Misol sifatida Xello-dan foydalangan holda Honeypot vs Deception

Habré-da Honeypot va Deception texnologiyalari haqida bir nechta maqolalar mavjud (1-modda, 2-modda). Biroq, biz hali ham himoya vositalarining ushbu sinflari o'rtasidagi farqni tushunmaslikka duch kelamiz. Buning uchun bizning hamkasblarimiz Salom Aldash (birinchi rus dasturchisi Platformani aldash) ushbu echimlarning farqlari, afzalliklari va me'moriy xususiyatlarini batafsil tavsiflashga qaror qildi.

Keling, "asal qozonlari" va "aldash" nima ekanligini aniqlaylik:

Axborot xavfsizligi tizimlari bozorida "aldamchi texnologiyalar" nisbatan yaqinda paydo bo'ldi. Biroq, ba'zi ekspertlar hanuzgacha Xavfsizlik aldashini yanada rivojlangan asal qozonlari deb bilishadi.

Ushbu maqolada biz ushbu ikki yechim o'rtasidagi o'xshashlik va asosiy farqlarni ta'kidlashga harakat qilamiz. Birinchi qismda biz asal idishi, bu texnologiya qanday rivojlanganligi va uning afzalliklari va kamchiliklari haqida gapiramiz. Va ikkinchi qismda biz aldashlarning taqsimlangan infratuzilmasini yaratish uchun platformalarning ishlash tamoyillari haqida batafsil to'xtalib o'tamiz (inglizcha, Distributed Deception Platform - DDP).

Asal potlarining asosiy printsipi xakerlar uchun tuzoqlarni yaratishdir. Birinchi Aldash echimlari xuddi shu printsip asosida ishlab chiqilgan. Ammo zamonaviy DDPlar ham funksionallik, ham samaradorlik jihatidan honeypotlardan sezilarli darajada ustundir. Aldash platformalariga quyidagilar kiradi: aldashlar, tuzoqlar, lures, ilovalar, ma'lumotlar, ma'lumotlar bazalari, Active Directory. Zamonaviy DDPlar tahdidlarni aniqlash, hujumlarni tahlil qilish va javob berishni avtomatlashtirish uchun kuchli imkoniyatlarni taqdim etishi mumkin.

Shunday qilib, Aldash - bu korxonaning IT infratuzilmasini simulyatsiya qilish va xakerlarni chalg'ituvchi usul. Natijada, bunday platformalar kompaniya aktivlariga katta zarar yetkazmasdan oldin hujumlarni to'xtatish imkonini beradi. Asal potlari, albatta, bunday keng funksionallik va avtomatlashtirish darajasiga ega emas, shuning uchun ulardan foydalanish axborot xavfsizligi bo'limlari xodimlaridan ko'proq malaka talab qiladi.

1. Honeypots, Honeynets va Sandboxing: ular nima va ular qanday ishlatiladi

"Asal qozonlari" atamasi birinchi marta 1989 yilda Klifford Stollning Lorens Berkli milliy laboratoriyasida (AQSh) xakerni kuzatish voqealarini tasvirlaydigan "Kuku tuxumi" kitobida ishlatilgan. Bu g‘oyani 1999-yilda Honeynet Project tadqiqot loyihasiga asos solgan Sun Microsystems kompaniyasining axborot xavfsizligi bo‘yicha mutaxassisi Lans Spitsner amalga oshirgan. Birinchi asal qozonlari juda ko'p resurs talab qiladigan, o'rnatish va saqlash qiyin edi.

Keling, nima ekanligini batafsil ko'rib chiqaylik honeypots и asal to'rlari. Honeypots - bu shaxsiy xostlar bo'lib, ularning maqsadi kompaniya tarmog'iga kirib borish va qimmatli ma'lumotlarni o'g'irlashga urinish, shuningdek, tarmoq qamrovini kengaytirish uchun tajovuzkorlarni jalb qilishdir. Honeypot (so'zma-so'z "asal bochkasi" deb tarjima qilingan) - bu HTTP, FTP va boshqalar kabi turli xil tarmoq xizmatlari va protokollari to'plamiga ega maxsus server. (1-rasmga qarang).

Agar siz bir nechtasini birlashtirsangiz honeypots tarmoqqa kirsak, biz yanada samarali tizimga ega bo'lamiz honeynet, bu kompaniyaning korporativ tarmog'ining emulyatsiyasi (veb-server, fayl serveri va boshqa tarmoq komponentlari). Ushbu yechim tajovuzkorlarning strategiyasini tushunish va ularni chalg'itishga imkon beradi. Oddiy honeynet, qoida tariqasida, ish tarmog'iga parallel ravishda ishlaydi va undan butunlay mustaqildir. Bunday "tarmoq" Internetda alohida kanal orqali e'lon qilinishi mumkin, u uchun alohida IP-manzillar diapazoni ham ajratilishi mumkin (2-rasmga qarang).

Honeynet-dan foydalanishdan maqsad xakerga tashkilotning korporativ tarmog'iga kirganligini ko'rsatishdir, aslida tajovuzkor "izolyatsiya qilingan muhitda" va axborot xavfsizligi bo'yicha mutaxassislarning qattiq nazorati ostidadir (3-rasmga qarang).

Bu erda biz " kabi vositani ham eslatib o'tishimiz kerak.qum qutisi"(ingliz, Sandbox), bu tajovuzkorlarga potentsial xavflarni aniqlash va tegishli choralarni ko'rish uchun AT ularning faoliyatini kuzatishi mumkin bo'lgan izolyatsiya qilingan muhitda zararli dasturlarni o'rnatish va ishga tushirish imkonini beradi. Hozirgi vaqtda sandboxing odatda virtual xostdagi maxsus virtual mashinalarda amalga oshiriladi. Ammo shuni ta'kidlash kerakki, sandboxing faqat xavfli va zararli dasturlarning harakatini ko'rsatadi, honeynet esa mutaxassisga "xavfli o'yinchilar" ning xatti-harakatlarini tahlil qilishga yordam beradi.

Honeynetsning aniq foydasi shundaki, ular tajovuzkorlarni yo'ldan ozdiradi, kuchini, resurslarini va vaqtini behuda sarflaydi. Natijada, ular haqiqiy nishonlar o'rniga yolg'onlarga hujum qilishadi va hech narsaga erishmasdan tarmoqqa hujum qilishni to'xtatishlari mumkin. Ko'pincha honeynets texnologiyalari davlat idoralari va yirik korporatsiyalar, moliyaviy tashkilotlarda qo'llaniladi, chunki bular yirik kiberhujumlar uchun nishonga aylanadi. Biroq, kichik va o'rta biznes (KO'B) ham axborot xavfsizligi intsidentlarining oldini olish uchun samarali vositalarga muhtoj, ammo bunday murakkab ishlarni bajarish uchun malakali kadrlar etishmasligi tufayli SMB sektoridagi honeynetlardan foydalanish unchalik oson emas.

Honeypots va Honeynets Solutions cheklovlari

Nega honeypots va honeynets bugungi kunda hujumlarga qarshi kurashish uchun eng yaxshi echim emas? Ta'kidlash joizki, hujumlar tobora keng ko'lamli, texnik jihatdan murakkab va tashkilotning IT infratuzilmasiga jiddiy zarar etkazishga qodir bo'lib bormoqda, kiberjinoyatlar esa butunlay boshqa darajaga yetib bordi va barcha zarur resurslar bilan jihozlangan yuqori darajada tashkil etilgan yashirin biznes tuzilmalarini ifodalaydi. Bunga “inson omili”ni (dasturiy-apparat sozlamalaridagi xatolar, insayderlarning xatti-harakatlari va h.k.) qo‘shish kerak, shuning uchun hozirda hujumlarning oldini olish uchun faqat texnologiyadan foydalanish yetarli emas.

Quyida biz honeypots (honeynets) ning asosiy cheklovlari va kamchiliklarini sanab o'tamiz:

1. Honeypots dastlab korporativ tarmoqdan tashqaridagi tahdidlarni aniqlash uchun ishlab chiqilgan bo'lib, tajovuzkorlarning xatti-harakatlarini tahlil qilish uchun mo'ljallangan va tahdidlarga tezda javob berish uchun mo'ljallanmagan.

2. Hujumchilar, qoida tariqasida, taqlid qilingan tizimlarni tanib olishni va honeypotlardan qochishni o'rgandilar.

3. Honeynets (honeypots) boshqa xavfsizlik tizimlari bilan juda past darajadagi interaktivlik va o'zaro ta'sirga ega, buning natijasida honeypots yordamida hujumlar va hujumchilar haqida batafsil ma'lumot olish qiyin, shuning uchun axborot xavfsizligi hodisalariga samarali va tezkor javob berish. . Bundan tashqari, axborot xavfsizligi bo'yicha mutaxassislar ko'plab noto'g'ri tahdidlar haqida ogohlantirishlarni olishadi.

4. Ba'zi hollarda xakerlar tashkilot tarmog'iga hujumni davom ettirish uchun boshlang'ich nuqtasi sifatida buzilgan honeypotdan foydalanishi mumkin.

5. Muammolar ko'pincha honeypotlarning miqyosi, yuqori operatsion yuki va bunday tizimlarning konfiguratsiyasi (ular yuqori malakali mutaxassislarni talab qiladi, qulay boshqaruv interfeysiga ega emas va hokazo) bilan yuzaga keladi. IoT, POS, bulutli tizimlar va boshqalar kabi ixtisoslashgan muhitlarda honeypotlarni joylashtirishda katta qiyinchiliklar mavjud.

2. Aldash texnologiyasi: afzalliklari va asosiy ishlash tamoyillari

Honeypotsning barcha afzalliklari va kamchiliklarini o'rganib chiqib, biz tajovuzkorlarning harakatlariga tez va adekvat javob berishni ishlab chiqish uchun axborot xavfsizligi hodisalariga javob berishda mutlaqo yangi yondashuv zarur degan xulosaga keldik. Va bunday yechim texnologiyadir Kiber aldash (xavfsizlikni aldash).

"Kiber aldash", "Xavfsizlikni aldash", "Aldash texnologiyasi", "Taqsimlangan aldash platformasi" (DDP) terminologiyasi nisbatan yangi va yaqinda paydo bo'lgan. Aslida, bu atamalarning barchasi "aldash texnologiyalari" yoki "IT infratuzilmasini simulyatsiya qilish va tajovuzkorlarni dezinformatsiya qilish usullari" dan foydalanishni anglatadi. Aldashning eng oddiy echimlari bu asal qozonlari g'oyalarini ishlab chiqish, faqat texnologik jihatdan ilg'or darajada, bu tahdidlarni aniqlash va ularga javob berishni yanada avtomatlashtirishni o'z ichiga oladi. Biroq, bozorda DDP sinfidagi jiddiy yechimlar mavjud bo'lib, ularni joylashtirish va kengaytirish oson, shuningdek, tajovuzkorlar uchun jiddiy "tuzoq" va "o'lja" arsenaliga ega. Misol uchun, Deception ma'lumotlar bazalari, ish stantsiyalari, marshrutizatorlar, kalitlar, bankomatlar, serverlar va SCADA, tibbiy asbob-uskunalar va IoT kabi AT infratuzilmasi ob'ektlarini taqlid qilish imkonini beradi.

Taqsimlangan aldash platformasi qanday ishlaydi? DDP ishga tushirilgandan so'ng, tashkilotning IT infratuzilmasi go'yo ikki qatlamdan iborat bo'ladi: birinchi qatlam - kompaniyaning haqiqiy infratuzilmasi, ikkinchisi - hiylalar va o'ljalardan iborat "taqlid qilingan" muhit. haqiqiy jismoniy tarmoq qurilmalarida (4-rasmga qarang).

Masalan, tajovuzkor "maxfiy hujjatlar" bilan soxta ma'lumotlar bazalarini, go'yoki "imtiyozli foydalanuvchilar" ning soxta ma'lumotlarini topishi mumkin - bularning barchasi qonunbuzarlarni qiziqtirishi mumkin bo'lgan hiyla-nayranglardir va shu bilan ularning e'tiborini kompaniyaning haqiqiy ma'lumotlar aktivlaridan chalg'itadi (5-rasmga qarang).

DDP axborot xavfsizligi mahsuloti bozorida yangi mahsulot bo'lib, bu yechimlar bir necha yil ishlab chiqilgan va hozircha faqat korporativ sektor ularni sotib olishga qodir. Ammo kichik va o'rta biznes tez orada ixtisoslashgan provayderlardan DDPni "xizmat sifatida" ijaraga olish orqali aldamchilikdan foydalanishi mumkin. Ushbu parametr yanada qulayroq, chunki sizning yuqori malakali xodimlaringizga ehtiyoj yo'q.

Aldash texnologiyasining asosiy afzalliklari quyida ko'rsatilgan:

• Haqiqiylik (haqiqiylik). Aldash texnologiyasi kompaniyaning to'liq haqiqiy IT muhitini qayta ishlab chiqarishga qodir, operatsion tizimlar, IoT, POS, ixtisoslashtirilgan tizimlar (tibbiy, sanoat va boshqalar), xizmatlar, ilovalar, hisob ma'lumotlari va boshqalarni sifat jihatidan taqlid qiladi. Hiylalar ish muhiti bilan ehtiyotkorlik bilan aralashtiriladi va tajovuzkor ularni asal idishi sifatida aniqlay olmaydi.

• Dastur. DDPlar o'z ishlarida mashinani o'rganishdan (ML) foydalanadilar. ML yordamida soddaligi, sozlashning moslashuvchanligi va Aldashni amalga oshirish samaradorligi ta'minlanadi. "Tuzoqlar" va "qo'zg'olonlar" juda tez yangilanib, tajovuzkorni kompaniyaning "yolg'on" IT infratuzilmasiga jalb qiladi va shu bilan birga, sun'iy intellektga asoslangan ilg'or tahlil tizimlari xakerlarning faol harakatlarini aniqlay oladi va ularning oldini oladi (masalan, Active Directory-ga asoslangan firibgar hisoblarga kirishga urinish).

• Operatsion qulayligi. Zamonaviy taqsimlangan aldash platformalarini saqlash va boshqarish oson. Ular odatda mahalliy yoki bulutli konsol orqali boshqariladi, API orqali korporativ SOC (Xavfsizlik operatsiyalari markazi) bilan integratsiya imkoniyatlari va ko'plab mavjud xavfsizlik boshqaruvlari bilan. DDP ga texnik xizmat ko'rsatish va foydalanish axborot xavfsizligi bo'yicha yuqori malakali mutaxassislarning xizmatlarini talab qilmaydi.

• Miqyosi. Xavfsizlikni aldash jismoniy, virtual va bulutli muhitda qo'llanilishi mumkin. DDPlar, shuningdek, IoT, ICS, POS, SWIFT va boshqalar kabi maxsus muhitlar bilan muvaffaqiyatli ishlaydi. Ilg'or Aldash platformalari qo'shimcha platformani to'liq o'rnatishni talab qilmasdan, "aldash texnologiyalarini" uzoq ofislar va izolyatsiya qilingan muhitlarga loyihalashtirishi mumkin.

• O'zaro aloqalar. Haqiqiy operatsion tizimlarga asoslangan va haqiqiy IT infratuzilmasi orasida aqlli tarzda joylashtirilgan kuchli va jozibali hiyla-nayranglardan foydalangan holda, Deception platformasi tajovuzkor haqida keng ma'lumot to'playdi. Keyin DDP tahdidlar haqida ogohlantirishlar uzatilishini, hisobotlarni yaratishni va axborot xavfsizligi hodisalariga avtomatik ravishda javob berishni ta'minlaydi.

• Hujumning boshlanish nuqtasi. Zamonaviy Aldashda, tuzoq va o'ljalar tarmoqdan tashqarida emas, balki tarmoq doirasiga joylashtiriladi (asal idishlarda bo'lgani kabi). Ushbu hiyla-nayrangni joylashtirish modeli tajovuzkorning kompaniyaning haqiqiy IT infratuzilmasiga hujum qilish uchun ulardan foydalanish nuqtasi sifatida foydalanishining oldini oladi. Aldash sinfining yanada ilg'or yechimlari trafikni yo'naltirish imkoniyatlariga ega, shuning uchun siz barcha tajovuzkor trafigini maxsus ajratilgan ulanish orqali yo'naltirishingiz mumkin. Bu sizga kompaniyaning qimmatli aktivlarini xavf ostiga qo'ymasdan hujumchilarning faoliyatini tahlil qilish imkonini beradi.

• "Aldash texnologiyalari" ning ishonchliligi. Hujumning dastlabki bosqichida tajovuzkorlar IT infratuzilmasi haqidagi ma'lumotlarni to'playdi va tahlil qiladi, so'ngra undan korporativ tarmoq bo'ylab gorizontal harakatlanish uchun foydalanadi. "Aldash texnologiyalari" yordamida tajovuzkor, albatta, uni tashkilotning haqiqiy aktivlaridan uzoqlashtiradigan "tuzoq" ga tushadi. DDP korporativ tarmoqdagi hisob ma'lumotlariga kirishning potentsial yo'llarini tahlil qiladi va tajovuzkorga haqiqiy hisob ma'lumotlari o'rniga "ayyor maqsadlar" bilan ta'minlaydi. Bu qobiliyatlar honeypot texnologiyalarida juda kam edi. (6-rasmga qarang).

Aldashga qarshi Honeypot

Va nihoyat, biz tadqiqotimizning eng qiziqarli daqiqasiga keldik. Biz Deception va Honeypot texnologiyalari o'rtasidagi asosiy farqlarni ta'kidlashga harakat qilamiz. Ba'zi o'xshashliklarga qaramay, bu ikki texnologiya asosiy g'oyadan tortib to operatsion samaradorligigacha juda farq qiladi.

1. Turli xil asosiy fikrlar. Yuqorida yozganimizdek, asal idishlari kompaniyaning qimmatli aktivlari atrofida (korporativ tarmoqdan tashqarida) "almashtirish" sifatida o'rnatiladi va shu bilan hujumchilarni chalg'itishga harakat qiladi. Honeypot texnologiyasi tashkilot infratuzilmasini tushunishga asoslangan, ammo honeypotlar kompaniya tarmog'iga hujum boshlash uchun boshlang'ich nuqtaga aylanishi mumkin. Aldash texnologiyasi tajovuzkorning nuqtai nazarini hisobga olgan holda ishlab chiqilgan va hujumni dastlabki bosqichda aniqlash imkonini beradi, shu bilan axborot xavfsizligi bo'yicha mutaxassislar hujumchilarga nisbatan sezilarli ustunlikka ega bo'lishadi va vaqt orttirishadi.

2. "Atraktsiya" VS "chalkashlik". Asal idishlaridan foydalanganda muvaffaqiyat hujumchilarning e'tiborini jalb qilish va ularni asal idishidagi nishonga o'tishga undashga bog'liq. Bu shuni anglatadiki, siz uni to'xtatib qo'yishingizdan oldin tajovuzkor hali ham asal qozoniga etib borishi kerak. Shunday qilib, tarmoqdagi tajovuzkorlarning mavjudligi bir necha oy yoki undan ko'proq davom etishi mumkin va bu ma'lumotlarning sizib chiqishi va shikastlanishiga olib keladi. DDPlar kompaniyaning haqiqiy IT infratuzilmasini sifat jihatidan taqlid qiladi; ularni amalga oshirishdan maqsad shunchaki tajovuzkorning e'tiborini jalb qilish emas, balki uni chalg'itishdir, shunda u vaqt va resurslarni behuda sarflaydi, lekin uning haqiqiy aktivlariga kira olmaydi. kompaniya.

3. “Cheklangan miqyoslilik” VS “avtomatik o‘lchamlilik”. Yuqorida ta'kidlab o'tilganidek, honeypots va honeynets miqyosi bilan bog'liq muammolarga ega. Bu qiyin va qimmat va korporativ tizimda honeypotlar sonini ko'paytirish uchun siz yangi kompyuterlar, OS qo'shishingiz, litsenziyalar sotib olishingiz va IP-ni ajratishingiz kerak bo'ladi. Bundan tashqari, bunday tizimlarni boshqarish uchun malakali xodimlar bo'lishi kerak. Aldash platformalari sizning infratuzilmangiz miqyosi sifatida avtomatik ravishda o'rnatiladi, bunda katta xarajatlarsiz.

4. "Ko'p sonli noto'g'ri pozitivlar" VS "noto'g'ri pozitivlar yo'q". Muammoning mohiyati shundaki, hatto oddiy foydalanuvchi ham asal qozoniga duch kelishi mumkin, shuning uchun ushbu texnologiyaning "manfiyligi" axborot xavfsizligi bo'yicha mutaxassislarni o'z ishlaridan chalg'itadigan ko'plab noto'g'ri pozitivlardir. DDP-dagi "o'ljalar" va "tuzoqlar" oddiy foydalanuvchidan ehtiyotkorlik bilan yashiringan va faqat tajovuzkor uchun mo'ljallangan, shuning uchun bunday tizimdan kelgan har bir signal noto'g'ri ijobiy emas, balki haqiqiy tahdid haqida xabardir.

xulosa

Bizning fikrimizcha, Aldash texnologiyasi eski Honeypots texnologiyasiga nisbatan katta yaxshilanishdir. Aslini olganda, DDP keng qamrovli xavfsizlik platformasiga aylandi, uni joylashtirish va boshqarish oson.

Ushbu toifadagi zamonaviy platformalar tarmoq tahdidlarini aniq aniqlash va ularga samarali javob berishda muhim rol o'ynaydi va ularning xavfsizlik stekining boshqa komponentlari bilan integratsiyalashuvi avtomatlashtirish darajasini oshiradi, hodisalarga javob berish samaradorligi va samaradorligini oshiradi. Aldash platformalari haqiqiylik, miqyoslilik, boshqarish qulayligi va boshqa tizimlar bilan integratsiyaga asoslangan. Bularning barchasi axborot xavfsizligi hodisalariga javob berish tezligida sezilarli ustunlik beradi.

Shuningdek, Xello Deception platformasi amalga oshirilgan yoki sinovdan o'tkazilgan kompaniyalarning pentestlarini kuzatish asosida xulosa qilishimiz mumkinki, hatto tajribali pentesters ham korporativ tarmoqdagi o'ljani taniy olmaydi va tuzoqqa tushib qolganda muvaffaqiyatsizlikka uchraydi. Bu fakt Aldashning samaradorligini va kelajakda ushbu texnologiya uchun ochiladigan katta istiqbollarni yana bir bor tasdiqlaydi.

Mahsulot sinovi

Agar sizni aldash platformasi qiziqtirsa, biz tayyormiz qo'shma testlarni o'tkazish.

Kanallarimizdagi yangiliklarni kuzatib boring (Telegram, Facebook, VK, TS yechimlari blogi)!

Manba: www.habr.com