L A B Y R I N T H

Loading

Gartner Peer Insights

Porównanie dwóch podejść do implementacji symulacji
w rozwiązaniach Deception: emulacja Full OS vs. OS/Service  

 

Wielu specjalistów ds. bezpieczeństwa informacji (IS) jednoznacznie stwierdza, że systemy decepcji są „niezbędną” częścią nowoczesnej infrastruktury IT/IS przedsiębiorstwa. Na przykład, starszy analityk firmy Gartner, Pete Shoard (https://www.gartner.com/analyst/72567/Pete-Shoard), mówi: „Deception  powinno być częścią strategii wykrywania zagrożeń”. Wdrażając infrastrukturę wykrywania opartą na decepcji w całym stosie, specjaliści ds. bezpieczeństwa mogą osiągnąć skuteczne wykrywanie wszystkich wektorów zagrożeń na wszystkich etapach cyklu życia ataku. Wykorzystanie infrastruktury podstępu (technologii decepcji) wyrównuje siły obu stron w cyberprzestrzeni i wpływa na podejmowanie decyzji przez cyberprzestępców, kierując ich uwagę w niewłaściwą stronę poprzez opóźnienia i dezinformację, co pomaga zrozumieć metody ataku i dostarczyć informacje niezbędne do określenia strategii przeciwnika. Decepcja zapewnia również inżynierom bezpieczeństwa czas potrzebny na analizę, identyfikację i eliminację zagrożeń, które mogą wykorzystać wewnętrzne luki systemów operacyjnych i aplikacji.

Kluczowymi elementami systemów decepcji są pułapki i wabiki - imitacje prawdziwych usług i klientów, które biorą udział w aktywnej interakcji i ukrywają ważne zasoby w sieci informacyjnej przedsiębiorstwa, tworząc niejednoznaczność i niepewność, gdy sprawcy próbują rozeznać się w sytuacji. Do tej pory najbardziej rozpowszechnionymi podejściami do tworzenia tych imitacji w systemach podstępu są pełna emulacja systemów (Full OS) i emulacja usług (OS/Service).

W tym artykule postaramy się zrozumieć główne różnice między tymi podejściami oraz określić ich zalety i wady.

Full OS 

Podejście na bazie pełnego systemu operacyjnego opiera się na wdrożeniu na hiperwizorze (MS Hyper-V, VMware, KVM itp.) jednej lub kilku maszyn wirtualnych wykorzystujących czujniki na wielu adresach IP (aliasy IP) do obsługi zaawansowanego monitorowania, które obejmuje wykrywanie takich działań jak:

  • uruchamianie poleceń w VM,
  • operacje na plikach,
  • przychodząca/wychodząca aktywność sieciowa.

Zaletą takiego podejścia do tworzenia pułapek jest wysoka skalowalność i bezproblemowa imitacja usług i agentów sieciowych. Ta metoda jest często przedstawiana jako optymalna do tworzenia najbardziej realistycznych i atrakcyjnych wabików, z pominięciem pewnych niewygodnych skutków ubocznych jak:

  • wysokie wymagania sprzętowe przypadające na jedną imitację unikalnego systemu,
  • skomplikowane wdrażanie i dostrajanie,
  • łatwość wykrywania obecności systemu decepcji,
  • koszt dodatkowych licencji na system operacyjny (OS Windows, Cisco IOS, itp.).

Takie podejście utrudnia również implementację symulowanych aplikacji/usług sieciowych. W takim przypadku operator musi całkowicie sklonować wszystkie moduły aplikacji WWW:

  • bazy danych - wypełnianie ich ręcznie wiarygodnymi danymi,
  • stworzenie kopii oprogramowania pośredniego, jeśli zachodzi taka potrzeba,
  • serwer WWW (wraz z konfiguracją).
Dodatkowo systemy klasy deception, które wykorzystują podejście Full OS, wymagają znacznego zaangażowania czasu na następujących etapach:
  • wdrożenie hypervisora, który będzie obsługiwał maszyny wirtualne systemu decepcji,
  • instalacja maszyn wirtualnych, które będą działać jako honeypoty z pełnym systemem operacyjnym,
  • podłączanie skonfigurowanych maszyn wirtualnych do systemu deception, który pełni rolę centrum monitorowania i menedżera maszyn wirtualnych,
  • konfigurowanie parametrów każdej maszyny wirtualnej w celu spełnienia funkcji podstępu,
  • tworzenie i rozpowszechnianie nawigacji okruszkowej (artefaktów) na realnych hostach.

Jak widać z tego zestawienia, trywialne wdrożenie systemu w infrastrukturze przedsiębiorstwa wymaga od działu IT/IS poświęcenia znacznie więcej niż jednego dnia. Ponadto implementacja Full OS nie nadaje się do szybkiego wdrożenia, gdy istnieją uzasadnione podejrzenia obecności intruza w sieci firmy.

Systemy decepcji tego typu mają istotne wady: są łatwo wykrywane przez doświadczonych atakujących. Aby zoptymalizować koszty, rozwiązanie Full OS Deception jest zwykle budowane przy użyciu wielu adresów IP (aliasów IP), co umożliwia uzyskanie wglądu w wiele systemów przy minimalnych kosztach licencji na system operacyjny. Podczas skanowania sieci atakujący uzyska informacje o obecności wielu niemal identycznych systemów, które będą się różnić jedynie adresami IP i MAC. Niektórzy dostawcy rozwiązań kładą nacisk na możliwość zmiany adresu MAC dla każdego aliasu IP, podczas gdy nie wpływa to na prawdopodobieństwo wykrycia imitacji pełnego systemu operacyjnego. Zmiana adresu MAC nie ukrywa całkowicie identycznej konfiguracji usług sieciowych, ich banerów usług, wersji oprogramowania i kluczy SSH (w przypadku pułapek SSH).

Sytuacja pogarsza się, jeśli atakującemu uda się w jakiś sposób (na przykład za pomocą exploita i zdalnego wykonania kodu) dostać się do przynajmniej jednej maszyny wirtualnej systemu deception. Host z dziesiątkami, a częściej setkami adresów IP i z niewielką ilością lub żadnymi danymi interesującymi atakującego zostanie jednoznacznie zidentyfikowany jako honeypot.

Kolejnym słabym punktem systemów Full OS Deception jest brak możliwości szybkiej rekonfiguracji całej sieci decepcji. Operatorzy systemów muszą poświęcić nie mniej czasu na rekonfigurację systemu w porównaniu z tym, co jest potrzebne do jego skonfigurowania, szczególnie w przypadku tworzenia własnych, niestandardowych maszyn wirtualnych ze standardowych obrazów.

Emulacja usług (OS/Service)

Metoda emulacji OS/service opiera się na tworzeniu ograniczeń, które odtwarzają określone usługi lub kombinacje usług jako osobne instancje w ramach pojedynczej maszyny wirtualnej. Pozwala to znacznie obniżyć koszty wykorzystywanych zasobów w porównaniu z podejściem Full OS, ponieważ nie ma potrzeby tworzenia osobnej maszyny wirtualnej dla każdej imitacji, co pozwala na tworzenie znacznie większej liczby unikalnych imitacji (honeypots). Kolejną istotną zaletą rozwiązania deception opartego na usługach jest brak kosztów licencji na systemy operacyjne innych firm.

Takie implementacje pozwalają również uniknąć używania wielu aliasów IP. Zamiast tego każda imitacja jest oddzielną instancją z unikalnym zestawem atrybutów, co sprawia, że atakującemu coraz trudniej jest wykryć obecność systemu decepcji w sieci firmowej. Każde ograniczenie będzie miało unikalny zestaw cech: IP, otwarte/zamknięte/filtrowane porty sieciowe, zestaw dostępnych usług, wersje usług, nazwy hostów, banery usług, wewnętrzny system plików, listę użytkowników istniejących w imitacji. Używanie unikalnych parametrów dla każdej imitacji sprawia, że atakujący prawie nie ma możliwości wykrycia obecności systemu decepcji w infrastrukturze firmy na etapie skanowania sieci i rekonesansu.

Ponadto imitacja usług na osobnych instancjach jest bardziej elastyczna, zarówno pod względem szybkości wdrażania systemu w infrastrukturze przedsiębiorstwa, jak i pod względem szybkości rekonfiguracji wszystkich już wygenerowanych imitacji.

Podsumowanie

Systemy decepcji zostały początkowo stworzone przy założeniu, że oprogramowanie tej klasy musi zostać szybko wdrożone przez inżyniera bez specjalnego przeszkolenia (lub nawet przez osobę, która nie jest inżynierem). Kierownictwo firmy, w obliczu możliwości obecności intruza, nie może czekać, aż specjaliści IT/IS przeczytają setki stron podręczników lub poznają funkcje rozbudowanego interfejsu. Nie można tracić cennego czasu na konfigurowanie wielu maszyn wirtualnych i czekać na zakup niezbędnych dodatkowych licencji. Systemy decepcji muszą zostać wdrożone w ciągu jednego dnia - łącznie z czasem potrzebnym do stworzenia wysokiej jakości imitacji usług /aplikacji internetowych i muszą natychmiast zwiększyć „widoczność” wewnątrz infrastruktury firmy.

Dlatego przy wyborze rozwiązania Deception należy zwrócić uwagę na wybór podejścia producenta do wdrożenia pułapek i wabików. Ta cecha zadecyduje o tym, jak efektywne będzie rozwiązanie, jakie będą koszty utrzymania oraz ile czasu i wysiłku zostanie poświęcone na jego wdrożenie i utrzymanie.

Treść oryginalnego artykułu, który przygotował Sergey Aleynikov, CEO firmy Labyrinth Development: Full OS vs OS/Service emulation | Labyrinth

W platformie Labyrinth Deception zastosowano podejście emulacji usług (OS/Service).

Zapisz się do naszego newslettera

You successfully subscribed!