Habré 上已經有幾篇關於蜜罐和欺騙技術的文章(, )。 然而,我們仍然對這些類別的防護裝備之間的差異缺乏了解。 為此,我們的同事 (第一位俄羅斯開發商 )決定詳細描述這些解決方案的差異、優點和架構特性。
讓我們弄清楚什麼是「蜜罐」和「欺騙」:
「欺騙技術」最近才出現在資訊安全系統市場。 然而,一些專家仍然認為安全欺騙只是更高級的蜜罐。
在本文中,我們將嘗試強調這兩種解決方案之間的相似之處和根本差異。 在第一部分中,我們將討論蜜罐,該技術是如何發展的以及它的優點和缺點是什麼。 在第二部分中,我們將詳細介紹用於建立分散式誘餌基礎設施的平台(英文,Distributed Deception Platform - DDP)的操作原理。
蜜罐的基本原理是為駭客設置陷阱。 第一個欺騙解決方案是根據相同的原理開發的。 但現代 DDP 在功能和效率方面都明顯優於蜜罐。 欺騙平台包括:誘餌、陷阱、誘餌、應用程式、資料、資料庫、Active Directory。 現代 DDP 可以提供強大的威脅偵測、攻擊分析和回應自動化功能。
因此,欺騙是一種模擬企業IT基礎設施並誤導駭客的技術。 因此,此類平台可以在對公司資產造成重大損害之前阻止攻擊。 當然,蜜罐不具備如此廣泛的功能和如此高的自動化水平,因此其使用需要資訊安全部門員工更高的資格。
1. 蜜罐、蜜網和沙箱:它們是什麼以及如何使用
「蜜罐」一詞首次使用於1989 年克利福德·斯托爾(Clifford Stoll) 的著作《布穀鳥蛋》(The Cuckoo's Egg),書中描述了在美國勞倫斯伯克利國家實驗室追踪黑客的事件。 Sun Microsystems 的資安專家 Lance Spitzner 於 1999 年將此想法付諸實踐,他創立了 Honeynet Project 研究計畫。 第一個蜜罐非常耗費資源,難以設定和維護。
讓我們仔細看看它是什麼 蜜罐 и 蜜網。 蜜罐是個體主機,其目的是吸引攻擊者滲透公司網路並試圖竊取有價值的數據,並擴大網路的覆蓋範圍。 蜜罐(直譯為「一桶蜂蜜」)是一種特殊的伺服器,具有一組各種網路服務和協議,例如HTTP、FTP等。 (見圖1)。
如果你結合幾個 蜜罐 進入網絡,那麼我們將得到一個更有效率的系統 蜜網,這是對公司網路(Web 伺服器、檔案伺服器和其他網路元件)的模擬。 這個解決方案可以讓您了解攻擊者的策略並誤導他們。 通常,典型的蜜網與工作網絡並行運行,並且完全獨立於它。 這樣的「網路」可以透過單獨的通道發佈在互聯網上;也可以為其分配單獨的IP位址範圍(見圖2)。
使用蜜網的目的是向駭客表明,他據稱已滲透到組織的企業網路;事實上,攻擊者處於「孤立的環境」中,並受到資訊安全專家的密切監督(見圖 3)。
這裡我們還需要提到這樣一個工具“砂箱「(英語, 砂箱),這使得攻擊者可以在隔離環境中安裝和運行惡意軟體,IT 可以在其中監控他們的活動,以識別潛在風險並採取適當的對策。 目前,沙箱通常在虛擬主機上的專用虛擬機器上實現。 但要注意的是,沙箱僅顯示危險和惡意程式的行為,而蜜網則幫助專家分析「危險玩家」的行為。
蜜網的明顯好處是它們會誤導攻擊者,浪費他們的精力、資源和時間。 結果,他們攻擊的不是真正的目標,而是虛假的目標,並且可以停止攻擊網路而不會取得任何成果。 最常見的是,蜜網技術用於政府機構、大公司、金融組織,因為這些結構最終成為重大網路攻擊的目標。 然而,中小型企業(SMB)也需要有效的工具來防止資訊安全事件,但由於缺乏合格的人員來完成如此複雜的工作,SMB領域的蜜網並不那麼容易使用。
蜜罐和蜜網解決方案的局限性
為什麼蜜罐和蜜網不是當今應對攻擊的最佳解決方案? 應該指出的是,攻擊的規模越來越大,技術越來越複雜,能夠對組織的IT 基礎設施造成嚴重損害,而網路犯罪已經達到了完全不同的水平,代表了高度組織化的影子業務結構,配備了所有必要的資源。 其中還必須加上「人為因素」(軟硬體設定錯誤、內部人員行為等),僅靠技術來防範攻擊目前已經不夠了。
下面我們列出了蜜罐(honeynets)的主要限制和缺點:
-
蜜罐最初是為了識別公司網路外部的威脅而開發的,其目的是分析攻擊者的行為,而不是為了快速回應威脅而設計。
-
一般來說,攻擊者已經學會了識別模擬系統並避開蜜罐。
-
蜜網(honeypots)與其他安全系統的交互性和交互性極低,因此使用蜜罐很難獲取有關攻擊和攻擊者的詳細信息,從而難以有效、快速地響應信息安全事件。 此外,資訊安全專家收到大量虛假威脅警報。
-
在某些情況下,駭客可能會使用受感染的蜜罐作為起點繼續攻擊組織的網路。
-
蜜罐的可擴展性、高運行負載和此類系統的配置經常會出現問題(它們需要高素質的專家,沒有方便的管理介面等)。 在物聯網、POS、雲端系統等特殊環境中部署蜜罐存在很大困難。
2.欺騙技術:優點和基本工作原理
在研究了蜜罐的所有優點和缺點後,我們得出的結論是,需要一種全新的方法來回應資訊安全事件,以便對攻擊者的行為做出快速、充分的回應。 而這樣的解決方案就是技術 網路欺騙(安全欺騙).
「網路欺騙」、「安全欺騙」、「欺騙技術」、「分散式欺騙平台」(DDP)等術語相對較新,出現不久。 事實上,所有這些術語都意味著使用「欺騙技術」或「模擬 IT 基礎設施和攻擊者虛假資訊的技術」。 最簡單的欺騙解決方案是蜜罐思想的發展,只是在技術上更先進的水平,其中涉及威脅檢測和響應的更大自動化。 然而,市場上已經存在一些易於部署和擴展的嚴格的 DDP 級解決方案,並且還為攻擊者提供了大量的「陷阱」和「誘餌」。 例如,Deception 可讓您模擬 IT 基礎架構對象,例如資料庫、工作站、路由器、交換器、ATM、伺服器和 SCADA、醫療設備和物聯網。
分散式欺騙平台如何運作? 部署DDP後,組織的IT基礎設施將好像從兩層建構:第一層是公司的真實基礎設施,第二層是由誘餌和誘餌組成的「模擬」環境(誘餌),它們位於真實的物理網路設備上(見圖4)。
例如,攻擊者可以發現包含「機密文件」的虛假資料庫、所謂「特權使用者」的虛假憑證——所有這些都是誘餌,可以引起違規者的興趣,從而轉移他們對公司真實資訊資產的注意力(見圖5)。
DDP是資訊安全產品市場上的新產品;這些解決方案只有幾年的歷史,到目前為止只有企業部門才能負擔得起。 但中小型企業很快也將能夠透過從專業提供者租用 DDP「作為服務」來利用欺騙行為。 這種選擇更加方便,因為您不需要自己的高素質人員。
Deception技術的主要優點如下所示:
-
真實性(真實性)。 欺騙技術能夠複製公司完全真實的IT環境,定性模擬作業系統、物聯網、POS、專業系統(醫療、工業等)、服務、應用程式、憑證等。 誘餌與工作環境仔細混合,攻擊者將無法將它們識別為蜜罐。
-
Внедрение。 DDP 在工作中使用機器學習 (ML)。 借助機器學習,可以確保欺騙的簡單性、設定靈活性和實施效率。 「陷阱」和「蜜罐」的更新速度非常快,引誘攻擊者進入公司的「虛假」IT基礎設施,同時,基於人工智慧的先進分析系統可以檢測駭客的主動行為並加以阻止(例如,嘗試訪問基於Active Directory 的詐欺帳戶)。
-
操作簡便。 現代分散式欺騙平台易於維護和管理。 它們通常透過本地或雲端控制台進行管理,並透過 API 和許多現有的安全控制功能與企業 SOC(安全營運中心)整合。 DDP的維護和運作不需要高素質的資訊安全專家的服務。
-
可擴展性。 安全性欺騙可以部署在實體、虛擬和雲端環境中。 DDP 也可以成功地與 IoT、ICS、POS、SWIFT 等專業環境搭配使用。 高級欺騙平台可以將「欺騙技術」投射到遠端辦公室和隔離環境中,而無需額外的完整平台部署。
-
相互作用。 欺騙平台使用基於真實作業系統並巧妙放置在真實 IT 基礎設施中的強大且有吸引力的誘餌,收集有關攻擊者的大量資訊。 然後,DDP 確保傳輸威脅警報、產生報告並自動回應資訊安全事件。
-
攻擊起始點。 在現代欺騙中,陷阱和誘餌被放置在網路範圍內,而不是在網路之外(就像蜜罐的情況一樣)。 這種誘餌部署模型可防止攻擊者將其用作攻擊公司真實 IT 基礎設施的槓桿點。 欺騙類別更高級的解決方案具有流量路由功能,因此您可以透過專門的專用連線引導所有攻擊者流量。 這將使您能夠分析攻擊者的活動,而不會危及寶貴的公司資產。
-
「欺騙技術」的說服力。 在攻擊的初始階段,攻擊者收集並分析有關 IT 基礎架構的數據,然後利用這些數據在企業網路中橫向移動。 借助“欺騙技術”,攻擊者肯定會落入“陷阱”,從而失去組織的真正資產。 DDP 將分析存取企業網路上憑證的潛在路徑,並向攻擊者提供「誘餌目標」而不是真實憑證。 蜜罐技術非常缺乏這些功能。 (見圖 6)。
欺騙 VS 蜜罐
最後,我們來到了我們研究中最有趣的時刻。 我們將盡力強調欺騙技術和蜜罐技術之間的主要區別。 儘管有一些相似之處,但這兩種技術從基本概念到運作效率仍然有很大不同。
-
基本想法不同。 正如我們上面所寫,蜜罐被安裝為圍繞有價值的公司資產(公司網路之外)的“誘餌”,從而試圖分散攻擊者的注意力。 蜜罐技術是基於對組織基礎設施的了解,但蜜罐可以成為對公司網路發動攻擊的起點。 欺騙技術的發展考慮了攻擊者的觀點,可以讓您在早期階段識別攻擊,從而使資訊安全專家比攻擊者獲得顯著優勢並贏得時間。
-
“吸引力”VS“混亂”。 使用蜜罐時,成功取決於吸引攻擊者的注意力並進一步激勵他們向蜜罐中的目標移動。 這意味著攻擊者仍然必須到達蜜罐,然後您才能阻止他。 因此,攻擊者在網路上的存在可能會持續幾個月或更長時間,這將導致資料外洩和損壞。 DDP 定性地模仿了公司真實的 IT 基礎設施;其實施的目的不僅僅是吸引攻擊者的注意力,而是迷惑攻擊者,使他浪費時間和資源,但無法訪問公司的真實資產。公司。
-
“有限擴充”VS“自動擴充”。 如前所述,蜜罐和蜜網有擴展問題。 這是困難且昂貴的,為了增加企業系統中蜜罐的數量,您必須添加新的電腦、作業系統、購買許可證並分配 IP。 此外,還需要有合格的人員來管理此類系統。 欺騙平台會隨著基礎架構的擴展而自動部署,而不會產生大量開銷。
-
“大量誤報” VS “無誤報”。 問題的本質是,即使是簡單的使用者也可能遇到蜜罐,因此該技術的「缺點」是大量誤報,這會分散資訊安全專家的工作注意力。 DDP 中的「誘餌」和「陷阱」對普通用戶精心隱藏,並且專為攻擊者設計,因此來自此類系統的每個訊號都是真實威脅的通知,而不是誤報。
結論
我們認為,欺騙技術是對舊蜜罐技術的巨大改進。 從本質上講,DDP已經成為一個易於部署和管理的綜合安全平台。
此類現代平台在準確檢測和有效響應網路威脅方面發揮著重要作用,它們與安全堆疊其他組件的整合提高了自動化水平,提高了事件響應的效率和有效性。 欺騙平台基於真實性、可擴展性、易於管理以及與其他系統的整合。 這一切都在資訊安全事件的反應速度上帶來了顯著的優勢。
此外,根據對實施或試點 Xello Deception 平台的公司滲透測試的觀察,我們可以得出結論,即使是經驗豐富的滲透測試人員也常常無法識別公司網路中的誘餌,並在陷入陷阱時失敗。 這一事實再次證實了欺騙的有效性以及該技術未來的巨大前景。
產品測試
如果您對 Deception 平台感興趣,那麼我們已經準備好了 .
請繼續關注我們頻道的更新(, , , )!
來源: www.habr.com