Đã có một số bài viết trên Habré về công nghệ Honeypot và Lừa dối (, ). Tuy nhiên, chúng ta vẫn phải đối mặt với sự thiếu hiểu biết về sự khác biệt giữa các loại thiết bị bảo hộ này. Đối với điều này, các đồng nghiệp của chúng tôi từ (nhà phát triển người Nga đầu tiên ) quyết định mô tả chi tiết sự khác biệt, ưu điểm và đặc điểm kiến trúc của các giải pháp này.
Hãy cùng tìm hiểu xem “honeypots” và “deception” là gì:
“Công nghệ lừa đảo” xuất hiện trên thị trường hệ thống bảo mật thông tin tương đối gần đây. Tuy nhiên, một số chuyên gia vẫn coi Security Deception chỉ là những loại honeypot tiên tiến hơn.
Trong bài viết này, chúng tôi sẽ cố gắng làm nổi bật cả những điểm tương đồng và khác biệt cơ bản giữa hai giải pháp này. Trong phần đầu tiên, chúng ta sẽ nói về honeypot, công nghệ này phát triển như thế nào cũng như những ưu điểm và nhược điểm của nó. Và trong phần thứ hai, chúng ta sẽ tìm hiểu chi tiết về nguyên tắc hoạt động của các nền tảng để tạo cơ sở hạ tầng phân tán gồm các mồi nhử (tiếng Anh, Distributed Deception Platform - DDP).
Nguyên tắc cơ bản của honeypot là tạo bẫy cho tin tặc. Các giải pháp lừa dối đầu tiên được phát triển trên cùng một nguyên tắc. Nhưng DDP hiện đại vượt trội hơn đáng kể so với honeypot, cả về chức năng và hiệu quả. Các nền tảng lừa đảo bao gồm: mồi nhử, bẫy, mồi nhử, ứng dụng, dữ liệu, cơ sở dữ liệu, Active Directory. DDP hiện đại có thể cung cấp các khả năng mạnh mẽ để phát hiện mối đe dọa, phân tích tấn công và tự động hóa phản hồi.
Như vậy, Deception là một kỹ thuật mô phỏng cơ sở hạ tầng CNTT của doanh nghiệp và đánh lừa tin tặc. Do đó, các nền tảng như vậy có thể ngăn chặn các cuộc tấn công trước khi gây thiệt hại đáng kể cho tài sản của công ty. Tất nhiên, Honeypots không có chức năng rộng rãi và mức độ tự động hóa như vậy nên việc sử dụng chúng đòi hỏi nhiều trình độ hơn từ nhân viên của bộ phận bảo mật thông tin.
1. Honeypots, Honeynets và Sandboxing: chúng là gì và được sử dụng như thế nào
Thuật ngữ “honeypots” được sử dụng lần đầu tiên vào năm 1989 trong cuốn sách “The Cuckoo's Egg” của Clifford Stoll, trong đó mô tả sự kiện truy lùng một hacker tại Phòng thí nghiệm quốc gia Lawrence Berkeley (Mỹ). Ý tưởng này được đưa vào thực tế vào năm 1999 bởi Lance Spitzner, chuyên gia bảo mật thông tin tại Sun Microsystems, người sáng lập dự án nghiên cứu Dự án Honeynet. Honeypots đầu tiên rất tốn tài nguyên, khó thiết lập và bảo trì.
Chúng ta hãy xem xét kỹ hơn nó là gì mật ong и mật ong. Honeypots là các máy chủ riêng lẻ có mục đích thu hút những kẻ tấn công xâm nhập vào mạng của công ty và cố gắng đánh cắp dữ liệu có giá trị cũng như mở rộng vùng phủ sóng của mạng. Honeypot (dịch theo nghĩa đen là “thùng mật ong”) là một máy chủ đặc biệt với một tập hợp các dịch vụ và giao thức mạng khác nhau, chẳng hạn như HTTP, FTP, v.v. (xem hình 1).
Nếu bạn kết hợp nhiều mật ong vào mạng thì chúng ta sẽ có được một hệ thống hiệu quả hơn mạng lưới mật ong, là mô phỏng mạng công ty của công ty (máy chủ web, máy chủ tệp và các thành phần mạng khác). Giải pháp này cho phép bạn hiểu chiến lược của những kẻ tấn công và đánh lừa chúng. Theo quy định, một honeynet điển hình hoạt động song song với mạng làm việc và hoàn toàn độc lập với nó. Một “mạng” như vậy có thể được xuất bản trên Internet thông qua một kênh riêng biệt, một dải địa chỉ IP riêng biệt cũng có thể được phân bổ cho nó (xem Hình 2).
Mục đích của việc sử dụng honeynet là để cho hacker thấy rằng anh ta được cho là đã xâm nhập vào mạng công ty của tổ chức, trên thực tế, kẻ tấn công đang ở trong một “môi trường biệt lập” và dưới sự giám sát chặt chẽ của các chuyên gia bảo mật thông tin (xem Hình 3).
Ở đây chúng ta cũng cần đề cập đến một công cụ như “hộp cát"(Tiếng Anh, sandbox), cho phép kẻ tấn công cài đặt và chạy phần mềm độc hại trong môi trường biệt lập, nơi CNTT có thể giám sát hoạt động của chúng để xác định các rủi ro tiềm ẩn và thực hiện các biện pháp đối phó thích hợp. Hiện tại, sandboxing thường được triển khai trên các máy ảo chuyên dụng trên máy chủ ảo. Tuy nhiên, cần lưu ý rằng sandbox chỉ cho thấy các chương trình nguy hiểm và độc hại hoạt động như thế nào, trong khi honeynet giúp chuyên gia phân tích hành vi của “những người chơi nguy hiểm”.
Lợi ích rõ ràng của honeynet là chúng đánh lừa kẻ tấn công, lãng phí năng lượng, tài nguyên và thời gian của chúng. Kết quả là, thay vì các mục tiêu thực, chúng tấn công các mục tiêu giả và có thể ngừng tấn công mạng mà không đạt được gì. Thông thường, công nghệ honeynets được sử dụng trong các cơ quan chính phủ và các tập đoàn lớn, tổ chức tài chính, vì đây là những cấu trúc trở thành mục tiêu cho các cuộc tấn công mạng lớn. Tuy nhiên, các doanh nghiệp vừa và nhỏ (SMB) cũng cần những công cụ hiệu quả để ngăn chặn sự cố an toàn thông tin, nhưng honeynet trong lĩnh vực SMB lại không dễ sử dụng do thiếu nhân sự có trình độ cho công việc phức tạp như vậy.
Hạn chế của giải pháp Honeypots và Honeynets
Tại sao honeypot và honeynet không phải là giải pháp tốt nhất để chống lại các cuộc tấn công hiện nay? Cần lưu ý rằng các cuộc tấn công ngày càng trở nên quy mô lớn, phức tạp về mặt kỹ thuật và có khả năng gây thiệt hại nghiêm trọng cho cơ sở hạ tầng CNTT của tổ chức, đồng thời tội phạm mạng đã đạt đến một cấp độ hoàn toàn khác và đại diện cho các cấu trúc kinh doanh ngầm có tổ chức cao được trang bị tất cả các nguồn lực cần thiết. Ngoài ra còn phải thêm “yếu tố con người” (lỗi cài đặt phần mềm, phần cứng, hành động của người nội bộ, v.v.), nên việc chỉ sử dụng công nghệ để ngăn chặn các cuộc tấn công lúc này là không đủ.
Dưới đây chúng tôi liệt kê những hạn chế và nhược điểm chính của honeypots (honeynet):
-
Honeypots ban đầu được phát triển để xác định các mối đe dọa bên ngoài mạng công ty, nhằm mục đích phân tích hành vi của những kẻ tấn công và không được thiết kế để phản ứng nhanh với các mối đe dọa.
-
Theo quy định, những kẻ tấn công đã học cách nhận biết các hệ thống mô phỏng và tránh các honeypot.
-
Honeynets (honeypots) có mức độ tương tác và tương tác cực kỳ thấp với các hệ thống bảo mật khác, do đó, khi sử dụng honeypots, rất khó để có được thông tin chi tiết về các cuộc tấn công và kẻ tấn công, do đó để ứng phó hiệu quả và nhanh chóng với các sự cố bảo mật thông tin . Hơn nữa, các chuyên gia bảo mật thông tin nhận được một số lượng lớn cảnh báo mối đe dọa sai.
-
Trong một số trường hợp, tin tặc có thể sử dụng honeypot bị xâm nhập làm điểm khởi đầu để tiếp tục cuộc tấn công vào mạng của tổ chức.
-
Các vấn đề thường nảy sinh với khả năng mở rộng của honeypot, tải hoạt động cao và cấu hình của các hệ thống như vậy (chúng yêu cầu các chuyên gia có trình độ cao, không có giao diện quản lý thuận tiện, v.v.). Có những khó khăn lớn trong việc triển khai honeypots trong các môi trường chuyên biệt như IoT, POS, hệ thống đám mây, v.v.
2. Công nghệ lừa đảo: ưu điểm và nguyên lý hoạt động cơ bản
Sau khi nghiên cứu tất cả những ưu điểm và nhược điểm của honeypots, chúng tôi đi đến kết luận rằng cần có một cách tiếp cận hoàn toàn mới để ứng phó với các sự cố bảo mật thông tin nhằm phát triển khả năng phản ứng nhanh chóng và đầy đủ trước hành động của những kẻ tấn công. Và giải pháp đó chính là công nghệ Lừa đảo qua mạng (Lừa dối an ninh).
Các thuật ngữ “Lừa đảo trên mạng”, “Lừa đảo bảo mật”, “Công nghệ lừa đảo”, “Nền tảng lừa đảo phân tán” (DDP) còn khá mới và xuất hiện cách đây không lâu. Trên thực tế, tất cả các thuật ngữ này đều có nghĩa là việc sử dụng “công nghệ lừa đảo” hoặc “kỹ thuật mô phỏng cơ sở hạ tầng CNTT và thông tin sai lệch của những kẻ tấn công”. Các giải pháp Lừa dối đơn giản nhất là phát triển các ý tưởng về honeypot, chỉ ở cấp độ công nghệ tiên tiến hơn, bao gồm việc tự động hóa cao hơn việc phát hiện mối đe dọa và ứng phó với chúng. Tuy nhiên, trên thị trường hiện đã có những giải pháp cấp DDP nghiêm túc, dễ triển khai và mở rộng quy mô, đồng thời cũng có một kho “bẫy” và “mồi” nghiêm túc dành cho những kẻ tấn công. Ví dụ: Deception cho phép bạn mô phỏng các đối tượng cơ sở hạ tầng CNTT như cơ sở dữ liệu, máy trạm, bộ định tuyến, thiết bị chuyển mạch, ATM, máy chủ và SCADA, thiết bị y tế và IoT.
Nền tảng lừa đảo phân tán hoạt động như thế nào? Sau khi DDP được triển khai, cơ sở hạ tầng CNTT của tổ chức sẽ được xây dựng như thể từ hai lớp: lớp thứ nhất là cơ sở hạ tầng thực sự của công ty và lớp thứ hai là môi trường “mô phỏng” bao gồm mồi nhử và mồi nhử), được định vị. trên các thiết bị mạng vật lý thực (xem Hình 4).
Ví dụ: kẻ tấn công có thể phát hiện ra cơ sở dữ liệu sai lệch với “tài liệu bí mật”, thông tin xác thực giả mạo của “người dùng có đặc quyền” - tất cả đều là những mồi nhử có thể thu hút những kẻ vi phạm, do đó chuyển hướng sự chú ý của họ khỏi tài sản thông tin thực sự của công ty (xem Hình 5).
DDP là một sản phẩm mới trên thị trường sản phẩm bảo mật thông tin, những giải pháp này chỉ mới ra đời được vài năm và cho đến nay chỉ có khu vực doanh nghiệp mới có đủ khả năng chi trả. Nhưng các doanh nghiệp vừa và nhỏ cũng sẽ sớm có thể tận dụng Lừa dối bằng cách thuê DDP từ các nhà cung cấp chuyên biệt “dưới dạng dịch vụ”. Tùy chọn này thậm chí còn thuận tiện hơn vì bạn không cần nhân viên có trình độ cao.
Những ưu điểm chính của công nghệ Deception được thể hiện dưới đây:
-
Tính xác thực (sự xác thực). Công nghệ lừa đảo có khả năng tái tạo môi trường CNTT hoàn toàn xác thực của một công ty, mô phỏng chất lượng các hệ điều hành, IoT, POS, các hệ thống chuyên dụng (y tế, công nghiệp, v.v.), dịch vụ, ứng dụng, thông tin xác thực, v.v. Mồi nhử được trộn cẩn thận với môi trường làm việc và kẻ tấn công sẽ không thể xác định chúng là honeypot.
-
Thực hiện. DDP sử dụng máy học (ML) trong công việc của họ. Với sự trợ giúp của ML, sự đơn giản, linh hoạt trong cài đặt và hiệu quả thực hiện Lừa dối được đảm bảo. “Bẫy” và “mồi nhử” được cập nhật rất nhanh, thu hút kẻ tấn công vào cơ sở hạ tầng CNTT “giả” của công ty, đồng thời, các hệ thống phân tích tiên tiến dựa trên trí tuệ nhân tạo có thể phát hiện hành động tích cực của tin tặc và ngăn chặn chúng (ví dụ: cố gắng truy cập vào các tài khoản lừa đảo dựa trên Active Directory).
-
Dê hoạt động. Nền tảng lừa đảo phân tán hiện đại rất dễ bảo trì và quản lý. Chúng thường được quản lý thông qua bảng điều khiển cục bộ hoặc đám mây, có khả năng tích hợp với SOC (Trung tâm điều hành bảo mật) của công ty thông qua API và với nhiều biện pháp kiểm soát bảo mật hiện có. Việc bảo trì và vận hành DDP không yêu cầu dịch vụ của các chuyên gia bảo mật thông tin có trình độ cao.
-
Khả năng mở rộng. Lừa đảo bảo mật có thể được triển khai trong môi trường vật lý, ảo và đám mây. DDP cũng hoạt động thành công với các môi trường chuyên biệt như IoT, ICS, POS, SWIFT, v.v. Các nền tảng Đánh lừa nâng cao có thể chiếu “công nghệ đánh lừa” vào các văn phòng từ xa và môi trường biệt lập mà không cần triển khai thêm nền tảng đầy đủ.
-
Tương tác. Sử dụng các mồi nhử mạnh mẽ và hấp dẫn dựa trên hệ điều hành thực và được đặt khéo léo giữa cơ sở hạ tầng CNTT thực, nền tảng Lừa đảo thu thập thông tin rộng rãi về kẻ tấn công. Sau đó, DDP đảm bảo rằng các cảnh báo về mối đe dọa được truyền đi, báo cáo được tạo và các sự cố bảo mật thông tin được phản hồi tự động.
-
Điểm bắt đầu tấn công. Trong Lừa dối hiện đại, bẫy và mồi được đặt trong phạm vi của mạng chứ không phải bên ngoài mạng (như trường hợp của honeypots). Mô hình triển khai mồi nhử này ngăn chặn kẻ tấn công sử dụng chúng làm điểm đòn bẩy để tấn công cơ sở hạ tầng CNTT thực sự của công ty. Các giải pháp nâng cao hơn của lớp Lừa dối có khả năng định tuyến lưu lượng truy cập, do đó bạn có thể điều hướng tất cả lưu lượng truy cập của kẻ tấn công thông qua một kết nối chuyên dụng đặc biệt. Điều này sẽ cho phép bạn phân tích hoạt động của những kẻ tấn công mà không gây rủi ro cho tài sản có giá trị của công ty.
-
Sức thuyết phục của “công nghệ lừa đảo”. Ở giai đoạn đầu của cuộc tấn công, kẻ tấn công thu thập và phân tích dữ liệu về cơ sở hạ tầng CNTT, sau đó sử dụng dữ liệu đó để di chuyển theo chiều ngang qua mạng công ty. Với sự trợ giúp của “công nghệ lừa đảo”, kẻ tấn công chắc chắn sẽ rơi vào những “cái bẫy” khiến hắn mất đi tài sản thực sự của tổ chức. DDP sẽ phân tích các đường dẫn tiềm năng để truy cập thông tin xác thực trên mạng công ty và cung cấp cho kẻ tấn công “mục tiêu giả” thay vì thông tin xác thực thực. Những khả năng này vô cùng thiếu trong công nghệ honeypot. (Xem Hình 6).
Lừa dối VS Honeypot
Và cuối cùng, chúng ta đến với thời điểm thú vị nhất trong quá trình nghiên cứu của mình. Chúng tôi sẽ cố gắng nêu bật những khác biệt chính giữa công nghệ Lừa dối và Honeypot. Mặc dù có một số điểm tương đồng nhưng hai công nghệ này vẫn rất khác nhau, từ ý tưởng cơ bản đến hiệu quả vận hành.
-
Ý tưởng cơ bản khác nhau. Như chúng tôi đã viết ở trên, honeypot được cài đặt như “mồi nhử” xung quanh các tài sản có giá trị của công ty (bên ngoài mạng công ty), do đó cố gắng đánh lạc hướng những kẻ tấn công. Công nghệ Honeypot dựa trên sự hiểu biết về cơ sở hạ tầng của tổ chức, nhưng honeypot có thể trở thành điểm khởi đầu để phát động một cuộc tấn công vào mạng của công ty. Công nghệ đánh lừa được phát triển có tính đến quan điểm của kẻ tấn công và cho phép bạn xác định cuộc tấn công ở giai đoạn đầu, do đó, các chuyên gia bảo mật thông tin có được lợi thế đáng kể so với những kẻ tấn công và có được thời gian.
-
“Sự hấp dẫn” VS “Sự bối rối”. Khi sử dụng honeypot, thành công phụ thuộc vào việc thu hút sự chú ý của kẻ tấn công và thúc đẩy chúng di chuyển đến mục tiêu trong honeypot. Điều này có nghĩa là kẻ tấn công vẫn phải đến được honeypot trước khi bạn có thể ngăn chặn hắn. Do đó, sự hiện diện của những kẻ tấn công trên mạng có thể kéo dài vài tháng hoặc hơn và điều này sẽ dẫn đến rò rỉ và hư hỏng dữ liệu. DDP bắt chước cơ sở hạ tầng CNTT thực sự của một công ty về mặt chất lượng; mục đích triển khai của chúng không chỉ là thu hút sự chú ý của kẻ tấn công mà còn làm hắn bối rối, khiến hắn lãng phí thời gian và nguồn lực nhưng không có được quyền truy cập vào tài sản thực của công ty. công ty.
-
“Khả năng mở rộng hạn chế” VS “khả năng mở rộng tự động”. Như đã lưu ý trước đó, honeypot và honeynet có vấn đề về quy mô. Điều này khó khăn và tốn kém, và để tăng số lượng honeypot trong hệ thống công ty, bạn sẽ phải thêm máy tính, hệ điều hành mới, mua giấy phép và phân bổ IP. Hơn nữa, cũng cần phải có nhân sự có trình độ để quản lý các hệ thống đó. Các nền tảng lừa đảo tự động triển khai khi cơ sở hạ tầng của bạn mở rộng quy mô mà không cần chi phí đáng kể.
-
“Một số lượng lớn kết quả dương tính giả” VS “không có kết quả dương tính giả”. Bản chất của vấn đề là ngay cả một người dùng đơn giản cũng có thể gặp phải honeypot, vì vậy “nhược điểm” của công nghệ này là có một số lượng lớn các kết quả dương tính giả, khiến các chuyên gia bảo mật thông tin mất tập trung vào công việc của họ. “Mồi” và “bẫy” trong DDP được giấu cẩn thận với người dùng bình thường và chỉ được thiết kế dành cho kẻ tấn công, vì vậy mọi tín hiệu từ hệ thống như vậy đều là thông báo về mối đe dọa thực sự chứ không phải dương tính giả.
Kết luận
Theo quan điểm của chúng tôi, công nghệ Deception là một cải tiến vượt bậc so với công nghệ Honeypots cũ. Về bản chất, DDP đã trở thành một nền tảng bảo mật toàn diện, dễ triển khai và quản lý.
Các nền tảng hiện đại thuộc lớp này đóng vai trò quan trọng trong việc phát hiện chính xác và ứng phó hiệu quả với các mối đe dọa mạng, đồng thời việc tích hợp chúng với các thành phần khác của hệ thống bảo mật sẽ làm tăng mức độ tự động hóa, tăng hiệu suất và hiệu suất ứng phó sự cố. Nền tảng lừa đảo dựa trên tính xác thực, khả năng mở rộng, dễ quản lý và tích hợp với các hệ thống khác. Tất cả điều này mang lại lợi thế đáng kể về tốc độ ứng phó với các sự cố an toàn thông tin.
Ngoài ra, dựa trên quan sát các cuộc pentest của các công ty nơi nền tảng Xello Deception được triển khai hoặc thử nghiệm, chúng tôi có thể rút ra kết luận rằng ngay cả những người pentest có kinh nghiệm cũng thường không thể nhận ra mồi trong mạng công ty và thất bại khi rơi vào bẫy đã giăng sẵn. Thực tế này một lần nữa khẳng định tính hiệu quả của Deception và những triển vọng to lớn mở ra cho công nghệ này trong tương lai.
Thử nghiệm sản phẩm
Nếu bạn quan tâm đến nền tảng Deception thì chúng tôi đã sẵn sàng .
Hãy theo dõi để cập nhật trong các kênh của chúng tôi (, , , )!
Nguồn: www.habr.com