ProHoster > Blog > Pangangasiwa > Honeypot vs Deception sa halimbawa ng Xello

Honeypot vs Deception sa halimbawa ng Xello

Honeypot vs Deception sa halimbawa ng Xello

Mayroon nang ilang artikulo sa Habré tungkol sa mga teknolohiya ng Honeypot at Deception (1 artikulo, 2 artikulo). Gayunpaman, nahaharap pa rin tayo sa kakulangan ng pag-unawa sa pagkakaiba sa pagitan ng mga klase ng kagamitang pang-proteksiyon na ito. Para dito, ang aming mga kasamahan mula sa Hello Deception (unang developer ng Russia Panlilinlang sa Platform) nagpasya na ilarawan nang detalyado ang mga pagkakaiba, pakinabang at tampok na arkitektura ng mga solusyong ito.

Alamin natin kung ano ang "mga honeypot" at "mga panlilinlang":

Ang "mga teknolohiya ng panlilinlang" ay lumitaw sa merkado ng mga sistema ng seguridad ng impormasyon kamakailan. Gayunpaman, itinuturing pa rin ng ilang eksperto ang Security Deception bilang mga mas advanced na honeypots.

Sa artikulong ito susubukan naming i-highlight ang parehong pagkakatulad at pangunahing pagkakaiba sa pagitan ng dalawang solusyong ito. Sa unang bahagi, pag-uusapan natin ang tungkol sa honeypot, kung paano nabuo ang teknolohiyang ito at kung ano ang mga pakinabang at disadvantage nito. At sa ikalawang bahagi, tatalakayin natin nang detalyado ang mga prinsipyo ng pagpapatakbo ng mga platform para sa paglikha ng isang ipinamamahaging imprastraktura ng mga decoy (Ingles, Distributed Deception Platform - DDP).

Ang pangunahing prinsipyo na pinagbabatayan ng mga honeypot ay ang lumikha ng mga bitag para sa mga hacker. Ang pinakaunang mga solusyon sa Panlilinlang ay binuo sa parehong prinsipyo. Ngunit ang mga modernong DDP ay higit na nakahihigit sa mga honeypot, kapwa sa functionality at kahusayan. Kasama sa mga platform ng panlilinlang ang: mga decoy, traps, lures, application, data, database, Active Directory. Makakapagbigay ang mga modernong DDP ng mga mahuhusay na kakayahan para sa pagtuklas ng pagbabanta, pagsusuri sa pag-atake, at automation ng pagtugon.

Kaya, ang Deception ay isang pamamaraan para sa pagtulad sa imprastraktura ng IT ng isang enterprise at mga nakakapanlinlang na hacker. Bilang resulta, ginagawang posible ng mga naturang platform na ihinto ang mga pag-atake bago magdulot ng malaking pinsala sa mga asset ng kumpanya. Ang mga honeypot, siyempre, ay walang ganoong malawak na pag-andar at tulad ng isang antas ng automation, kaya ang kanilang paggamit ay nangangailangan ng higit pang mga kwalipikasyon mula sa mga empleyado ng mga departamento ng seguridad ng impormasyon.

1. Honeypots, Honeynets at Sandboxing: ano ang mga ito at kung paano ginagamit ang mga ito

Ang terminong "honeypots" ay unang ginamit noong 1989 sa aklat ni Clifford Stoll na "The Cuckoo's Egg", na naglalarawan sa mga kaganapan ng pagsubaybay sa isang hacker sa Lawrence Berkeley National Laboratory (USA). Ang ideyang ito ay isinagawa noong 1999 ni Lance Spitzner, isang espesyalista sa seguridad ng impormasyon sa Sun Microsystems, na nagtatag ng proyekto ng pananaliksik sa Honeynet Project. Ang mga unang honeypot ay napaka-resource-intensive, mahirap i-set up at mapanatili.

Tingnan natin kung ano ito honeypots и honeynets. Ang mga honeypot ay mga indibidwal na host na ang layunin ay akitin ang mga umaatake na tumagos sa network ng kumpanya at subukang magnakaw ng mahalagang data, pati na rin palawakin ang saklaw ng network. Ang Honeypot (literal na isinalin bilang "barrel of honey") ay isang espesyal na server na may hanay ng iba't ibang mga serbisyo at protocol ng network, tulad ng HTTP, FTP, atbp. (tingnan ang Fig. 1).

Honeypot vs Deception sa halimbawa ng Xello

Kung pagsasamahin mo ang ilan honeypots sa network, pagkatapos ay makakakuha tayo ng isang mas mahusay na sistema pulot-pukyutan, na isang emulation ng corporate network ng kumpanya (web server, file server, at iba pang bahagi ng network). Binibigyang-daan ka ng solusyong ito na maunawaan ang diskarte ng mga umaatake at iligaw sila. Ang isang tipikal na pulot-pukyutan, bilang panuntunan, ay nagpapatakbo nang kahanay sa network ng trabaho at ganap na independyente dito. Ang ganitong "network" ay maaaring mai-publish sa Internet sa pamamagitan ng isang hiwalay na channel, ang isang hiwalay na hanay ng mga IP address ay maaari ding ilaan para dito (tingnan ang Fig. 2).

Honeypot vs Deception sa halimbawa ng Xello

Ang punto ng paggamit ng honeynet ay upang ipakita sa hacker na siya ay diumano'y nakapasok sa corporate network ng organisasyon; sa katunayan, ang umaatake ay nasa isang "nakahiwalay na kapaligiran" at sa ilalim ng malapit na pangangasiwa ng mga espesyalista sa seguridad ng impormasyon (tingnan ang Fig. 3).

Honeypot vs Deception sa halimbawa ng Xello

Dito kailangan din nating banggitin ang isang tool bilang "sandbox"(Ingles, kahong buhangin), na nagpapahintulot sa mga umaatake na mag-install at magpatakbo ng malware sa isang nakahiwalay na kapaligiran kung saan masusubaybayan ng IT ang kanilang mga aktibidad upang matukoy ang mga potensyal na panganib at magsagawa ng mga naaangkop na hakbang. Sa kasalukuyan, ang sandboxing ay karaniwang ipinapatupad sa mga nakalaang virtual machine sa isang virtual host. Gayunpaman, dapat tandaan na ang sandboxing ay nagpapakita lamang kung paano kumikilos ang mapanganib at nakakahamak na mga programa, habang tinutulungan ng honeynet ang isang espesyalista na suriin ang pag-uugali ng "mga mapanganib na manlalaro."

Ang halatang benepisyo ng honeynets ay ang pagliligaw ng mga umaatake, pag-aaksaya ng kanilang lakas, mapagkukunan at oras. Bilang resulta, sa halip na mga tunay na target, inaatake nila ang mga mali at maaaring huminto sa pag-atake sa network nang hindi nakakamit ang anuman. Kadalasan, ang mga teknolohiya ng honeynets ay ginagamit sa mga ahensya ng gobyerno at malalaking korporasyon, mga organisasyong pampinansyal, dahil ito ang mga istruktura na lumalabas na mga target para sa mga pangunahing pag-atake sa cyber. Gayunpaman, ang mga maliliit at katamtamang laki ng mga negosyo (SMB) ay nangangailangan din ng mga epektibong tool upang maiwasan ang mga insidente ng seguridad ng impormasyon, ngunit ang mga honeynet sa sektor ng SMB ay hindi gaanong madaling gamitin dahil sa kakulangan ng mga kwalipikadong tauhan para sa naturang kumplikadong trabaho.

Mga Limitasyon ng Honeypots at Honeynets Solutions

Bakit ang mga honeypot at honeynet ay hindi ang pinakamahusay na solusyon para sa pagkontra sa mga pag-atake ngayon? Dapat tandaan na ang mga pag-atake ay nagiging mas malakihan, teknikal na kumplikado at may kakayahang magdulot ng malubhang pinsala sa imprastraktura ng IT ng isang organisasyon, at ang cybercrime ay umabot na sa ganap na naiibang antas at kumakatawan sa lubos na organisadong mga istruktura ng negosyo ng anino na nilagyan ng lahat ng kinakailangang mapagkukunan. Dito dapat idagdag ang "human factor" (mga error sa software at hardware settings, mga aksyon ng mga insider, atbp.), kaya ang paggamit lamang ng teknolohiya upang maiwasan ang mga pag-atake ay hindi na sapat sa ngayon.

Sa ibaba ay inilista namin ang mga pangunahing limitasyon at disadvantages ng honeypots (honeynets):

  1. Ang mga honeypot ay orihinal na binuo upang matukoy ang mga banta na nasa labas ng corporate network, ay nilayon sa halip na suriin ang pag-uugali ng mga umaatake at hindi idinisenyo upang mabilis na tumugon sa mga banta.

  2. Ang mga umaatake, bilang panuntunan, ay natutunan na makilala ang mga emulated system at maiwasan ang mga honeypot.

  3. Ang mga pulot-pukyutan (honeypots) ay may napakababang antas ng interaktibidad at pakikipag-ugnayan sa ibang mga sistema ng seguridad, bilang isang resulta kung saan, gamit ang mga honeypot, mahirap makakuha ng detalyadong impormasyon tungkol sa mga pag-atake at mga umaatake, at samakatuwid ay tumugon nang epektibo at mabilis sa mga insidente ng seguridad ng impormasyon . Bukod dito, ang mga espesyalista sa seguridad ng impormasyon ay tumatanggap ng malaking bilang ng mga maling alerto sa pagbabanta.

  4. Sa ilang mga kaso, maaaring gumamit ang mga hacker ng isang nakompromisong honeypot bilang panimulang punto upang ipagpatuloy ang kanilang pag-atake sa network ng isang organisasyon.

  5. Ang mga problema ay madalas na lumitaw sa scalability ng honeypots, mataas na pag-load ng pagpapatakbo at pagsasaayos ng mga naturang sistema (nangangailangan sila ng mga mataas na kwalipikadong espesyalista, walang maginhawang interface ng pamamahala, atbp.). May mga malalaking kahirapan sa pag-deploy ng mga honeypot sa mga espesyal na kapaligiran tulad ng IoT, POS, cloud system, atbp.

2. Teknolohiya ng panlilinlang: mga pakinabang at pangunahing prinsipyo ng pagpapatakbo

Ang pagkakaroon ng pag-aralan ang lahat ng mga pakinabang at disadvantages ng honeypots, dumating kami sa konklusyon na ang isang ganap na bagong diskarte sa pagtugon sa mga insidente ng seguridad ng impormasyon ay kinakailangan upang bumuo ng isang mabilis at sapat na tugon sa mga aksyon ng mga umaatake. At ang ganitong solusyon ay teknolohiya Cyber ​​​​deception (Pandaraya sa seguridad).

Ang terminolohiya na "Cyber ​​​​deception", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) ay medyo bago at lumitaw hindi pa katagal. Sa katunayan, ang lahat ng terminong ito ay nangangahulugan ng paggamit ng "mga teknolohiya ng panlilinlang" o "mga diskarte para sa pagtulad sa imprastraktura ng IT at disinformation ng mga umaatake." Ang pinakasimpleng solusyon sa Panlilinlang ay isang pag-unlad ng mga ideya ng mga honeypot, sa isang mas advanced na antas ng teknolohiya, na nagsasangkot ng higit na automation ng pagtuklas ng banta at pagtugon sa mga ito. Gayunpaman, mayroon nang mga seryosong solusyon sa klase ng DDP sa merkado na madaling i-deploy at sukat, at mayroon ding seryosong arsenal ng "mga bitag" at "mga pain" para sa mga umaatake. Halimbawa, pinapayagan ka ng Deception na tularan ang mga bagay sa imprastraktura ng IT tulad ng mga database, workstation, router, switch, ATM, server at SCADA, kagamitang medikal at IoT.

Paano gumagana ang Distributed Deception Platform? Pagkatapos i-deploy ang DDP, ang IT infrastructure ng organisasyon ay itatayo na parang mula sa dalawang layer: ang unang layer ay ang tunay na imprastraktura ng kumpanya, at ang pangalawa ay isang "emulated" environment na binubuo ng mga decoy at baits. lures), na matatagpuan sa tunay na pisikal na network device (tingnan ang Fig. 4).

Honeypot vs Deception sa halimbawa ng Xello

Halimbawa, ang isang umaatake ay maaaring makatuklas ng mga maling database na may "kumpidensyal na mga dokumento", mga pekeng kredensyal ng diumano'y "mga may pribilehiyong user" - lahat ng ito ay mga pang-aakit na maaaring maging interesado sa mga lumalabag, at sa gayon ay inililihis ang kanilang atensyon mula sa mga tunay na asset ng impormasyon ng kumpanya (tingnan ang Larawan 5).

Honeypot vs Deception sa halimbawa ng Xello

Ang DDP ay isang bagong produkto sa merkado ng produkto ng seguridad ng impormasyon; ang mga solusyong ito ay ilang taon pa lamang at sa ngayon ay ang sektor ng korporasyon lamang ang kayang bilhin ang mga ito. Ngunit malapit na ring samantalahin ng mga maliliit at katamtamang laki ng mga negosyo ang Panlilinlang sa pamamagitan ng pagrenta ng DDP mula sa mga dalubhasang provider "bilang isang serbisyo." Ang pagpipiliang ito ay mas maginhawa, dahil hindi na kailangan para sa iyong sariling mataas na kwalipikadong tauhan.

Ang mga pangunahing bentahe ng teknolohiya ng Panlilinlang ay ipinapakita sa ibaba:

  • Authenticity (authenticity). Ang teknolohiya ng panlilinlang ay may kakayahang magparami ng ganap na tunay na kapaligiran sa IT ng isang kumpanya, na may husay na pagtulad sa mga operating system, IoT, POS, mga dalubhasang sistema (medikal, industriyal, atbp.), mga serbisyo, aplikasyon, kredensyal, atbp. Maingat na inihahalo ang mga decoy sa kapaligiran ng pagtatrabaho, at hindi matukoy ng isang umaatake ang mga ito bilang mga honeypot.

  • Pagpapatupad. Gumagamit ang mga DDP ng machine learning (ML) sa kanilang trabaho. Sa tulong ng ML, sinisiguro ang pagiging simple, flexibility sa mga setting at kahusayan ng pagpapatupad ng Deception. Ang mga “trap” at “decoys” ay napakabilis na ina-update, na naghihikayat sa isang umaatake sa “false” na imprastraktura ng IT ng kumpanya, at pansamantala, ang mga advanced na sistema ng pagsusuri batay sa artificial intelligence ay maaaring makakita ng mga aktibong aksyon ng mga hacker at maiwasan ang mga ito (halimbawa, isang subukang i-access ang mga mapanlinlang na account na nakabatay sa Active Directory).

  • Madaling operasyon. Ang mga Modern Distributed Deception Platform ay madaling mapanatili at pamahalaan. Karaniwang pinamamahalaan ang mga ito sa pamamagitan ng lokal o cloud console, na may mga kakayahan sa pagsasama sa corporate SOC (Security Operations Center) sa pamamagitan ng API at may maraming umiiral na kontrol sa seguridad. Ang pagpapanatili at pagpapatakbo ng DDP ay hindi nangangailangan ng mga serbisyo ng mataas na kwalipikadong mga eksperto sa seguridad ng impormasyon.

  • Scalability. Maaaring i-deploy ang panlilinlang sa seguridad sa pisikal, virtual at cloud na kapaligiran. Matagumpay ding gumagana ang mga DDP sa mga espesyal na kapaligiran gaya ng IoT, ICS, POS, SWIFT, atbp. Ang mga advanced na platform ng Panlilinlang ay maaaring mag-proyekto ng "mga teknolohiya ng panlilinlang" sa mga malalayong opisina at mga nakahiwalay na kapaligiran, nang hindi nangangailangan ng karagdagang buong pag-deploy ng platform.

  • Pakipagtulungan. Gamit ang makapangyarihan at kaakit-akit na mga decoy na nakabatay sa mga tunay na operating system at matalinong inilagay sa mga tunay na imprastraktura ng IT, ang Deception platform ay nangongolekta ng malawak na impormasyon tungkol sa umaatake. Pagkatapos ay tinitiyak ng DDP na ang mga alerto sa pagbabanta ay ipinapadala, ang mga ulat ay nabuo, at ang mga insidente sa seguridad ng impormasyon ay awtomatikong tinutugunan.

  • Panimulang punto ng pag-atake. Sa modernong Panlilinlang, ang mga bitag at pain ay inilalagay sa loob ng hanay ng network, sa halip na sa labas nito (tulad ng kaso sa mga honeypot). Pinipigilan ng decoy deployment model na ito ang isang attacker na gamitin ang mga ito bilang leverage point para atakehin ang tunay na IT infrastructure ng kumpanya. Ang mga mas advanced na solusyon ng klase ng Deception ay may mga kakayahan sa pagruruta ng trapiko, kaya maaari mong idirekta ang lahat ng trapiko ng attacker sa pamamagitan ng isang espesyal na nakatuong koneksyon. Papayagan ka nitong suriin ang aktibidad ng mga umaatake nang hindi nanganganib sa mahahalagang asset ng kumpanya.

  • Ang pagiging mapanghikayat ng "mga teknolohiya ng panlilinlang". Sa paunang yugto ng pag-atake, kinokolekta at sinusuri ng mga umaatake ang data tungkol sa imprastraktura ng IT, pagkatapos ay ginagamit ito upang lumipat nang pahalang sa corporate network. Sa tulong ng "mga teknolohiya ng panlilinlang," ang umaatake ay tiyak na mahuhulog sa "mga bitag" na magdadala sa kanya palayo sa mga tunay na pag-aari ng organisasyon. Susuriin ng DDP ang mga potensyal na landas upang ma-access ang mga kredensyal sa isang corporate network at bibigyan ang umaatake ng "mga target na decoy" sa halip na mga tunay na kredensyal. Ang mga kakayahang ito ay lubhang kulang sa mga teknolohiya ng honeypot. (Tingnan ang Larawan 6).

Honeypot vs Deception sa halimbawa ng Xello

Panlilinlang VS Honeypot

At sa wakas, dumating kami sa pinaka-kagiliw-giliw na sandali ng aming pananaliksik. Susubukan naming i-highlight ang mga pangunahing pagkakaiba sa pagitan ng mga teknolohiya ng Deception at Honeypot. Sa kabila ng ilang pagkakatulad, ibang-iba pa rin ang dalawang teknolohiyang ito, mula sa pangunahing ideya hanggang sa kahusayan sa pagpapatakbo.

  1. Iba't ibang pangunahing ideya. Tulad ng isinulat namin sa itaas, ang mga honeypot ay naka-install bilang "decoys" sa paligid ng mahahalagang asset ng kumpanya (sa labas ng corporate network), kaya sinusubukang makaabala sa mga umaatake. Ang teknolohiya ng Honeypot ay batay sa isang pag-unawa sa imprastraktura ng isang organisasyon, ngunit ang mga honeypot ay maaaring maging panimulang punto para sa paglulunsad ng isang pag-atake sa network ng isang kumpanya. Ang teknolohiya ng panlilinlang ay binuo na isinasaalang-alang ang pananaw ng umaatake at nagbibigay-daan sa iyo na makilala ang isang pag-atake sa isang maagang yugto, kaya, ang mga espesyalista sa seguridad ng impormasyon ay nakakakuha ng isang makabuluhang kalamangan sa mga umaatake at nakakakuha ng oras.

  2. "Attraction" VS "Confusion". Kapag gumagamit ng mga honeypot, ang tagumpay ay nakasalalay sa pag-akit ng atensyon ng mga umaatake at higit pang pag-uudyok sa kanila na lumipat sa target sa honeypot. Nangangahulugan ito na dapat pa ring maabot ng umaatake ang honeypot bago mo siya mapigilan. Kaya, ang pagkakaroon ng mga umaatake sa network ay maaaring tumagal ng ilang buwan o higit pa, at ito ay hahantong sa pagtagas ng data at pinsala. Ang mga DDP ay may husay na ginagaya ang tunay na imprastraktura ng IT ng isang kumpanya; ang layunin ng kanilang pagpapatupad ay hindi lamang upang maakit ang atensyon ng isang umaatake, ngunit upang lituhin siya upang siya ay mag-aksaya ng oras at mga mapagkukunan, ngunit hindi makakuha ng access sa mga tunay na asset ng kumpanya.

  3. "Limitadong scalability" VS "awtomatikong scalability". Gaya ng nabanggit kanina, ang mga honeypot at honeynet ay may mga isyu sa scaling. Ito ay mahirap at mahal, at upang madagdagan ang bilang ng mga honeypot sa isang corporate system, kakailanganin mong magdagdag ng mga bagong computer, OS, bumili ng mga lisensya, at maglaan ng IP. Bukod dito, kinakailangan din na magkaroon ng mga kwalipikadong tauhan upang pamahalaan ang mga naturang sistema. Awtomatikong idini-deploy ang mga platform ng panlilinlang habang tumitimbang ang iyong imprastraktura, nang walang makabuluhang overhead.

  4. "Maraming maling positibo" VS "walang maling positibo". Ang kakanyahan ng problema ay kahit na ang isang simpleng gumagamit ay maaaring makatagpo ng isang honeypot, kaya ang "downside" ng teknolohiyang ito ay isang malaking bilang ng mga maling positibo, na nakakagambala sa mga espesyalista sa seguridad ng impormasyon mula sa kanilang trabaho. Ang "mga pain" at "mga bitag" sa DDP ay maingat na itinago mula sa karaniwang gumagamit at idinisenyo lamang para sa isang umaatake, kaya bawat signal mula sa naturang sistema ay isang abiso ng isang tunay na banta, at hindi isang maling positibo.

Konklusyon

Sa aming opinyon, ang teknolohiya ng Panlilinlang ay isang malaking pagpapabuti kaysa sa mas lumang teknolohiya ng Honeypots. Sa esensya, ang DDP ay naging isang komprehensibong platform ng seguridad na madaling i-deploy at pamahalaan.

Ang mga modernong platform ng klaseng ito ay may mahalagang papel sa tumpak na pagtuklas at epektibong pagtugon sa mga banta sa network, at ang kanilang pagsasama sa iba pang bahagi ng security stack ay nagpapataas ng antas ng automation, nagpapataas ng kahusayan at pagiging epektibo ng pagtugon sa insidente. Ang mga platform ng panlilinlang ay batay sa pagiging tunay, scalability, kadalian ng pamamahala at pagsasama sa iba pang mga system. Ang lahat ng ito ay nagbibigay ng malaking kalamangan sa bilis ng pagtugon sa mga insidente ng seguridad ng impormasyon.

Gayundin, batay sa mga obserbasyon ng mga pentest ng mga kumpanya kung saan ipinatupad o na-pilot ang Xello Deception platform, makakagawa tayo ng mga konklusyon na kahit na ang mga may karanasang pentester ay madalas na hindi makilala ang pain sa corporate network at nabigo kapag nahulog sila sa mga traps na itinakda. Ang katotohanang ito ay muling kinukumpirma ang pagiging epektibo ng Panlilinlang at ang magagandang prospect na magbubukas para sa teknolohiyang ito sa hinaharap.

Pagsubok ng produkto

Kung interesado ka sa platform ng Deception, handa na kami magsagawa ng magkasanib na pagsubok.

Manatiling nakatutok para sa mga update sa aming mga channel (TelegramaFacebookVKTS Solution Blog)!

Pinagmulan: www.habr.com

Magdagdag ng komento