На Хабре уже есть несколько статей про технологии Honeypot и Deception (1 статья, 2 статья). Однако, до сих пор мы сталкиваемся с непониманием разницы между этими классами средств защиты. Для этого наши коллеги из Xello Deception (первый российский разработчик Deception платформы) решили подробно описать отличия, преимущества и архитектурные особенности этих решений.
Разберемся что же такое "ханипоты" и "десепшены":
"Технологии обмана" (англ., Deception technology) появились на рынке систем информационной безопасности относительно недавно. Однако, некоторые специалисты до сих пор считают Security Deception всего лишь более продвинутыми «ханипот» (англ., honeypot).
В этой статье мы постараемся осветить как схожесть, так и коренные отличия этих двух решений. В первой части, мы расскажем про «ханипот», как развивалась эта технология и в чем ее преимущества и недостатки. А во второй части, остановимся подробно на принципах работы платформ для создания распределенной инфраструктуры ложных целей (англ., Distributed Deception Platform — DDP).
Базовый принцип, положенный в основу honeypots — это создание ловушек для хакеров. На таком же принципе были разработаны и самые первые решения Deception. Но, современные DDP значительно превосходят ханипоты, как по своему функционалу, так и по эффективности. Deception платформы включают в себя: ловушки (англ., decoys, traps), приманки (англ., lures), приложения, данные, базы данных, Active Directory. Современные DDP могут обеспечить широкие возможности для обнаружения угроз, анализа атак и автоматизации ответных действий.
Таким образом, Deception представляют собой техники имитации ИТ‑инфраструктуры предприятия и введения в заблуждения хакеров. В итоге, такие платформы позволяют останавливать атаки до нанесения значимого ущерба активам компании. Ханипоты, конечно же, не имеют такого широкого функционала и такого уровня автоматизации, поэтому их применение требует большей квалификации от сотрудников департаментов ИБ.
1. Honeypots, Honeynets и Sandboxing: что это такое и как применяется
Впервые, термин "honeypots" был использован в 1989 году в книге Клиффорда Столла "The Cuckoo’s Egg", в которой описаны события по отслеживанию хакера в Национальной лаборатории Лоренса Беркли (США). На практике эта идея была воплощена в 1999 году Лэнсом Спицнером (Lance Spitzner), специалистом по ИБ компании Sun Microsystems, который основал исследовательский проект "Honeynet Project". Первые ханипоты были очень ресурсоемкими, сложными в настройке и обслуживании.
Рассмотрим более подробно что такое honeypots и honeynets. Honeypots — это отдельные хосты, назначение которых, привлечь злоумышленников совершить проникновение в сеть компании и попытаться украсть ценные данные, а также расширить зону действия сети. Honeypot (переводится дословно, как «бочонок с медом») представляет собой специальный сервер с набором различных сетевых служб и протоколов, таких как HTTP, FTP и т.д. (см. рис. 1).
Если объединить несколько honeypots в сеть, то мы получим уже более эффективную систему honeynet, которая представляет собой эмуляцию корпоративной сети компании (веб-сервер, файл-сервер и др. компоненты сети). Такое решение позволяет понять стратегию действий злоумышленников и ввести их в заблуждение. Типовой honeynet, как правило, работает параллельно с рабочей сетью и совершенно независимо от нее. Такую «сеть» можно опубликовать в Интернет по отдельному каналу, под нее также можно выделить отдельный диапазон IP-адресов (см. рис. 2).
Смысл применения honeynet — показать хакеру, что он якобы проник в корпоративную сеть организации, на самом деле злоумышленник находится в «изолированной среде» и под пристальным наблюдением специалистов ИБ (см. рис. 3).
Здесь также нужно упомянуть о таком средстве, как «песочница» (англ., sandbox), которая позволяет злоумышленникам устанавливать и запускать вредоносные программы в изолированной среде, где ИТ-специалисты могут отслеживать их действия с целью выявления потенциальных рисков и принятия необходимых контрмер. В настоящее время, как правило, sandboxing реализуется на выделенных виртуальных машинах на виртуальном хосте. Однако, необходимо отметить, что sandboxing показывает только, как ведут себя опасные и вредоносные программы, а honeynet помогает специалисту проанализировать поведение «опасных игроков».
Очевидная польза от honeynets заключается в том, что они вводят нарушителей в заблуждение, растрачивая их силы, ресурсы и время. В результате, вместо реальных целей, они атакуют ложные и могут прекратить атаку на сеть, так ничего не добившись. Чаще всего технологии honeynets используются в правительственных учреждениях и крупных корпорациях, финансовых организациях, так как именно эти структуры оказываются мишенями для крупных кибератак. Однако, предприятия малого и среднего бизнеса (SMB) также нуждаются в эффективных инструментах для предотвращения инцидентов ИБ, но honeynets в секторе SMB использовать не так уж и просто, по причине нехватки квалифицированных кадров для такой сложной работы.
Ограниченность решений Honeypots и Honeynets
Почему же honeypots и honeynets не самые лучшие решения для противодействия атакам на сегодняшний день? Надо отметить, что атаки становятся все более масштабными, технически сложными и способны нанести серьезный урон ИТ-инфраструктуре организации, а киберпреступность вышла на совершенно другой уровень и представляет собой высокоорганизованные теневые бизнес-структуры, оснащенные всеми необходимыми ресурсами. К этому необходимо добавить и «человеческий фактор» (ошибки в настройках программного обеспечения и оборудования, действия инсайдеров и т.д.), поэтому использование только технологий для предотвращения атак на данный момент уже недостаточно.
Ниже перечислим основные ограничения и недостатки honeypots (honeynets):
«Ханипоты» изначально были разработаны для определения угроз, которые находятся вне корпоративной сети, предназначены скорее для анализа поведения злоумышленников и не рассчитаны на быстрое реагирование на угрозы.
Злоумышленники, как правило, уже научились распознавать эмулированные системы и избегать honeypots.
Honeynets (honeypots) имеют крайне низкий уровень интерактивности и взаимодействия с другими системами безопасности, в следствии чего, используя ханипоты, трудно получить развернутую информацию об атаках и атакующих, а значит, эффективно и быстро реагировать на инциденты ИБ. Мало того, специалисты ИБ получают большое количество ложных оповещений об угрозах.
В некоторых случаях, хакеры могут использовать скомпрометированный ханипот, как исходную точку для продолжения атаки на сеть организации.
Часто возникают проблемы с масштабируемостью ханипотов, высокой операционной нагрузкой и настройкой таких систем (они требуют высококвалифицированных специалистов, не имеют удобного интерфейса управления и т.д.). Существуют большие трудности в развертывании honeypots в специализированных средах, таких как, IoT, POS, облачных системах и т.д.
2. Deception technology: преимущества и основные принципы работы
Изучив все преимущества и недостатки honeypots, приходим к выводу, что необходим совершенно новый подход к реагированию на инциденты ИБ с целью выработки быстрого и адекватного ответа на действия атакующих. И такое решение — это технологии Сyber deception (Security deception).
Терминология "Сyber deception", "Security deception", "Deception technology", "Distributed Deception Platform" (DDP) относительно новая и появилась не так давно. Фактически, все эти термины означают использование «технологий обмана» или «техник имитации ИТ‑инфраструктуры и дезинформации злоумышленников». Самые простые решения Deception — это развитие идей honeypots, только на более технологически продвинутом уровне, который предполагает большую автоматизацию обнаружения угроз и реагирования на них. Однако на рынке уже есть серьезные решения класса DDP, которые предполагают легкость развертывания и масштабирования, а также располагают серьезным арсеналом «ловушек» и «приманок» для атакующих. К примеру, Deception позволяет эмулировать такие объекты ИТ-инфраструктуры, как базы данных, рабочие станции, маршрутизаторы, коммутаторы, банкоматы, серверы и SCADA, медицинское оборудование и IoT.
Как работает "Distributed Deception Platform"? После развертывания DDP, ИТ-инфраструктура организации будет выстроена как будто из двух слоев: первый слой — это реальная инфраструктура компании, а второй — это «эмулированная» среда, состоящая из ловушек (англ., decoys, traps) и приманок (англ., lures), которые расположены на реальных физических устройствах сети (см. рис. 4).
Например, злоумышленник может обнаружить ложные базы данных с «конфиденциальными документами», подложные учетные данные якобы «привилегированных пользователей» — все это ложные цели, они могут заинтересовать нарушителей, тем самым уводя их внимание от истинных информационных активов компании (см. рис 5).
DDP — это новинка на рынке продуктов ИБ, этим решениям всего несколько лет и пока их может позволить себе только корпоративный сектор. Но малый и средний бизнес скоро также сможет воспользоваться Deception, арендуя DDP у специализированных провайдеров, «как услугу». Такой вариант даже удобнее, так как нет необходимости в собственных высококвалифицированных кадрах.
Ниже показаны основные преимущества технологии Deception:
Подлинность (аутентичность). Технология Deception способна воспроизводить полностью аутентичную ИТ-среду компании, качественно эмулируя операционные системы, IoT, POS, специализированные системы (медицинские, промышленные и т.д.), сервисы, приложения, учетные данные и т.д. Ловушки (decoys) тщательно смешиваются с рабочей средой, и злоумышленник не сможет их идентифицировать как honeypots.
Внедрение. DDP используют машинное обучение (англ., machine learning, ML) в своей работе. С помощью ML обеспечивается простота, гибкость в настройках и эффективность внедрения Deception. «Ловушки» и «приманки» очень быстро обновляются, вовлекая злоумышленника в «ложную» ИТ-инфраструктуру компании, а тем временем развитые системы анализа на основе искусственного интеллекта могут обнаружить активные действия хакеров и предотвратить их (например, попытку доступа в Active Directory на основе обманных учетных записей).
Простота эксплуатации. Современные "Distributed Deception Platform" просты в обслуживании и управлении. Как правило, они управляются через локальную или облачную консоль, есть возможности интеграции с корпоративным SOC (Security Operations Center) через API и со многими существующими средствами контроля безопасности. Для обслуживания и работы DDP не требуются услуги высококвалифицированных экспертов по ИБ.
Масштабируемость. Security deception могут быть развернуты в физических, виртуальных и облачных средах. Успешно DDP работают и со специализированными средами, такими как IoT, ICS, POS, SWIFT и.т.д. Усовершенствованные платформы Deception могут проецировать «технологии обмана» и в удаленные офисы, изолированные среды, причем без необходимости дополнительного полного развертывания платформы.
Взаимодействие. Используя эффективные и привлекательные ловушки (decoys), которые основаны на реальных ОС и хитро расставлены среди настоящей ИТ-инфраструктуры, платформа Deception собирает обширную информацию о злоумышленнике. Затем DDP обеспечивает передачу оповещений об угрозах, генерируются отчеты, и происходит автоматическое реагирование на инциденты ИБ.
Точка начала атаки. В современных Deception ловушки и приманки размещаются внутри диапазона сети, а не за ее пределами (как в случае с honeypots). Такая модель развертывания ловушек не позволяет злоумышленнику использовать их в качестве опорной точки для атаки на реальную ИТ-инфраструктуру компании. В более продвинутых решениях класса Deception существуют возможности маршрутизации трафика, таким образом можно направить весь трафик атакующих через специально выделенное соединение. Это позволит проанализировать активность злоумышленников без риска для ценных активов компании.
Убедительность «технологий обмана». На начальной стадии атаки злоумышленники собирают и анализируют данные об ИТ-инфраструктуре, затем используют их для горизонтального продвижения по корпоративной сети. С помощью «технологий обмана» атакующий обязательно попадется в «ловушки», которые его уведут от реальных активов организации. DDP проанализирует потенциальные пути доступа к учетным данным в корпоративной сети и предоставит атакующему «ложные цели» вместо реальных учетных данных. Этих возможностей очень не хватало технологиям honeypot. (См. рис. 6).
Deception VS Honeypot
И наконец, мы подходим к самом интересному моменту нашего исследования. Постараемся выделить основные отличия технологий Deception и Honeypot. Несмотря на некоторую схожесть, все-таки эти две технологии сильно различаются, начиная от основополагающей идеи и заканчивая эффективностью работы.
Разные базовые идеи. Как мы уже писали выше, honeypots устанавливаются в качестве «приманок» вокруг ценных активов компании (вне корпоративной сети), пытаясь таким образом отвлечь злоумышленников. Технология honeypot базируется на представлении об инфраструктуре организации, однако ханипоты могут стать опорной точкой для начала атаки на сеть компании. Технология Deception разработана с учетом точки зрения злоумышленника и позволяет идентифицировать атаку на ранней стадии, таким образом, специалисты ИБ получают значительное преимущество перед злоумышленниками и выигрывают время.
«Привлечение» VS «Запутывание». При использовании ханипотов, успех зависит от привлечения внимания атакующих и дальнейшей их мотивации перейти к цели в honeypot. Это означает, что атакующий все-таки должен добраться до honeypot, и только потом вы сможете его остановить. Таким образом, присутствие злоумышленников в сети может продолжаться несколько месяцев и более, а это приведет к утечке данных и нанесению ущерба. DDP качественно имитируют реальную ИТ-инфраструктуру компании, цель их внедрения — не просто привлечь внимание злоумышленника, а запутать его, чтобы он потерял время и ресурсы впустую, но не получил доступа к реальным активам компании.
«Ограниченная масштабируемость» VS «автоматическая масштабируемость». Как было отмечено ранее, honeypots и honeynets имеют проблемы с масштабированием. Это сложно и дорого, а для того, чтобы увеличить количество honeypots в корпоративной системе, придется добавлять новые компьютеры, ОС, покупать лицензии, выделять IP. Мало того, необходимо иметь еще и квалифицированный персонал для управления такими системами. Платформы Deception автоматически развертываются по мере масштабирования инфраструктуры, без значительных накладных расходов.
«Большое количество ложных срабатываний» VS «отсутствие ложных срабатываний». Суть проблемы в том, что даже простой пользователь может столкнуться с ханипотом, поэтому «обратной стороной» этой технологии является большое количество ложных срабатываний, что отвлекает специалистов ИБ от работы. «Приманки» и «ловушки» в DDP тщательно скрыты от простого пользователя и рассчитаны только на злоумышленника, поэтому каждый сигнал от такой системы — это оповещение о реальной угрозе, а не ложное срабатывание.
Заключение
На наш взгляд, технология Deception — это огромный шаг вперед по сравнению с более старой технологией Honeypots. По сути дела, DDP стала комплексной платформой безопасности, которая проста в развертывании и управлении.
Современные платформы этого класса играют важную роль в точном обнаружении и эффективном реагировании на сетевые угрозы, а их интеграция с другими компонентами стека безопасности повышает уровень автоматизации, увеличивает эффективность и результативность реагирования на инциденты. Deception-платформы основаны на аутентичности, масштабируемости, простоте управления и интеграции с другими системами. Все это дает значительное преимущество в скорости реагирования на инциденты ИБ.
Также, исходя из наблюдений за пентестами компаний, где была внедрена или пилотировалась платформа Xello Deception, можно сделать выводы, что даже опытные пентестеры зачастую не могут распознать приманки в корпоративной сети и терпят поражение, попадаясь на расставленные ловушки. Данный факт еще раз подтверждает эффективность Deception и большие перспективы, которые открываются перед этой технологией в будущем.
Тестирование продукта
Если вас заинтересовали Deception платформы, то мы готовы провести совместное тестирование.
Следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!