Habré'de Balküpü ve Aldatma teknolojileri hakkında zaten birçok makale var (, ). Ancak hâlâ bu koruyucu ekipman sınıfları arasındaki farkları anlama konusunda eksikliklerle karşı karşıyayız. Bunun için meslektaşlarımız (ilk Rus geliştirici ) bu çözümlerin farklılıklarını, avantajlarını ve mimari özelliklerini detaylı bir şekilde anlatmaya karar verdi.
Gelin “bal küpleri”nin ve “aldatmacaların” ne olduğunu bulalım:
Bilgi güvenliği sistemleri pazarında nispeten yakın zamanda “aldatma teknolojileri” ortaya çıktı. Ancak bazı uzmanlar Güvenlik Aldatmacasını hala daha gelişmiş bal küpleri olarak görüyor.
Bu yazıda bu iki çözüm arasındaki hem benzerlikleri hem de temel farklılıkları vurgulamaya çalışacağız. İlk bölümde honeypot'tan, bu teknolojinin nasıl geliştiğinden, avantaj ve dezavantajlarının neler olduğundan bahsedeceğiz. İkinci bölümde ise dağıtılmış bir tuzak altyapısı oluşturmaya yönelik platformların çalışma prensipleri (İngilizce, Distributed Deception Platform - DDP) üzerinde detaylı olarak duracağız.
Balküplerinin temelinde yatan temel prensip, bilgisayar korsanlarına tuzak oluşturmaktır. İlk Aldatma çözümleri aynı prensip üzerine geliştirildi. Ancak modern DDP'ler hem işlevsellik hem de verimlilik açısından bal küplerinden önemli ölçüde üstündür. Aldatma platformları şunları içerir: tuzaklar, tuzaklar, yemler, uygulamalar, veriler, veritabanları, Active Directory. Modern DDP'ler tehdit tespiti, saldırı analizi ve yanıt otomasyonu için güçlü yetenekler sağlayabilir.
Dolayısıyla Aldatma, bir işletmenin BT altyapısını simüle etmeye ve bilgisayar korsanlarını yanıltmaya yönelik bir tekniktir. Sonuç olarak bu tür platformlar, saldırıların şirket varlıklarına ciddi zarar vermeden durdurulmasını mümkün kılıyor. Balküpleri elbette bu kadar geniş bir işlevselliğe ve bu düzeyde bir otomasyona sahip değildir, dolayısıyla bunların kullanımı bilgi güvenliği departmanlarının çalışanlarının daha fazla vasıflarını gerektirir.
1. Honeypot'lar, Honeynet'ler ve Sandboxing: nedir ve nasıl kullanılırlar
"Bal küpleri" terimi ilk kez 1989 yılında Clifford Stoll'un Lawrence Berkeley Ulusal Laboratuvarı'ndaki (ABD) bir bilgisayar korsanının izini sürme olaylarını anlatan "The Cuckoo's Egg" adlı kitabında kullanıldı. Bu fikir, 1999 yılında Honeynet Projesi araştırma projesini kuran Sun Microsystems'in bilgi güvenliği uzmanı Lance Spitzner tarafından hayata geçirildi. İlk bal küpleri çok kaynak yoğundu, kurulumu ve bakımı zordu.
Ne olduğuna daha yakından bakalım honeypots и bal ağları. Honeypot'lar, amacı saldırganların bir şirketin ağına sızmasını ve değerli verileri çalmaya çalışmasının yanı sıra ağın kapsama alanını genişletmesini sağlamak olan bireysel ana bilgisayarlardır. Honeypot (kelimenin tam anlamıyla "bal fıçısı" olarak çevrilir), HTTP, FTP vb. gibi çeşitli ağ hizmetleri ve protokolleri içeren özel bir sunucudur. (bkz. Şekil 1).
Birkaçını birleştirirseniz honeypots ağa bağlarsak daha verimli bir sistem elde ederiz bal ağı, bir şirketin kurumsal ağının (web sunucusu, dosya sunucusu ve diğer ağ bileşenleri) bir öykünmesidir. Bu çözüm saldırganların stratejisini anlamanızı ve onları yanıltmanızı sağlar. Tipik bir bal ağı, kural olarak, iş ağıyla paralel çalışır ve ondan tamamen bağımsızdır. Böyle bir "ağ" internette ayrı bir kanal aracılığıyla yayınlanabilir, bunun için ayrı bir IP adresi aralığı da tahsis edilebilir (bkz. Şekil 2).
Honeynet kullanmanın amacı, hacker'a örgütün kurumsal ağına sızdığını göstermektir; aslında saldırgan "izole bir ortamda" ve bilgi güvenliği uzmanlarının yakın denetimi altındadır (bkz. Şekil 3).
Burada şöyle bir araçtan da bahsetmemiz gerekiyor:kum havuzu"(İngilizce, kum havuzuSaldırganların, BT'nin olası riskleri tespit etmek ve uygun karşı önlemleri almak için faaliyetlerini izleyebileceği izole bir ortamda kötü amaçlı yazılım yüklemesine ve çalıştırmasına olanak tanır. Şu anda korumalı alan oluşturma genellikle sanal bir ana bilgisayardaki özel sanal makinelerde uygulanmaktadır. Bununla birlikte, korumalı alanın yalnızca tehlikeli ve kötü amaçlı programların nasıl davrandığını gösterdiğini, Honeynet'in ise bir uzmanın "tehlikeli oyuncuların" davranışlarını analiz etmesine yardımcı olduğunu belirtmek gerekir.
Bal ağlarının bariz faydası, saldırganları yanıltarak enerjilerini, kaynaklarını ve zamanlarını boşa harcamalarıdır. Sonuç olarak, gerçek hedefler yerine sahte hedeflere saldırırlar ve hiçbir şey elde etmeden ağa saldırmayı bırakabilirler. Honeynet teknolojileri çoğunlukla devlet kurumlarında, büyük şirketlerde, finans kuruluşlarında kullanılıyor çünkü bunlar büyük siber saldırıların hedefi haline gelen yapılar. Ancak küçük ve orta ölçekli işletmelerin (KOBİ'ler) de bilgi güvenliği olaylarını önlemek için etkili araçlara ihtiyacı vardır, ancak KOBİ sektöründeki bal ağlarının kullanımı, bu tür karmaşık işler için nitelikli personel eksikliği nedeniyle pek kolay değildir.
Honeypot ve Honeynet Çözümlerinin Sınırlamaları
Balküpleri ve bal ağları neden bugün saldırılara karşı koymak için en iyi çözümler değil? Saldırıların giderek daha büyük ölçekli, teknik açıdan karmaşık hale geldiğini ve bir kuruluşun BT altyapısına ciddi zararlar verebileceğini, siber suçların ise tamamen farklı bir düzeye ulaştığını ve gerekli tüm kaynaklarla donatılmış, son derece organize gölge iş yapılarını temsil ettiğini belirtmek gerekir. Buna "insan faktörünü" de (yazılım ve donanım ayarlarındaki hatalar, içeriden kişilerin eylemleri vb.) eklemek gerekir; dolayısıyla saldırıları önlemek için yalnızca teknolojiyi kullanmak şu anda yeterli değildir.
Aşağıda bal küplerinin (bal ağları) ana sınırlamalarını ve dezavantajlarını listeliyoruz:
-
Honeypot'lar başlangıçta kurumsal ağ dışındaki tehditleri tespit etmek için geliştirildi, daha ziyade saldırganların davranışlarını analiz etmek için tasarlandı ve tehditlere hızlı bir şekilde yanıt vermek üzere tasarlanmamıştı.
-
Saldırganlar, kural olarak, taklit edilmiş sistemleri tanımayı ve bal küplerinden kaçınmayı zaten öğrenmişlerdir.
-
Honeynet'lerin (balküpleri) diğer güvenlik sistemleriyle etkileşimi ve etkileşimi son derece düşük düzeydedir, bunun sonucunda honeypotlar kullanılarak saldırılar ve saldırganlar hakkında ayrıntılı bilgi elde etmek ve dolayısıyla bilgi güvenliği olaylarına etkin ve hızlı bir şekilde müdahale etmek zordur. . Üstelik bilgi güvenliği uzmanları çok sayıda yanlış tehdit uyarısı alıyor.
-
Bazı durumlarda bilgisayar korsanları, bir kuruluşun ağına saldırmaya devam etmek için bir başlangıç noktası olarak tehlikeye atılmış bir balküpünü kullanabilir.
-
Honeypot'ların ölçeklenebilirliği, yüksek operasyonel yük ve bu tür sistemlerin konfigürasyonu ile ilgili sorunlar sıklıkla ortaya çıkar (yüksek nitelikli uzmanlar gerektirirler, uygun bir yönetim arayüzüne sahip değildirler, vb.). Honeypot'ların IoT, POS, bulut sistemleri vb. gibi özel ortamlarda konuşlandırılmasında büyük zorluklar vardır.
2. Aldatma teknolojisi: avantajları ve temel çalışma prensipleri
Honeypot'ların tüm avantajlarını ve dezavantajlarını inceledikten sonra, saldırganların eylemlerine hızlı ve yeterli bir yanıt geliştirmek için bilgi güvenliği olaylarına yanıt verme konusunda tamamen yeni bir yaklaşıma ihtiyaç olduğu sonucuna vardık. Ve böyle bir çözüm teknolojidir Siber aldatma (Güvenlik aldatmacası).
“Siber aldatma”, “Güvenlik aldatmacası”, “Aldatma teknolojisi”, “Dağıtılmış Aldatma Platformu” (DDP) terminolojisi nispeten yenidir ve çok uzun zaman önce ortaya çıkmamıştır. Aslında tüm bu terimler, “aldatma teknolojilerinin” veya “BT altyapısını simüle etmeye ve saldırganları yanlış bilgilendirmeye yönelik tekniklerin” kullanılması anlamına geliyor. En basit Aldatma çözümleri, balküpü fikirlerinin teknolojik olarak daha ileri düzeyde geliştirilmesidir; bu, tehdit tespitinin ve bunlara yanıt vermenin daha fazla otomasyonunu içerir. Ancak piyasada, dağıtımı ve ölçeklendirilmesi kolay, ayrıca saldırganlar için ciddi bir "tuzak" ve "yem" cephaneliğine sahip ciddi DDP sınıfı çözümler zaten mevcut. Örneğin Deception, veritabanları, iş istasyonları, yönlendiriciler, anahtarlar, ATM'ler, sunucular ve SCADA, tıbbi ekipman ve IoT gibi BT altyapı nesnelerini taklit etmenize olanak tanır.
Dağıtılmış Aldatma Platformu nasıl çalışır? DDP dağıtıldıktan sonra, kuruluşun BT altyapısı sanki iki katmandan oluşuyormuş gibi oluşturulacaktır: ilk katman şirketin gerçek altyapısıdır ve ikincisi, tuzaklardan ve yemlerden oluşan "taklit" bir ortamdır. gerçek fiziksel ağ cihazlarında (bkz. Şekil 4).
Örneğin, bir saldırgan "gizli belgelere" sahip sahte veritabanlarını, sözde "ayrıcalıklı kullanıcılara" ait sahte kimlik bilgilerini keşfedebilir; bunların tümü, ihlal edenlerin ilgisini çekebilecek ve böylece dikkatlerini şirketin gerçek bilgi varlıklarından başka yöne çevirebilecek tuzaklardır (bkz. Şekil 5).
DDP, bilgi güvenliği ürünleri pazarında yeni bir üründür; bu çözümler yalnızca birkaç yıllıktır ve şu ana kadar yalnızca kurumsal sektörün karşılayabildiği bir üründür. Ancak küçük ve orta ölçekli işletmeler de yakında DDP'yi uzman sağlayıcılardan "hizmet olarak" kiralayarak Aldatma'dan yararlanabilecek. Bu seçenek daha da uygundur çünkü kendi yüksek vasıflı personelinize ihtiyaç yoktur.
Aldatma teknolojisinin ana avantajları aşağıda gösterilmektedir:
-
Orijinallik (gerçeklik). Aldatma teknolojisi, bir şirketin tamamen özgün bir BT ortamını yeniden üretebilir, işletim sistemlerini, IoT'yi, POS'u, özel sistemleri (medikal, endüstriyel vb.), hizmetleri, uygulamaları, kimlik bilgilerini vb. niteliksel olarak taklit edebilir. Tuzaklar çalışma ortamına dikkatli bir şekilde karışıyor ve bir saldırgan bunları bal küpü olarak tanımlayamayacaktır.
-
Внедрение. DDP'ler çalışmalarında makine öğrenimini (ML) kullanır. ML'nin yardımıyla, basitlik, ayarlarda esneklik ve Aldatma uygulamasının verimliliği sağlanır. "Tuzaklar" ve "tuzaklar" çok hızlı bir şekilde güncellenerek bir saldırganın şirketin "sahte" BT altyapısına çekilmesini sağlar ve bu arada yapay zekaya dayalı gelişmiş analiz sistemleri, bilgisayar korsanlarının aktif eylemlerini tespit edip bunları önleyebilir (örneğin, bir Active Directory tabanlı sahte hesaplara erişmeye çalışmak).
-
Kullanım kolaylığı. Modern Dağıtılmış Aldatma Platformlarının bakımı ve yönetimi kolaydır. Genellikle yerel veya bulut konsolu üzerinden yönetilirler; API aracılığıyla kurumsal SOC (Güvenlik Operasyon Merkezi) ile entegrasyon yetenekleri ve mevcut birçok güvenlik kontrolü bulunur. DDP'nin bakımı ve işletimi, yüksek nitelikli bilgi güvenliği uzmanlarının hizmetlerini gerektirmez.
-
ölçeklenebilirlik. Güvenlik aldatmacası fiziksel, sanal ve bulut ortamlarında kullanılabilir. DDP'ler ayrıca IoT, ICS, POS, SWIFT vb. gibi özel ortamlarla da başarılı bir şekilde çalışır. Gelişmiş Aldatma platformları, ek tam platform dağıtımına ihtiyaç duymadan "aldatma teknolojilerini" uzak ofislere ve yalıtılmış ortamlara yansıtabilir.
-
Etkileşim. Gerçek işletim sistemlerini temel alan ve gerçek BT altyapısı arasına akıllıca yerleştirilmiş güçlü ve çekici tuzaklar kullanan Deception platformu, saldırgan hakkında kapsamlı bilgi toplar. DDP daha sonra tehdit uyarılarının iletilmesini, raporların oluşturulmasını ve bilgi güvenliği olaylarına otomatik olarak yanıt verilmesini sağlar.
-
Saldırının başlangıç noktası. Modern Aldatma'da, tuzaklar ve yemler ağın dışına değil (bal küplerinde olduğu gibi) ağın menzili içine yerleştirilir. Bu tuzak dağıtım modeli, bir saldırganın bunları şirketin gerçek BT altyapısına saldırmak için bir kaldıraç noktası olarak kullanmasını engeller. Deception sınıfının daha gelişmiş çözümleri, trafik yönlendirme yeteneklerine sahiptir, böylece tüm saldırgan trafiğini özel olarak ayrılmış bir bağlantı üzerinden yönlendirebilirsiniz. Bu, değerli şirket varlıklarını riske atmadan saldırganların faaliyetlerini analiz etmenize olanak tanır.
-
“Aldatma teknolojileri”nin ikna ediciliği. Saldırının ilk aşamasında saldırganlar BT altyapısıyla ilgili verileri toplayıp analiz ediyor ve ardından bu verileri kurumsal ağda yatay olarak hareket etmek için kullanıyor. Saldırgan, "aldatma teknolojileri" yardımıyla, kendisini örgütün gerçek varlıklarından uzaklaştıracak "tuzaklara" mutlaka düşecektir. DDP, kurumsal ağdaki kimlik bilgilerine erişmenin olası yollarını analiz edecek ve saldırgana gerçek kimlik bilgileri yerine "tuzak hedefler" sağlayacak. Bu yetenekler balküpü teknolojilerinde fena halde eksikti. (Bkz. Şekil 6).
Aldatma vs Balküpü
Ve nihayet araştırmamızın en ilginç anına geliyoruz. Deception ve Honeypot teknolojileri arasındaki temel farkları vurgulamaya çalışacağız. Bazı benzerliklere rağmen bu iki teknoloji, temel fikirden işletme verimliliğine kadar hala çok farklıdır.
-
Farklı temel fikirler. Yukarıda yazdığımız gibi bal küpleri, değerli şirket varlıklarının (kurumsal ağ dışındaki) etrafına “tuzak” olarak kurularak saldırganların dikkatini dağıtmaya çalışır. Balküpü teknolojisi bir kuruluşun altyapısının anlaşılmasına dayanır, ancak balküpleri bir şirketin ağına saldırı başlatmak için bir başlangıç noktası olabilir. Aldatma teknolojisi, saldırganın bakış açısı dikkate alınarak geliştirilerek saldırının erken aşamada tespit edilmesini sağlar, böylece bilgi güvenliği uzmanları saldırganlara karşı önemli bir avantaj elde eder ve zaman kazanır.
-
"Cazibe" VS "Karışıklık". Balküplerini kullanırken başarı, saldırganların dikkatini çekmeye ve onları balküpündeki hedefe doğru ilerlemeye daha fazla motive etmeye bağlıdır. Bu, saldırganın siz onu durdurabilmeniz için hâlâ bal küpüne ulaşması gerektiği anlamına gelir. Dolayısıyla saldırganların ağdaki varlığı birkaç ay veya daha uzun sürebilir ve bu durum veri sızıntısına ve hasara yol açacaktır. DDP'ler bir şirketin gerçek BT altyapısını niteliksel olarak taklit eder; bunların uygulanmasının amacı sadece saldırganın dikkatini çekmek değil, aynı zamanda zaman ve kaynak israfına neden olacak şekilde kafasını karıştırmak, ancak şirketin gerçek varlıklarına erişmemesini sağlamaktır. şirket.
-
“Sınırlı ölçeklenebilirlik” VS “otomatik ölçeklenebilirlik”. Daha önce de belirtildiği gibi, bal küpleri ve bal ağlarının ölçeklendirme sorunları vardır. Bu zor ve pahalıdır ve kurumsal bir sistemdeki bal küpü sayısını artırmak için yeni bilgisayarlar, işletim sistemi eklemeniz, lisans satın almanız ve IP tahsis etmeniz gerekecektir. Üstelik bu tür sistemleri yönetebilecek kalifiye personele sahip olmak da gerekiyor. Aldatma platformları, altyapınız ölçeklendikçe önemli bir ek yük olmadan otomatik olarak devreye alınır.
-
"Çok sayıda yanlış pozitif" VS "yanlış pozitif yok". Sorunun özü, basit bir kullanıcının bile bir bal küpüyle karşılaşabilmesidir, bu nedenle bu teknolojinin "dezavantajı", bilgi güvenliği uzmanlarını işlerinden uzaklaştıran çok sayıda yanlış pozitiftir. DDP'deki "yemler" ve "tuzaklar" ortalama kullanıcıdan dikkatlice gizlenir ve yalnızca saldırgan için tasarlanmıştır; dolayısıyla böyle bir sistemden gelen her sinyal, yanlış bir pozitif değil, gerçek bir tehdidin bildirimidir.
Sonuç
Bize göre Aldatma teknolojisi eski Honeypots teknolojisine göre çok büyük bir gelişmedir. Temelde DDP, dağıtımı ve yönetimi kolay, kapsamlı bir güvenlik platformu haline geldi.
Bu sınıfın modern platformları, ağ tehditlerini doğru bir şekilde tespit etmede ve bunlara etkili bir şekilde yanıt vermede önemli bir rol oynar ve bunların güvenlik yığınının diğer bileşenleriyle entegrasyonu, otomasyon düzeyini artırır, olaylara müdahalenin verimliliğini ve etkinliğini artırır. Aldatma platformları özgünlüğe, ölçeklenebilirliğe, yönetim kolaylığına ve diğer sistemlerle entegrasyona dayanmaktadır. Tüm bunlar bilgi güvenliği olaylarına müdahale hızında önemli bir avantaj sağlıyor.
Ayrıca, Xello Deception platformunun uygulandığı veya pilot olarak uygulandığı şirketlerin sızma testlerine ilişkin gözlemlere dayanarak, deneyimli pentester'ların bile çoğu zaman kurumsal ağdaki tuzağı tanıyamadıkları ve kurulan tuzaklara düştüklerinde başarısız oldukları sonucuna varabiliriz. Bu gerçek, Aldatma'nın etkinliğini ve gelecekte bu teknolojiye açılan büyük umutları bir kez daha doğruluyor.
Ürün testi
Deception platformuyla ilgileniyorsanız biz hazırız .
Kanallarımızdaki güncellemeler için bizi izlemeye devam edin (, , , )!
Kaynak: habr.com