以 Xello 为例的蜜罐与欺骗

Habré 上已经有几篇关于蜜罐和欺骗技术的文章（1文章, 2文章）。 然而，我们仍然对这些类别的防护装备之间的差异缺乏了解。 为此，我们的同事 你好，欺骗 （第一位俄罗斯开发商 平台欺骗）决定详细描述这些解决方案的差异、优点和架构特征。

让我们弄清楚什么是“蜜罐”和“欺骗”：

“欺骗技术”最近才出现在信息安全系统市场上。 然而，一些专家仍然认为安全欺骗只是更高级的蜜罐。

在本文中，我们将尝试强调这两种解决方案之间的相似之处和根本区别。 在第一部分中，我们将讨论蜜罐，该技术是如何发展的以及它的优点和缺点是什么。 在第二部分中，我们将详细介绍用于创建分布式诱饵基础设施的平台（英文，Distributed Deception Platform - DDP）的操作原理。

蜜罐的基本原理是为黑客设置陷阱。 第一个欺骗解决方案是根据相同的原理开发的。 但现代 DDP 在功能和效率方面都明显优于蜜罐。 欺骗平台包括：诱饵、陷阱、诱饵、应用程序、数据、数据库、Active Directory。 现代 DDP 可以提供强大的威胁检测、攻击分析和响应自动化功能。

因此，欺骗是一种模拟企业IT基础设施并误导黑客的技术。 因此，此类平台可以在对公司资产造成重大损害之前阻止攻击。 当然，蜜罐不具备如此广泛的功能和如此高的自动化水平，因此其使用需要信息安全部门员工更高的资格。

1. 蜜罐、蜜网和沙箱：它们是什么以及如何使用

“蜜罐”一词首次使用于 1989 年克利福德·斯托尔 (Clifford Stoll) 的著作《布谷鸟蛋》(The Cuckoo's Egg)，书中描述了在美国劳伦斯伯克利国家实验室追踪黑客的事件。 Sun Microsystems 的信息安全专家 Lance Spitzner 于 1999 年将这一想法付诸实践，他创立了 Honeynet Project 研究项目。 第一个蜜罐非常耗费资源，难以设置和维护。

让我们仔细看看它是什么 蜜罐 и 蜜网。 蜜罐是个体主机，其目的是吸引攻击者渗透公司网络并试图窃取有价值的数据，并扩大网络的覆盖范围。 蜜罐（直译为“一桶蜂蜜”）是一种特殊的服务器，具有一组各种网络服务和协议，例如HTTP、FTP等。 （见图1）。

如果你结合几个 蜜罐 进入网络，那么我们将得到一个更高效的系统 蜜网，这是对公司网络（Web 服务器、文件服务器和其他网络组件）的模拟。 该解决方案可以让您了解攻击者的策略并误导他们。 通常，典型的蜜网与工作网络并行运行，并且完全独立于它。 这样的“网络”可以通过单独的通道发布在互联网上；也可以为其分配单独的IP地址范围（见图2）。

使用蜜网的目的是向黑客表明，他据称已渗透到组织的企业网络；事实上，攻击者处于“孤立的环境”中，并受到信息安全专家的密切监督（见图 3）。

这里我们还需要提到这样一个工具“砂箱“（英语， 沙箱），这使得攻击者可以在隔离环境中安装和运行恶意软件，IT 可以在其中监控他们的活动，以识别潜在风险并采取适当的对策。 目前，沙箱通常在虚拟主机上的专用虚拟机上实现。 但需要注意的是，沙箱仅显示危险和恶意程序的行为，而蜜网则帮助专家分析“危险玩家”的行为。

蜜网的明显好处是它们会误导攻击者，浪费他们的精力、资源和时间。 结果，他们攻击的不是真正的目标，而是虚假的目标，并且可以停止攻击网络而不会取得任何成果。 最常见的是，蜜网技术用于政府机构、大公司、金融组织，因为这些结构最终成为重大网络攻击的目标。 然而，中小型企业（SMB）也需要有效的工具来防止信息安全事件，但由于缺乏合格的人员来完成如此复杂的工作，中小企业领域的蜜网并不那么容易使用。

蜜罐和蜜网解决方案的局限性

为什么蜜罐和蜜网不是当今应对攻击的最佳解决方案？ 应该指出的是，攻击的规模越来越大，技术越来越复杂，能够对组织的 IT 基础设施造成严重损害，而网络犯罪已经达到了完全不同的水平，代表了高度组织化的影子业务结构，配备了所有必要的资源。 其中还必须加上“人为因素”（软硬件设置错误、内部人员行为等），仅靠技术来防范攻击目前已经不够了。

下面我们列出了蜜罐（honeynets）的主要局限性和缺点：

1. 蜜罐最初是为了识别公司网络外部的威胁而开发的，其目的是分析攻击者的行为，而不是为了快速响应威胁而设计。

2. 一般来说，攻击者已经学会了识别模拟系统并避开蜜罐。

3. 蜜网（honeypots）与其他安全系统的交互性和交互性极低，因此使用蜜罐很难获取有关攻击和攻击者的详细信息，从而难以有效、快速地响应信息安全事件。 此外，信息安全专家收到大量虚假威胁警报。

4. 在某些情况下，黑客可能会使用受感染的蜜罐作为起点继续攻击组织的网络。

5. 蜜罐的可扩展性、高运行负载和此类系统的配置经常会出现问题（它们需要高素质的专家，没有方便的管理界面等）。 在物联网、POS、云系统等特殊环境中部署蜜罐存在很大困难。

2.欺骗技术：优点和基本工作原理

研究了蜜罐的所有优点和缺点后，我们得出的结论是，需要一种全新的方法来响应信息安全事件，以便对攻击者的行为做出快速、充分的响应。 而这样的解决方案就是技术 网络欺骗（安全欺骗）.

“网络欺骗”、“安全欺骗”、“欺骗技术”、“分布式欺骗平台”（DDP）等术语相对较新，出现不久。 事实上，所有这些术语都意味着使用“欺骗技术”或“模拟 IT 基础设施和攻击者虚假信息的技术”。 最简单的欺骗解决方案是蜜罐思想的发展，只是在技术上更先进的水平，其中涉及威胁检测和响应的更大自动化。 然而，市场上已经存在一些易于部署和扩展的严格的 DDP 级解决方案，并且还为攻击者提供了大量的“陷阱”和“诱饵”。 例如，Deception 允许您模拟 IT 基础设施对象，例如数据库、工作站、路由器、交换机、ATM、服务器和 SCADA、医疗设备和物联网。

分布式欺骗平台如何运作？ 部署DDP后，组织的IT基础设施将好像从两层构建：第一层是公司的真实基础设施，第二层是由诱饵和诱饵组成的“模拟”环境（诱饵），它们位于在真实的物理网络设备上（见图4）。

例如，攻击者可以发现包含“机密文档”的虚假数据库、所谓“特权用户”的虚假凭证——所有这些都是诱饵，可以引起违规者的兴趣，从而转移他们对公司真实信息资产的注意力（见图 5）。

DDP是信息安全产品市场上的新产品；这些解决方案只有几年的历史，到目前为止只有企业部门才能负担得起。 但中小型企业很快也将能够通过从专业提供商处租用 DDP“作为服务”来利用欺骗行为。 这种选择更加方便，因为您不需要自己的高素质人员。

Deception技术的主要优点如下所示：

• 真实性（真实性）。 欺骗技术能够复制公司完全真实的IT环境，定性模拟操作系统、物联网、POS、专业系统（医疗、工业等）、服务、应用程序、凭证等。 诱饵与工作环境仔细混合，攻击者将无法将它们识别为蜜罐。

• 引进。 DDP 在工作中使用机器学习 (ML)。 借助机器学习，可以确保欺骗的简单性、设置灵活性和实施效率。 “陷阱”和“诱饵”的更新速度非常快，引诱攻击者进入公司的“虚假”IT基础设施，同时，基于人工智能的高级分析系统可以检测黑客的主动行为并加以阻止（例如，尝试访问基于 Active Directory 的欺诈帐户）。

• 操作简便。 现代分布式欺骗平台易于维护和管理。 它们通常通过本地或云控制台进行管理，并通过 API 和许多现有的安全控制功能与企业 SOC（安全运营中心）集成。 DDP的维护和运营不需要高素质的信息安全专家的服务。

• 可扩展性。 安全欺骗可以部署在物理、虚拟和云环境中。 DDP 还可以成功地与 IoT、ICS、POS、SWIFT 等专业环境配合使用。 高级欺骗平台可以将“欺骗技术”投射到远程办公室和隔离环境中，而无需额外的完整平台部署。

• 相互作用。 欺骗平台使用基于真实操作系统并巧妙放置在真实 IT 基础设施中的强大且有吸引力的诱饵，收集有关攻击者的大量信息。 然后，DDP 确保传输威胁警报、生成报告并自动响应信息安全事件。

• 攻击起始点。 在现代欺骗中，陷阱和诱饵被放置在网络范围内，而不是在网络之外（就像蜜罐的情况一样）。 这种诱饵部署模型可防止攻击者将其用作攻击公司真实 IT 基础设施的杠杆点。 欺骗类更高级的解决方案具有流量路由功能，因此您可以通过专门的专用连接引导所有攻击者流量。 这将使您能够分析攻击者的活动，而不会危及宝贵的公司资产。

• “欺骗技术”的说服力。 在攻击的初始阶段，攻击者收集并分析有关 IT 基础设施的数据，然后利用这些数据在企业网络中横向移动。 借助“欺骗技术”，攻击者肯定会落入“陷阱”，从而失去组织的真正资产。 DDP 将分析访问企业网络上凭证的潜在路径，并向攻击者提供“诱饵目标”而不是真实凭证。 蜜罐技术非常缺乏这些功能。 （见图 6）。

欺骗 VS 蜜罐

最后，我们来到了我们研究中最有趣的时刻。 我们将尽力强调欺骗技术和蜜罐技术之间的主要区别。 尽管有一些相似之处，但这两种技术从基本思想到运行效率仍然有很大不同。

1. 基本思想不同。 正如我们上面所写，蜜罐被安装为围绕有价值的公司资产（公司网络之外）的“诱饵”，从而试图分散攻击者的注意力。 蜜罐技术基于对组织基础设施的了解，但蜜罐可以成为对公司网络发起攻击的起点。 欺骗技术的开发考虑了攻击者的观点，可以让您在早期阶段识别攻击，从而使信息安全专家比攻击者获得显着优势并赢得时间。

2. “吸引力”VS“混乱”。 使用蜜罐时，成功取决于吸引攻击者的注意力并进一步激励他们向蜜罐中的目标移动。 这意味着攻击者仍然必须到达蜜罐，然后您才能阻止他。 因此，攻击者在网络上的存在可能会持续几个月或更长时间，这将导致数据泄露和损坏。 DDP 定性地模仿了公司真实的 IT 基础设施；其实施的目的不仅仅是吸引攻击者的注意力，而是迷惑攻击者，使他浪费时间和资源，而无法访问公司的真实资产。公司。

3. “有限扩展”VS“自动扩展”。 如前所述，蜜罐和蜜网存在扩展问题。 这是困难且昂贵的，为了增加企业系统中蜜罐的数量，您必须添加新的计算机、操作系统、购买许可证并分配 IP。 此外，还需要有合格的人员来管理此类系统。 欺骗平台会随着基础设施的扩展而自动部署，而不会产生大量开销。

4. “大量误报” VS “无误报”。 问题的本质是，即使是简单的用户也可能遇到蜜罐，因此该技术的“缺点”是大量误报，这会分散信息安全专家的工作注意力。 DDP 中的“诱饵”和“陷阱”对普通用户精心隐藏，并且专为攻击者设计，因此来自此类系统的每个信号都是真实威胁的通知，而不是误报。

结论

我们认为，欺骗技术是对旧蜜罐技术的巨大改进。 从本质上讲，DDP已经成为一个易于部署和管理的综合安全平台。

此类现代平台在准确检测和有效响应网络威胁方面发挥着重要作用，它们与安全堆栈其他组件的集成提高了自动化水平，提高了事件响应的效率和有效性。 欺骗平台基于真实性、可扩展性、易于管理以及与其他系统的集成。 这一切都在信息安全事件的响应速度上带来了显着的优势。

此外，根据对实施或试点 Xello Deception 平台的公司渗透测试的观察，我们可以得出结论，即使是经验丰富的渗透测试人员也常常无法识别公司网络中的诱饵，并在陷入陷阱时失败。 这一事实再次证实了欺骗的有效性以及该技术未来的巨大前景。

产品测试

如果您对 Deception 平台感兴趣，那么我们已经准备好了 进行联合测试.

请继续关注我们频道的更新（Telegram, Facebook, VK, TS 解决方案博客)!

来源： habr.com