреб VS Honeypot

Ва ниҳоят, мо ба лаҳзаи ҷолибтарини тадқиқоти худ меоем. Мо кӯшиш мекунем фарқиятҳои асосии байни технологияҳои Deception ва Honeypot-ро нишон диҳем. Бо вуҷуди баъзе шабоҳатҳо, ин ду технология то ҳол аз идеяи асосӣ то самаранокии амалиёт хеле фарқ мекунанд.

1. Ақидаҳои асосии гуногун. Тавре ки мо дар боло навиштем, кӯзаҳои асал дар атрофи дороиҳои пурарзиши ширкат (берун аз шабакаи корпоративӣ) ҳамчун “деко” насб карда мешаванд ва ҳамин тавр кӯшиш мекунанд, ки ҳамлагаронро парешон кунанд. Технологияи Honeypot ба фаҳмиши инфрасохтори созмон асос ёфтааст, аммо кӯзаҳо метавонанд як нуқтаи ибтидоӣ барои ҳамла ба шабакаи ширкат шаванд. Технологияи фиребгарӣ бо дарназардошти нуқтаи назари ҳамлагар таҳия шудааст ва ба шумо имкон медиҳад, ки ҳамларо дар марҳилаи аввал муайян кунед, аз ин рӯ, мутахассисони амнияти иттилоотӣ нисбат ба ҳамлагарон бартарии назаррас ба даст меоранд ва вақт ба даст меоранд.

2. "Ҷазб" VS "Офариш". Ҳангоми истифодаи кӯзаҳо, муваффақият аз ҷалби таваҷҷӯҳи ҳамлагарон ва ҳавасмандии минбаъдаи онҳо барои ҳаракат ба ҳадаф дар асал вобаста аст. Ин маънои онро дорад, ки ҳамлагар бояд ҳанӯз ба асал расад, то шумо ӯро боздоред. Ҳамин тариқ, ҳузури ҳамлагарон дар шабака метавонад чанд моҳ ё бештар аз он идома ёбад ва ин боиси ихроҷи маълумот ва вайрон шудани он мегардад. DDP-ҳо инфрасохтори воқеии IT-и ширкатро сифатан тақлид мекунанд; ҳадафи татбиқи онҳо на танҳо ҷалби таваҷҷӯҳи ҳамлагар, балки ба иштибоҳ андохтан аст, то вай вақт ва захираҳоро беҳуда сарф кунад, аммо ба дороиҳои воқеии ширкат дастрасӣ наёбад. ширкат.

3. "Миқёспазирии маҳдуд" VS "Миқёспазирии худкор". Тавре ки қаблан қайд карда шуд, кӯзаҳо ва торҳои асал мушкилоти миқёсро доранд. Ин мушкил ва гарон аст ва барои зиёд кардани шумораи асалҳо дар системаи корпоративӣ, шумо бояд компютерҳои нав, OS илова кунед, литсензия харед ва IP ҷудо кунед. Илова бар ин, барои идоракунии чунин системаҳо кадрҳои соҳибихтисос низ заруранд. Платформаҳои фиребгарӣ ба таври худкор ҳамчун миқёси инфрасохтори шумо бидуни хароҷоти назаррас ҷойгир карда мешаванд.

4. "Миқдори зиёди мусбатҳои бардурӯғ" VS "непозитсияҳои бардурӯғ". Моҳияти мушкилот дар он аст, ки ҳатто як корбари оддӣ метавонад бо асал рӯ ба рӯ шавад, аз ин рӯ, "манфии" ин технология шумораи зиёди мусбатҳои бардурӯғ аст, ки диққати мутахассисони амнияти иттилоотиро аз кори худ дур мекунад. "Домҳо" ва "домҳо" дар DDP аз корбари миёна бодиққат пинҳон карда шудаанд ва танҳо барои ҳамлагар тарҳрезӣ шудаанд, аз ин рӯ ҳар як сигнал аз чунин система огоҳии таҳдиди воқеӣ аст, на мусбати бардурӯғ.

хулоса

Ба андешаи мо, технологияи Deception як беҳбуди бузург нисбат ба технологияи кӯҳнаи Honeypots мебошад. Аслан, DDP ба платформаи мукаммали амниятӣ табдил ёфтааст, ки ҷойгир кардан ва идора кардан осон аст.

Платформаҳои муосири ин синф дар ошкор ва вокуниши муассир ба таҳдидҳои шабакавӣ нақши муҳим доранд ва ҳамгироии онҳо бо дигар ҷузъҳои стеки амниятӣ сатҳи автоматикунониро боло бурда, самаранокӣ ва самаранокии вокуниш ба ҳодисаҳоро афзоиш медиҳад. Платформаҳои фиреб ба аслият, миқёспазирӣ, осонии идоракунӣ ва ҳамгироӣ бо системаҳои дигар асос ёфтаанд. Ҳамаи ин дар суръати вокуниш ба ҳодисаҳои амнияти иттилоотӣ бартарии назаррас медиҳад.

Инчунин, дар асоси мушоҳидаҳои пентестҳои ширкатҳое, ки платформаи Xello Deception дар он ҷо татбиқ ё озмоиш карда шудааст, мо метавонем хулоса барем, ки ҳатто пентестерҳои ботаҷриба аксар вақт домро дар шабакаи корпоративӣ эътироф карда наметавонанд ва ҳангоми афтодан ба домҳои гузошташуда ноком мешаванд. Ин далел бори дигар самаранокии фиреб ва дурнамои бузургеро, ки барои ин технология дар оянда боз мекунад, тасдиқ мекунад.

Озмоиши маҳсулот

Агар шумо ба платформаи фиреб таваҷҷӯҳ дошта бошед, пас мо омодаем санҷиши муштарак гузаронед.

Барои навсозиҳо ба каналҳои мо пайравӣ кунед (телеграмма, Facebook, VK, Блоги TS Solution)!

Манбаъ: will.com