Honeypot กับ Deception โดยใช้ Xello เป็นตัวอย่าง

มีบทความมากมายเกี่ยวกับHabréเกี่ยวกับเทคโนโลยี Honeypot และการหลอกลวง (1 บทความ, 2 บทความ). อย่างไรก็ตาม เรายังคงเผชิญกับการขาดความเข้าใจถึงความแตกต่างระหว่างอุปกรณ์ป้องกันประเภทนี้ สำหรับเรื่องนี้เพื่อนร่วมงานของเราจาก สวัสดี การหลอกลวง (ผู้พัฒนาชาวรัสเซียคนแรก การหลอกลวงแพลตฟอร์ม) ตัดสินใจอธิบายรายละเอียดความแตกต่าง ข้อดี และคุณลักษณะทางสถาปัตยกรรมของโซลูชันเหล่านี้

เรามาดูกันว่า "honeypots" และ "deception" คืออะไร:

“เทคโนโลยีการหลอกลวง” ปรากฏในตลาดระบบรักษาความปลอดภัยข้อมูลเมื่อไม่นานมานี้ อย่างไรก็ตาม ผู้เชี่ยวชาญบางคนยังถือว่า Security Deception เป็นเพียง honeypot ขั้นสูงเท่านั้น

ในบทความนี้ เราจะพยายามเน้นทั้งความเหมือนและความแตกต่างพื้นฐานระหว่างโซลูชันทั้งสองนี้ ในส่วนแรกเราจะพูดถึง honeypot ว่าเทคโนโลยีนี้พัฒนาไปอย่างไร และข้อดีและข้อเสียของมันคืออะไร และในส่วนที่สองเราจะกล่าวถึงรายละเอียดเกี่ยวกับหลักการทำงานของแพลตฟอร์มสำหรับการสร้างโครงสร้างพื้นฐานแบบกระจายของตัวล่อ (อังกฤษ, แพลตฟอร์มการหลอกลวงแบบกระจาย - DDP)

หลักการพื้นฐานพื้นฐานของ honeypot คือการสร้างกับดักสำหรับแฮกเกอร์ โซลูชันการหลอกลวงแรกสุดได้รับการพัฒนาบนหลักการเดียวกัน แต่ DDP สมัยใหม่นั้นเหนือกว่า honeypots อย่างมาก ทั้งในด้านการใช้งานและประสิทธิภาพ แพลตฟอร์มการหลอกลวงประกอบด้วย: ตัวล่อ กับดัก เหยื่อล่อ แอปพลิเคชัน ข้อมูล ฐานข้อมูล Active Directory DDP สมัยใหม่สามารถมอบความสามารถอันทรงพลังสำหรับการตรวจจับภัยคุกคาม การวิเคราะห์การโจมตี และการตอบสนองอัตโนมัติ

ดังนั้นการหลอกลวงจึงเป็นเทคนิคในการจำลองโครงสร้างพื้นฐานด้านไอทีขององค์กรและทำให้แฮกเกอร์เข้าใจผิด เป็นผลให้แพลตฟอร์มดังกล่าวสามารถหยุดการโจมตีได้ก่อนที่จะสร้างความเสียหายอย่างมากต่อทรัพย์สินของบริษัท แน่นอนว่า Honeypots ไม่มีฟังก์ชันการทำงานที่กว้างขวางและระดับของระบบอัตโนมัติ ดังนั้นการใช้งานจึงต้องมีคุณสมบัติเพิ่มเติมจากพนักงานของแผนกความปลอดภัยของข้อมูล

1. Honeypots, Honeynets และ Sandboxing: คืออะไรและนำไปใช้อย่างไร

คำว่า "honeypots" ถูกใช้ครั้งแรกในปี 1989 ในหนังสือ "The Cuckoo's Egg" ของ Clifford Stoll ซึ่งบรรยายถึงเหตุการณ์การติดตามแฮ็กเกอร์ที่ห้องปฏิบัติการแห่งชาติ Lawrence Berkeley (สหรัฐอเมริกา) แนวคิดนี้ถูกนำไปปฏิบัติในปี 1999 โดย Lance Spitzner ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลที่ Sun Microsystems ผู้ก่อตั้งโครงการวิจัย Honeynet Project honeypots แรกนั้นใช้ทรัพยากรมาก ติดตั้งและบำรุงรักษาได้ยาก

เรามาดูกันดีกว่าว่ามันคืออะไร honeypots и น้ำผึ้ง. Honeypots เป็นโฮสต์ส่วนบุคคลที่มีวัตถุประสงค์เพื่อดึงดูดผู้โจมตีให้เจาะเครือข่ายของบริษัทและพยายามขโมยข้อมูลอันมีค่า รวมทั้งขยายพื้นที่ครอบคลุมของเครือข่าย Honeypot (แปลตามตัวอักษรว่า "ถังน้ำผึ้ง") เป็นเซิร์ฟเวอร์พิเศษที่มีชุดบริการเครือข่ายและโปรโตคอลต่างๆ เช่น HTTP, FTP เป็นต้น (ดูรูปที่ 1)

ถ้ารวมกันหลายอัน honeypots เข้าสู่เครือข่ายแล้วเราจะได้ระบบที่มีประสิทธิภาพมากขึ้น ฮันนี่เน็ตซึ่งเป็นการจำลองเครือข่ายองค์กรของบริษัท (เว็บเซิร์ฟเวอร์ ไฟล์เซิร์ฟเวอร์ และส่วนประกอบเครือข่ายอื่นๆ) โซลูชันนี้ช่วยให้คุณเข้าใจกลยุทธ์ของผู้โจมตีและทำให้พวกเขาเข้าใจผิด ตามกฎแล้ว honeynet ทั่วไปทำงานควบคู่ไปกับเครือข่ายการทำงานและไม่ขึ้นอยู่กับเครือข่ายดังกล่าวโดยสมบูรณ์ "เครือข่าย" ดังกล่าวสามารถเผยแพร่บนอินเทอร์เน็ตผ่านช่องทางแยกต่างหาก นอกจากนี้ยังสามารถจัดสรรช่วงที่อยู่ IP ที่แยกต่างหากได้ (ดูรูปที่ 2)

จุดประสงค์ของการใช้ honeynet คือการแสดงให้แฮ็กเกอร์เห็นว่าเขาน่าจะเจาะเครือข่ายองค์กรขององค์กรได้ อันที่จริง ผู้โจมตีอยู่ใน “สภาพแวดล้อมที่โดดเดี่ยว” และอยู่ภายใต้การดูแลอย่างใกล้ชิดของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล (ดูรูปที่ 3)

ที่นี่เรายังต้องพูดถึงเครื่องมือเช่น “Sandbox"(ภาษาอังกฤษ, Sandbox) ซึ่งช่วยให้ผู้โจมตีสามารถติดตั้งและเรียกใช้มัลแวร์ในสภาพแวดล้อมที่แยกได้ โดยที่ฝ่ายไอทีสามารถตรวจสอบกิจกรรมของตนเพื่อระบุความเสี่ยงที่อาจเกิดขึ้นและใช้มาตรการรับมือที่เหมาะสม ในปัจจุบัน โดยทั่วไปแซนด์บ็อกซ์จะถูกนำไปใช้กับเครื่องเสมือนเฉพาะบนโฮสต์เสมือน อย่างไรก็ตาม ควรสังเกตว่าแซนด์บ็อกซ์จะแสดงเฉพาะพฤติกรรมของโปรแกรมที่เป็นอันตรายและอันตรายเท่านั้น ในขณะที่ honeynet ช่วยให้ผู้เชี่ยวชาญวิเคราะห์พฤติกรรมของ “ผู้เล่นที่เป็นอันตราย”

ประโยชน์ที่ชัดเจนของ honeynet คือพวกมันทำให้ผู้โจมตีเข้าใจผิด สิ้นเปลืองพลังงาน ทรัพยากร และเวลา เป็นผลให้แทนที่จะโจมตีเป้าหมายจริง พวกเขาโจมตีเป้าหมายปลอมและสามารถหยุดการโจมตีเครือข่ายโดยไม่บรรลุผลใดๆ บ่อยครั้งที่เทคโนโลยี honeynets ถูกใช้ในหน่วยงานภาครัฐและองค์กรขนาดใหญ่ องค์กรทางการเงิน เนื่องจากสิ่งเหล่านี้เป็นโครงสร้างที่กลายเป็นเป้าหมายของการโจมตีทางไซเบอร์ครั้งใหญ่ อย่างไรก็ตาม ธุรกิจขนาดเล็กและขนาดกลาง (SMB) ยังต้องการเครื่องมือที่มีประสิทธิภาพในการป้องกันเหตุการณ์ด้านความปลอดภัยของข้อมูล แต่ฮันนี่เน็ตในภาค SMB นั้นใช้งานไม่ได้ง่ายนัก เนื่องจากขาดบุคลากรที่มีคุณสมบัติเหมาะสมสำหรับงานที่ซับซ้อนดังกล่าว

ข้อจำกัดของโซลูชัน Honeypots และ Honeynets

เหตุใด honeypots และ honeynet จึงไม่ใช่ทางออกที่ดีที่สุดสำหรับการตอบโต้การโจมตีในปัจจุบัน ควรสังเกตว่าการโจมตีมีขนาดกว้างขวางมากขึ้น ซับซ้อนทางเทคนิค และสามารถก่อให้เกิดความเสียหายร้ายแรงต่อโครงสร้างพื้นฐานด้านไอทีขององค์กรได้ และอาชญากรรมในโลกไซเบอร์ก็ก้าวไปสู่ระดับที่แตกต่างไปจากเดิมอย่างสิ้นเชิง และแสดงถึงโครงสร้างธุรกิจเงาที่มีการจัดระเบียบสูงพร้อมกับทรัพยากรที่จำเป็นทั้งหมด จะต้องเพิ่ม "ปัจจัยมนุษย์" (ข้อผิดพลาดในการตั้งค่าซอฟต์แวร์และฮาร์ดแวร์ การกระทำของคนวงใน ฯลฯ) ดังนั้นการใช้เพียงเทคโนโลยีเพื่อป้องกันการโจมตีจึงไม่เพียงพออีกต่อไปในขณะนี้

ด้านล่างนี้เราแสดงรายการข้อจำกัดและข้อเสียหลักของ honeypots (honeynets):

1. เดิมที Honeypots ได้รับการพัฒนาเพื่อระบุภัยคุกคามที่อยู่นอกเครือข่ายองค์กร โดยมีจุดประสงค์เพื่อวิเคราะห์พฤติกรรมของผู้โจมตี และไม่ได้ออกแบบมาเพื่อตอบสนองต่อภัยคุกคามอย่างรวดเร็ว

2. ตามกฎแล้ว ผู้โจมตีได้เรียนรู้ที่จะจดจำระบบจำลองและหลีกเลี่ยงฮันนี่พอตแล้ว

3. Honeynets (honeypots) มีการโต้ตอบและการโต้ตอบกับระบบรักษาความปลอดภัยอื่น ๆ ในระดับต่ำมาก ซึ่งส่งผลให้การใช้ honeypots เป็นเรื่องยากที่จะได้รับข้อมูลโดยละเอียดเกี่ยวกับการโจมตีและผู้โจมตี และดังนั้นจึงตอบสนองต่อเหตุการณ์ความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพและรวดเร็ว . นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลยังได้รับการแจ้งเตือนภัยคุกคามที่ผิดพลาดจำนวนมาก

4. ในบางกรณี แฮกเกอร์อาจใช้ honeypot ที่ถูกบุกรุกเป็นจุดเริ่มต้นในการโจมตีเครือข่ายขององค์กรต่อไป

5. ปัญหามักเกิดขึ้นกับความสามารถในการปรับขนาดของ honeypots ภาระการปฏิบัติงานที่สูง และการกำหนดค่าของระบบดังกล่าว (พวกเขาต้องการผู้เชี่ยวชาญที่มีคุณสมบัติสูง ไม่มีอินเทอร์เฟซการจัดการที่สะดวก ฯลฯ) มีความยากลำบากอย่างมากในการปรับใช้ honeypots ในสภาพแวดล้อมพิเศษ เช่น IoT, POS, ระบบคลาวด์ ฯลฯ

2. เทคโนโลยีการหลอกลวง: ข้อดีและหลักการทำงานขั้นพื้นฐาน

จากการศึกษาข้อดีและข้อเสียทั้งหมดของ honeypots เราได้ข้อสรุปว่าจำเป็นต้องมีแนวทางใหม่ทั้งหมดในการตอบสนองต่อเหตุการณ์ความปลอดภัยของข้อมูล เพื่อพัฒนาการตอบสนองที่รวดเร็วและเพียงพอต่อการกระทำของผู้โจมตี และวิธีแก้ปัญหาดังกล่าวก็คือเทคโนโลยี การหลอกลวงทางไซเบอร์ (การหลอกลวงด้านความปลอดภัย).

คำศัพท์ "การหลอกลวงทางไซเบอร์", "การหลอกลวงด้านความปลอดภัย", "เทคโนโลยีการหลอกลวง", "แพลตฟอร์มการหลอกลวงแบบกระจาย" (DDP) นั้นค่อนข้างใหม่และปรากฏเมื่อไม่นานมานี้ ที่จริงแล้ว คำทั้งหมดนี้หมายถึงการใช้ “เทคโนโลยีการหลอกลวง” หรือ “เทคนิคในการจำลองโครงสร้างพื้นฐานด้านไอทีและการบิดเบือนข้อมูลของผู้โจมตี” โซลูชันการหลอกลวงที่ง่ายที่สุดคือการพัฒนาแนวคิดของ honeypots เฉพาะในระดับที่ก้าวหน้าทางเทคโนโลยีมากขึ้นเท่านั้น ซึ่งเกี่ยวข้องกับการตรวจจับภัยคุกคามและการตอบสนองต่อระบบอัตโนมัติที่ดียิ่งขึ้น อย่างไรก็ตาม มีโซลูชันระดับ DDP ที่จริงจังในตลาดอยู่แล้ว ซึ่งง่ายต่อการปรับใช้และปรับขนาด และยังมีคลังแสงที่ร้ายแรงของ “กับดัก” และ “เหยื่อ” สำหรับผู้โจมตีอีกด้วย ตัวอย่างเช่น Deception ช่วยให้คุณสามารถจำลองออบเจ็กต์โครงสร้างพื้นฐานด้านไอที เช่น ฐานข้อมูล เวิร์กสเตชัน เราเตอร์ สวิตช์ ATM เซิร์ฟเวอร์และ SCADA อุปกรณ์ทางการแพทย์ และ IoT

แพลตฟอร์ม Distributed Deception ทำงานอย่างไร หลังจากปรับใช้ DDP แล้ว โครงสร้างพื้นฐานด้านไอทีขององค์กรจะถูกสร้างขึ้นราวกับมาจากสองชั้น: ชั้นแรกเป็นโครงสร้างพื้นฐานที่แท้จริงของบริษัท และชั้นที่สองคือสภาพแวดล้อม "จำลอง" ซึ่งประกอบด้วยล่อและเหยื่อล่อ) ซึ่งอยู่ บนอุปกรณ์เครือข่ายทางกายภาพจริง (ดูรูปที่ 4)

ตัวอย่างเช่น ผู้โจมตีสามารถค้นพบฐานข้อมูลเท็จด้วย "เอกสารลับ" ซึ่งเป็นข้อมูลประจำตัวปลอมของ "ผู้ใช้ที่ได้รับสิทธิพิเศษ" ซึ่งทั้งหมดนี้เป็นเพียงเครื่องล่อที่สามารถดึงดูดผู้ฝ่าฝืนได้ ดังนั้นจึงหันเหความสนใจไปจากทรัพย์สินข้อมูลที่แท้จริงของบริษัท (ดูรูปที่ 5)

DDP เป็นผลิตภัณฑ์ใหม่ในตลาดผลิตภัณฑ์รักษาความปลอดภัยข้อมูล โซลูชันเหล่านี้มีอายุเพียงไม่กี่ปี และจนถึงขณะนี้มีเพียงภาคธุรกิจเท่านั้นที่สามารถซื้อได้ แต่ธุรกิจขนาดเล็กและขนาดกลางจะสามารถใช้ประโยชน์จากการหลอกลวงได้ในไม่ช้าโดยการเช่า DDP จากผู้ให้บริการเฉพาะทาง "เป็นบริการ" ตัวเลือกนี้สะดวกยิ่งขึ้น เนื่องจากไม่จำเป็นต้องใช้บุคลากรที่มีคุณสมบัติสูงของคุณเอง

ข้อได้เปรียบหลักของเทคโนโลยี Deception มีดังต่อไปนี้:

• ความแท้จริง (ความแท้จริง). เทคโนโลยีการหลอกลวงสามารถสร้างสภาพแวดล้อมไอทีที่แท้จริงของบริษัทโดยสมบูรณ์ โดยจำลองระบบปฏิบัติการ, IoT, POS, ระบบเฉพาะทาง (ทางการแพทย์ อุตสาหกรรม ฯลฯ) บริการ แอปพลิเคชัน ข้อมูลประจำตัว ฯลฯ ในเชิงคุณภาพ ล่อจะถูกผสมอย่างระมัดระวังกับสภาพแวดล้อมการทำงาน และผู้โจมตีจะไม่สามารถระบุได้ว่าพวกมันคือฮันนีพอท

• การแนะนำของ. DDP ใช้การเรียนรู้ของเครื่อง (ML) ในการทำงาน ด้วยความช่วยเหลือของ ML รับประกันความเรียบง่าย ความยืดหยุ่นในการตั้งค่า และประสิทธิภาพของการใช้งาน Deception “กับดัก” และ “ล่อ” ได้รับการอัปเดตอย่างรวดเร็ว โดยล่อลวงผู้โจมตีเข้าสู่โครงสร้างพื้นฐานด้านไอที “เท็จ” ของบริษัท และในระหว่างนี้ ระบบการวิเคราะห์ขั้นสูงที่ใช้ปัญญาประดิษฐ์สามารถตรวจจับการกระทำที่ทำงานอยู่ของแฮกเกอร์และป้องกันพวกเขาได้ (เช่น พยายามเข้าถึงบัญชีที่ฉ้อโกงตาม Active Directory)

• ใช้งานง่าย. แพลตฟอร์ม Distributed Deception สมัยใหม่นั้นง่ายต่อการบำรุงรักษาและจัดการ โดยทั่วไปจะได้รับการจัดการผ่านคอนโซลภายในหรือบนคลาวด์ โดยมีความสามารถในการบูรณาการกับ SOC ขององค์กร (ศูนย์ปฏิบัติการด้านความปลอดภัย) ผ่านทาง API และด้วยการควบคุมความปลอดภัยที่มีอยู่มากมาย การบำรุงรักษาและการทำงานของ DDP ไม่จำเป็นต้องได้รับบริการจากผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลที่มีคุณสมบัติสูง

• ความสามารถในการปรับขนาด. การหลอกลวงด้านความปลอดภัยสามารถใช้งานได้ในสภาพแวดล้อมทางกายภาพ เสมือน และคลาวด์ DDP ยังทำงานได้อย่างประสบความสำเร็จกับสภาพแวดล้อมเฉพาะทาง เช่น IoT, ICS, POS, SWIFT เป็นต้น แพลตฟอร์มการหลอกลวงขั้นสูงสามารถฉาย “เทคโนโลยีการหลอกลวง” ไปยังสำนักงานระยะไกลและสภาพแวดล้อมที่แยกได้ โดยไม่จำเป็นต้องปรับใช้แพลตฟอร์มเต็มรูปแบบเพิ่มเติม

• ปฏิสัมพันธ์. แพลตฟอร์ม Deception รวบรวมข้อมูลที่ครอบคลุมเกี่ยวกับผู้โจมตีโดยใช้การใช้ตัวล่อที่ทรงพลังและน่าดึงดูดซึ่งอิงตามระบบปฏิบัติการจริงและวางไว้ท่ามกลางโครงสร้างพื้นฐานด้านไอทีจริงอย่างชาญฉลาด จากนั้น DDP จะตรวจสอบให้แน่ใจว่ามีการส่งการแจ้งเตือนภัยคุกคาม สร้างรายงาน และเหตุการณ์ด้านความปลอดภัยของข้อมูลจะได้รับการตอบกลับโดยอัตโนมัติ

• จุดเริ่มต้นการโจมตี. ในการหลอกลวงสมัยใหม่ กับดักและเหยื่อจะถูกวางไว้ภายในระยะของเครือข่าย แทนที่จะวางไว้ภายนอก (เช่นในกรณีของฮันนีพอท) รูปแบบการใช้งานล่อนี้ป้องกันไม่ให้ผู้โจมตีใช้เป็นจุดใช้ประโยชน์ในการโจมตีโครงสร้างพื้นฐานด้านไอทีที่แท้จริงของบริษัท โซลูชันขั้นสูงเพิ่มเติมของคลาส Deception มีความสามารถในการกำหนดเส้นทางการรับส่งข้อมูล ดังนั้นคุณจึงสามารถกำหนดทิศทางการรับส่งข้อมูลของผู้โจมตีทั้งหมดผ่านการเชื่อมต่อเฉพาะเป็นพิเศษ สิ่งนี้จะช่วยให้คุณสามารถวิเคราะห์กิจกรรมของผู้โจมตีโดยไม่ต้องเสี่ยงต่อทรัพย์สินอันมีค่าของบริษัท

• ความโน้มน้าวใจของ “เทคโนโลยีการหลอกลวง”. ในช่วงเริ่มต้นของการโจมตี ผู้โจมตีจะรวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับโครงสร้างพื้นฐานด้านไอที จากนั้นใช้เพื่อเคลื่อนที่ในแนวนอนผ่านเครือข่ายองค์กร ด้วยความช่วยเหลือของ "เทคโนโลยีการหลอกลวง" ผู้โจมตีจะตกอยู่ใน "กับดัก" ที่จะดึงเขาออกจากทรัพย์สินที่แท้จริงขององค์กรอย่างแน่นอน DDP จะวิเคราะห์เส้นทางที่เป็นไปได้ในการเข้าถึงข้อมูลประจำตัวบนเครือข่ายองค์กร และมอบ "เป้าหมายล่อ" แก่ผู้โจมตี แทนที่จะเป็นข้อมูลประจำตัวจริง ความสามารถเหล่านี้ยังขาดเทคโนโลยี honeypot อย่างมาก (ดูรูปที่ 6)

การหลอกลวง VS Honeypot

และในที่สุด เราก็มาถึงช่วงเวลาที่น่าสนใจที่สุดของการวิจัยของเรา เราจะพยายามเน้นความแตกต่างที่สำคัญระหว่างเทคโนโลยี Deception และ Honeypot แม้จะมีความคล้ายคลึงกันบางประการ แต่เทคโนโลยีทั้งสองนี้ก็ยังคงแตกต่างกันมาก ตั้งแต่แนวคิดพื้นฐานไปจนถึงประสิทธิภาพการดำเนินงาน

1. แนวคิดพื้นฐานที่แตกต่างกัน. ดังที่เราเขียนไว้ข้างต้น honeypots ได้รับการติดตั้งเป็น “ตัวล่อ” รอบๆ ทรัพย์สินอันมีค่าของบริษัท (นอกเครือข่ายองค์กร) ดังนั้นจึงพยายามเบี่ยงเบนความสนใจของผู้โจมตี เทคโนโลยี Honeypot ขึ้นอยู่กับความเข้าใจในโครงสร้างพื้นฐานขององค์กร แต่ Honeypot สามารถกลายเป็นจุดเริ่มต้นในการโจมตีเครือข่ายของบริษัทได้ เทคโนโลยีการหลอกลวงได้รับการพัฒนาโดยคำนึงถึงมุมมองของผู้โจมตีและช่วยให้คุณสามารถระบุการโจมตีได้ตั้งแต่ระยะเริ่มต้น ดังนั้นผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจึงได้เปรียบอย่างมากเหนือผู้โจมตีและประหยัดเวลา

2. “แรงดึงดูด” VS “ความสับสน”. เมื่อใช้ฮันนี่พอต ความสำเร็จขึ้นอยู่กับการดึงดูดความสนใจของผู้โจมตี และแรงจูงใจเพิ่มเติมให้พวกเขาย้ายไปยังเป้าหมายในฮันนีพอต ซึ่งหมายความว่าผู้โจมตีจะต้องไปถึง honeypot ก่อนจึงจะสามารถหยุดเขาได้ ดังนั้นการปรากฏตัวของผู้โจมตีบนเครือข่ายอาจใช้เวลานานหลายเดือนหรือมากกว่านั้น และสิ่งนี้จะนำไปสู่การรั่วไหลของข้อมูลและความเสียหาย DDP เลียนแบบโครงสร้างพื้นฐานด้านไอทีที่แท้จริงของ บริษัท ในเชิงคุณภาพ วัตถุประสงค์ของการดำเนินการไม่เพียงเพื่อดึงดูดความสนใจของผู้โจมตีเท่านั้น แต่ยังเพื่อสร้างความสับสนให้เขาเพื่อที่เขาจะได้เสียเวลาและทรัพยากร แต่ไม่สามารถเข้าถึงทรัพย์สินที่แท้จริงของ บริษัท.

3. “ความสามารถในการขยายแบบจำกัด” VS “ความสามารถในการขยายขนาดอัตโนมัติ”. ตามที่ระบุไว้ก่อนหน้านี้ honeypots และ honeynets มีปัญหาในการปรับขนาด สิ่งนี้เป็นเรื่องยากและมีราคาแพง และเพื่อที่จะเพิ่มจำนวน honeypots ในระบบองค์กร คุณจะต้องเพิ่มคอมพิวเตอร์ใหม่ ระบบปฏิบัติการ ซื้อใบอนุญาต และจัดสรร IP นอกจากนี้ยังจำเป็นต้องมีบุคลากรที่มีคุณสมบัติเหมาะสมมาบริหารจัดการระบบดังกล่าวด้วย แพลตฟอร์มการหลอกลวงจะปรับใช้โดยอัตโนมัติตามขนาดโครงสร้างพื้นฐานของคุณ โดยไม่มีค่าใช้จ่ายจำนวนมาก

4. “ผลบวกลวงจำนวนมาก” VS “ไม่มีผลบวกลวง”. สาระสำคัญของปัญหาคือแม้แต่ผู้ใช้ธรรมดาก็สามารถพบกับ honeypot ได้ ดังนั้น "ข้อเสีย" ของเทคโนโลยีนี้จึงมีผลบวกลวงจำนวนมาก ซึ่งทำให้ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลหันเหความสนใจจากงานของพวกเขา “เหยื่อ” และ “กับดัก” ใน DDP จะถูกซ่อนอย่างระมัดระวังจากผู้ใช้ทั่วไป และได้รับการออกแบบมาสำหรับผู้โจมตีเท่านั้น ดังนั้นทุกสัญญาณจากระบบดังกล่าวจึงเป็นการแจ้งเตือนถึงภัยคุกคามที่แท้จริง และไม่ใช่ผลบวกลวง

ข้อสรุป

ในความเห็นของเรา เทคโนโลยี Deception เป็นการปรับปรุงที่เหนือกว่าเทคโนโลยี Honeypots รุ่นเก่าอย่างมาก โดยพื้นฐานแล้ว DDP ได้กลายเป็นแพลตฟอร์มความปลอดภัยที่ครอบคลุมซึ่งง่ายต่อการปรับใช้และจัดการ

แพลตฟอร์มสมัยใหม่ในระดับนี้มีบทบาทสำคัญในการตรวจจับและตอบสนองต่อภัยคุกคามเครือข่ายได้อย่างแม่นยำ และการบูรณาการเข้ากับส่วนประกอบอื่นๆ ของสแต็กการรักษาความปลอดภัยจะเพิ่มระดับของระบบอัตโนมัติ เพิ่มประสิทธิภาพและประสิทธิผลของการตอบสนองต่อเหตุการณ์ แพลตฟอร์มการหลอกลวงขึ้นอยู่กับความถูกต้อง ความสามารถในการปรับขนาด ความง่ายในการจัดการ และการบูรณาการกับระบบอื่นๆ ทั้งหมดนี้ให้ข้อได้เปรียบที่สำคัญในด้านความเร็วในการตอบสนองต่อเหตุการณ์ความปลอดภัยของข้อมูล

นอกจากนี้ จากการสำรวจเพนเทสของบริษัทต่างๆ ที่ใช้หรือทดลองใช้แพลตฟอร์ม Xello Deception เราสามารถสรุปได้ว่าแม้แต่เพนเทสเตอร์ที่มีประสบการณ์ก็มักจะไม่สามารถจดจำเหยื่อในเครือข่ายองค์กรได้ และล้มเหลวเมื่อตกหลุมพรางที่ตั้งไว้ ข้อเท็จจริงนี้เป็นการยืนยันอีกครั้งถึงประสิทธิผลของการหลอกลวงและโอกาสที่ดีที่เปิดกว้างสำหรับเทคโนโลยีนี้ในอนาคต

การทดสอบผลิตภัณฑ์

หากคุณสนใจแพลตฟอร์ม Deception เราก็พร้อมแล้ว ดำเนินการทดสอบข้อต่อ.

คอยติดตามการอัปเดตในช่องของเรา (Telegram, Facebook, VK, บล็อกโซลูชัน TS)!

ที่มา: will.com