Honeypot vs Deception на прикладі Xello

На Хабре вже є кілька статей про технології Honeypot та Deception (1 стаття, 2 стаття). Однак досі ми стикаємося з нерозумінням різниці між цими класами засобів захисту. Для цього наші колеги з Xello Deception (перший російський розробник Deception платформи) вирішили докладно описати відмінності, переваги та архітектурні особливості цих рішень.

Розберемося що ж таке «ханіпоти» та «десепшени»:

«Технології обману» (англ. Deception technology) з'явилися на ринку систем інформаційної безпеки відносно недавно. Проте, деякі фахівці досі вважають Security Deception лише більш просунутими «ханіпот» (англ. honeypot).

У цій статті ми намагатимемося висвітлити як схожість, так і докорінні відмінності цих двох рішень. У першій частині ми розповімо про «ханіпіт», як розвивалася ця технологія і в чому її переваги та недоліки. А в другій частині, докладно зупинимося на принципах роботи платформ для створення розподіленої інфраструктури помилкових цілей (англ., Distributed Deception Platform — DDP).

Базовий принцип, покладений основою honeypots — створення пасток для хакерів. На такому ж принципі були розроблені і перші рішення Deception. Але сучасні DDP значно перевершують ханіпоти, як за своїм функціоналом, так і за ефективністю. Deception платформи включають: пастки (англ., decoys, traps), приманки (англ., lures), додатки, дані, бази даних, Active Directory. Сучасні DDP можуть забезпечити широкі можливості для виявлення загроз, аналізу атак та автоматизації дій у відповідь.

Таким чином, Deception є технікою імітації ІТ-інфраструктури підприємства і введення в оману хакерів. У результаті такі платформи дозволяють зупиняти атаки до заподіяння значних збитків активам компанії. Ханіпоти, звичайно ж, не мають такого широкого функціоналу і такого рівня автоматизації, тому їхнє застосування потребує більшої кваліфікації від співробітників департаментів ІБ.

1. Honeypots, Honeynets та Sandboxing: що це таке і як застосовується

Вперше термін "honeypots" був використаний в 1989 році в книзі Кліффорда Столла "The Cuckoo's Egg", в якій описані події з відстеження хакера в Національній лабораторії Лоренса Берклі (США). На практиці ця ідея була втілена в 1999 році Ленсом Спіцнером (Lance Spitzner), фахівцем з ІБ компанії Sun Microsystems, який заснував дослідницький проект Honeynet Project. Перші ханіпоти були дуже ресурсомісткими, складними в налаштуванні та обслуговуванні.

Розглянемо докладніше що таке приманок и honeynets. Honeypots - це окремі хости, призначення яких залучити зловмисників зробити проникнення в мережу компанії і спробувати вкрасти цінні дані, а також розширити зону дії мережі. Honeypot (перекладається дослівно, як «барильце з медом») є спеціальним сервером з набором різних мережевих служб і протоколів, таких як HTTP, FTP і т.д. (Див. рис. 1).

Якщо об'єднати кілька приманок в мережу, ми отримаємо вже більш ефективну систему honeynet, яка є емуляцією корпоративної мережі компанії (веб-сервер, файл-сервер та ін компоненти мережі). Таке рішення дозволяє зрозуміти стратегію дій зловмисників і ввести їх в оману. Типовий honeynet, як правило, працює паралельно з робочою мережею і абсолютно незалежно від неї. Таку «мережу» можна опублікувати в Інтернет окремим каналом, під неї також можна виділити окремий діапазон IP-адрес (див. рис. 2).

Сенс застосування honeynet - показати хакеру, що він нібито проник у корпоративну мережу організації, насправді зловмисник перебуває в «ізольованому середовищі» і під пильним наглядом фахівців ІБ (див. рис. 3).

Тут також слід згадати про такий засіб, якпісочниця»(англ., sandbox), яка дозволяє зловмисникам встановлювати та запускати шкідливі програми в ізольованому середовищі, де ІТ-фахівці можуть відслідковувати їх дії з метою виявлення потенційних ризиків та вжиття необхідних контрзаходів. В даний час, як правило, sandboxing реалізується на виділених віртуальних машинах на віртуальному хості. Однак, необхідно зазначити, що sandboxing показує лише, як поводяться небезпечні та шкідливі програми, а honeynet допомагає фахівцю проаналізувати поведінку «небезпечних гравців».

Очевидна користь від honeynets полягає в тому, що вони вводять порушників в оману, витрачаючи їхні сили, ресурси та час. В результаті, замість реальних цілей, вони атакують хибні і можуть припинити атаку на мережу, так нічого не досягнувши. Найчастіше технології honeynets використовуються в урядових установах та великих корпораціях, фінансових організаціях, оскільки саме ці структури виявляються мішенями для великих кібератак. Однак, підприємства малого та середнього бізнесу (SMB) також потребують ефективних інструментів для запобігання інцидентам ІБ, але грошінети в секторі SMB використовувати не так і просто, через брак кваліфікованих кадрів для такої складної роботи.

Обмеженість рішень Honeypots та Honeynets

Чому ж honeypots і honeynets не найкращі рішення для протидії атакам на сьогоднішній день? Треба відзначити, що атаки стають все більш масштабними, технічно складними і здатні завдати серйозної шкоди ІТ-інфраструктурі організації, а кіберзлочинність вийшла на зовсім інший рівень і є високоорганізованими тіньовими бізнес-структурами, оснащеними всіма необхідними ресурсами. До цього необхідно додати і «людський фактор» (помилки в налаштуваннях програмного забезпечення та обладнання, дії інсайдерів тощо), тому використання лише технологій для запобігання атакам на даний момент вже недостатньо.

Нижче перерахуємо основні обмеження та недоліки honeypots (honeynets):

1. «Ханіпоти» спочатку були розроблені для визначення загроз, що знаходяться поза корпоративною мережею, призначені скоріше для аналізу поведінки зловмисників та не розраховані на швидке реагування на загрози.

2. Зловмисники, як правило, вже навчилися розпізнавати емульовані системи та уникати гронипотів.

3. Honeynets (honeypots) мають вкрай низький рівень інтерактивності та взаємодії з іншими системами безпеки, внаслідок чого, використовуючи ханіпоти, важко отримати розгорнуту інформацію про атаки та атакуючих, а отже, ефективно та швидко реагувати на інциденти ІБ. Мало того, фахівці ІБ отримують велику кількість хибних сповіщень про погрози.

4. У деяких випадках хакери можуть використовувати скомпрометований ханіпот як вихідну точку для продовження атаки на мережу організації.

5. Часто виникають проблеми з масштабованістю ханіпотів, високим операційним навантаженням та налаштуванням таких систем (вони вимагають висококваліфікованих фахівців, не мають зручного інтерфейсу управління тощо). Існують великі труднощі у розгортанні гронипотів у спеціалізованих середовищах, таких як, IoT, POS, хмарних системах і т.д.

2. Deception technology: переваги та основні принципи роботи

Вивчивши всі переваги та недоліки honeypots, приходимо до висновку, що необхідний абсолютно новий підхід до реагування на інциденти ІБ з метою вироблення швидкої та адекватної відповіді на дії атакуючих. І таке рішення – це технології Сyber deception (Security deception).

Термінологія "Cyber ​​deception", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) відносно нова і з'явилася нещодавно. Фактично всі ці терміни означають використання «технологій обману» або «технік імітації ІТ-інфраструктури та дезінформації зловмисників». Найпростіші рішення Deception - це розвиток ідей honeypots, тільки на більш технологічно просунутому рівні, що передбачає велику автоматизацію виявлення загроз та реагування на них. Однак на ринку вже є серйозні рішення класу DDP, які передбачають легкість розгортання та масштабування, а також мають серйозний арсенал «пасток» і «приманок» для атакуючих. Наприклад, Deception дозволяє емулювати такі об'єкти ІТ-інфраструктури, як бази даних, робочі станції, маршрутизатори, комутатори, банкомати, сервери та SCADA, медичне обладнання та IoT.

Як працює Distributed Deception Platform? Після розгортання DDP, ІТ-інфраструктура організації буде побудована начебто з двох шарів: перший шар — це реальна інфраструктура компанії, а другий — це «емульоване» середовище, що складається з пасток (англ., decoys, traps) та приманок (англ., lures), що розташовані на реальних фізичних пристроях мережі (див. рис. 4).

Наприклад, зловмисник може виявити неправдиві бази даних з «конфіденційними документами», фальшиві облікові дані нібито «привілейованих користувачів» — все це помилкові цілі, вони можуть зацікавити порушників, тим самим зводячи їхню увагу від справжніх інформаційних активів компанії (див. рис 5).

DDP – це новинка на ринку продуктів ІБ, цим рішенням лише кілька років і поки що їх може дозволити собі лише корпоративний сектор. Але малий і середній бізнес скоро також зможе скористатися Deception, орендуючи DDP у спеціалізованих провайдерів, як послугу. Такий варіант навіть зручніший, оскільки немає потреби у власних висококваліфікованих кадрах.

Нижче показано основні переваги технології Deception:

• Справжність (автентичність). Технологія Deception здатна відтворювати повністю автентичне ІТ-середовище компанії, якісно емулюючи операційні системи, IoT, POS, спеціалізовані системи (медичні, промислові тощо), сервіси, програми, облікові дані тощо. Пастки (decoys) ретельно поєднуються з робочим середовищем, і зловмисник не зможе їх ідентифікувати як honeypots.

• впровадження. DDP використовують машинне навчання (англ., machine learning, ML) у своїй роботі. За допомогою ML забезпечується простота, гнучкість у налаштуваннях та ефективність впровадження Deception. «Пастки» та «приманки» дуже швидко оновлюються, залучаючи зловмисника до «хибної» ІТ-інфраструктури компанії, а тим часом розвинені системи аналізу на основі штучного інтелекту можуть виявити активні дії хакерів та запобігти їм (наприклад, спробу доступу в Active Directory на основі обманних облікових записів).

• простота експлуатації. Сучасні «Distributed Deception Platform» прості в обслуговуванні та управлінні. Як правило, вони керуються через локальну або хмарну консоль, є можливості інтеграції з корпоративним SOC (Security Operations Center) через API та з багатьма наявними засобами контролю безпеки. Для обслуговування та роботи DDP не потрібні послуги висококваліфікованих експертів з ІБ.

• масштабованість. Security deception можуть бути розгорнуті у фізичних, віртуальних та хмарних середовищах. Успішно DDP працюють і із спеціалізованими середовищами, такими як IoT, ICS, POS, SWIFT тощо. Удосконалені платформи Deception можуть проектувати «технології обману» і у віддалені офіси ізольовані середовища, причому без необхідності додаткового повного розгортання платформи.

• Взаємодія. Використовуючи ефективні та привабливі пастки (decoys), які засновані на реальних ОС та хитро розставлені серед справжньої ІТ-інфраструктури, платформа Deception збирає велику інформацію про зловмисника. Потім DDP забезпечує передачу оповіщень про загрози, генеруються звіти, і відбувається автоматичне реагування на інциденти ІБ.

• Точка початку атаки. У сучасних Deception пастки та приманки розміщуються всередині діапазону мережі, а не за її межами (як у випадку з грошимапотами). Така модель розгортання пасток не дозволяє зловмиснику використовувати їх як опорну точку для атаки на реальну ІТ-інфраструктуру компанії. У більш розвинених рішеннях класу Deception існують можливості маршрутизації трафіку, таким чином можна направити весь трафік атакуючих через спеціально виділене з'єднання. Це дозволить проаналізувати активність зловмисників без ризику цінних активів компанії.

• Переконливість "технологій обману". На початковій стадії атаки зловмисники збирають та аналізують дані про ІТ-інфраструктуру, потім використовують їх для горизонтального просування корпоративною мережею. За допомогою «технологій обману» атакуючий обов'язково потрапить у «пастки», які його відведуть від реальних активів організації. DDP проаналізує потенційні шляхи доступу до облікових даних у корпоративній мережі та надасть атакуючому «хибні цілі» замість реальних облікових даних. Цих можливостей дуже не вистачало технологіям honeypot. (Див. рис. 6).

Deception VS Honeypot

І нарешті, ми підходимо до найцікавішого моменту нашого дослідження. Постараємося виділити основні відмінності технологій Deception та Honeypot. Незважаючи на деяку схожість, все-таки ці дві технології сильно відрізняються, починаючи від основної ідеї та закінчуючи ефективністю роботи.

1. Різні базові ідеї. Як ми вже писали вище, honeypots встановлюються як «приманки» навколо цінних активів компанії (поза корпоративною мережею), намагаючись таким чином відволікти зловмисників. Технологія honeypot базується на уявленні про інфраструктуру організації, проте ханіпот може стати опорною точкою для початку атаки на мережу компанії. Технологія Deception розроблена з урахуванням точки зору зловмисника та дозволяє ідентифікувати атаку на ранній стадії, таким чином, фахівці ІБ отримують значну перевагу перед зловмисниками та виграють час.

2. «Залучення» VS «Заплутування». При використанні ханіпотів успіх залежить від привернення уваги атакуючих і подальшої їх мотивації перейти до мети в honeypot. Це означає, що атакуючий все-таки повинен дістатися honeypot, і тільки потім ви зможете його зупинити. Таким чином, присутність зловмисників у мережі може тривати кілька місяців і більше, а це призведе до витоку даних та заподіяння шкоди. DDP якісно імітує реальну ІТ-інфраструктуру компанії, мета їх впровадження — не просто привернути увагу зловмисника, а заплутати його, щоб він змарнував час і ресурси, але не отримав доступу до реальних активів компанії.

3. «Обмежена масштабованість» VS «автоматична масштабованість». Як було зазначено раніше, honeypots і honeynets мають проблеми з масштабуванням. Це складно і дорого, а для того, щоб збільшити кількість honeypots у корпоративній системі, доведеться додавати нові комп'ютери, ОС, купувати ліцензії, виділяти IP. Мало того, необхідно мати ще й кваліфікований персонал для керування такими системами. Платформи Deception автоматично розгортаються в міру масштабування інфраструктури без значних накладних витрат.

4. «Велика кількість хибних спрацьовувань» VS «відсутність хибних спрацьовувань». Суть проблеми в тому, що навіть простий користувач може зіткнутися з ханіпотом, тому «зворотним боком» цієї технології є велика кількість помилкових спрацьовувань, що відволікає фахівців ІБ від роботи. «Приманки» та «пастки» в DDP ретельно приховані від простого користувача та розраховані лише на зловмисника, тому кожен сигнал від такої системи – це сповіщення про реальну загрозу, а не хибне спрацювання.

Висновок

На наш погляд, технологія Deception — це величезний крок уперед порівняно з старішою технологією Honeypots. По суті, DDP стала комплексною платформою безпеки, яка проста у розгортанні та управлінні.

Сучасні платформи цього класу відіграють важливу роль у точному виявленні та ефективному реагуванні на мережеві загрози, а їх інтеграція з іншими компонентами стеку безпеки підвищує рівень автоматизації, збільшує ефективність та результативність реагування на інциденти. Deception-платформи засновані на автентичності, масштабованості, простоті управління та інтеграції з іншими системами. Усе це дає значну перевагу швидкості реагування на інциденти ІБ.

Також, виходячи зі спостережень за пентестами компаній, де була впроваджена або пілотована платформа Xello Deception, можна зробити висновки, що навіть досвідчені пентестери часто не можуть розпізнати приманки в корпоративній мережі і зазнають поразки, потрапляючи на розставлені пастки. Цей факт ще раз підтверджує ефективність Deception та великі перспективи, що відкриваються перед цією технологією у майбутньому.

Тестування продукту

Якщо вас зацікавили Deception платформи, ми готові провести спільне тестування.

Слідкуйте за оновленнями наших каналів (Telegram, Facebook, VK, TS Solution Blog)!

Джерело: habr.com