Clico 2020

79_deception_fig02.jpg
Forrás: FIDELIS
Igaz vagy hamis?

Háztáji „mézesbödön” versus vállalati deception rendszer

Nagy szervezetekre jellemző, hogy kiterjedt infrastruktúrával, összetett rendszerekkel rendelkeznek, ezeket a környezeteket pedig bonyolult biztonsági rendszerekkel védik, erős belső felügyeleti előírásoknak és szigorú külső szabályozási követelményeknek megfelelve. Ezek az adottságok nagyszámú, szinte folyamatos riasztásokat generálnak, nagy erőforrásigényt támasztva a SOC-üzemeltetők felé. Ilyen körülmények között a leggondosabb konfigurálás, a legfejlettebb SIEM/SOAR-eszközök használata esetén is előfordulhat egy-egy riasztás figyelmen kívül hagyása.

Nagy igény van olyan szolgáltatásra, amely 100 százalékos hatékonysággal tudja megmondani egy eseményről, hogy rosszindulatú-e vagy sem. Ennek az igénynek a kielégítésére jöttek létre a „honeypot” (mézesbödön) rendszerek: a hálózatban elhelyeznek valódi, éles alkalmazásnak látszó gépet, amelynek biztonsági beállításait szándékosan meggyengítették, majd figyelnek, és rögzítenek minden változást, behatolást az eszközön. Ha aktivitást észlelnek, akkor az biztosan rosszindulatú tevékenység, és azonnali riasztást generál.

A riasztáson kívül a honeypot rendszer további feladata, hogy feltartsa, lefoglalja a támadót, aki, amíg a „csali” gépen kutakodik, addig sem tud más rendszerekkel foglalkozni, időt hagyva a SOC-teamnek a támadás felderítésére és elhárítására. Mindemellett természetesen az is a feladata a rendszernek, hogy információt gyűjtsön a támadó módszereiről.

Az interneten számos nyílt forrású „honeypot” érhető el, legtöbbször csak egyetlen fajtájú rendszerre (például adott típusú IoT-eszközre, operációs rendszerre, protokollra, adott szervertípusra stb.) koncentrálnak, ezért heterogén hálózatban több, különböző megoldást kellene használni, bonyolítva az üzemeltetők feladatait. További jellemzőjük, hogy nem egyediek, tehát, ha egy hálózatban a meglévő éles eszközök mellé telepítik őket, akkor eltérő szerververziót futtatnak, eltérő beállításokkal, így könnyebben felismerheti a támadó, hogy hamis rendszerrel áll szemben. Ha pedig az üzemeltető egyenként állítgatja be ezeket, megint csak a feladatai növekszenek, nem szólva az esetleges frissítések követéséről.

Sok open source honeypot rendszer jellemzője, hogy kicsi az interaktivitásuk, sokszor a felhasznált user-jelszó pároson kívül csak egy támadó IP-címet képesek visszaadni, de nem adnak belépés után valódinak tűnő környezetet, így gyorsan lelepleződnek, nem tartják fel a támadót, így szinte semmit sem tudunk meg róla. Nem szabad megfeledkeznünk arról sem, hogy ezek az open source rendszerek sok esetben alapállapotban nem elég biztonságosak – volt olyan eset, hogy Docker környezetben egy rosszul konfigurált honeypot konténer rendszeren keresztül hatoltak be a konténert futtató host gépre, majd így hatoltak be az éles hálózatba.

 

Mi különböztet meg egy enterprise deception rendszert egy honeypottól?

A deception rendszer tulajdonképpen egy fejlettebb honeypot: több automatizmust, több alkalmazkodást, nagyobb interaktivitást jelent. Ilyen a Fidelis Deception, amely discovery funkciójával képes feltérképezni a hálózatot, és ezáltal a ténylegesen használt rendszerekhez hasonló csalétek-rendszerekre tesz javaslatot, amelyek hasonló szoftveres (OS verzió, szerver típus és verzió) adatokat tartalmaznak, mint a valódi eszközök. Majd automatikusan létrehozza ezeket a decoy-okat, és beilleszti a hálózatba. Képes követni a környezetben bekövetkező változásokat, amelyekhez a decoy-ok automatikusan alkalmazkodnak, a szerververziók, beállítások változásait. Ezek a decoy-rendszerek nemcsak számítógépeket imitálhatnak, hanem hálózati eszközöket, nyomtatókat, IoT-eszközöket is.

A Fidelis Deception képes úgynevezett „breadcumbs”-okat (kenyérmorzsákat) elhelyezni a valós környezetben, amelyek lehetnek fájlok, alkalmazások, hálózati címek, illetve bejelentkezési adatok, amelyek a decoy rendszerekre mutatnak (például kliens gépen elhelyez egy fájlt egy felhasználói azonosítóval; ha a kliens kompromittálodik, és a támadó végigkeresi a gépet információk után kutatva, majd megtalálja ezt a csalit, a decoy felé veszi az irányt, könnyű továbblépési esélyt remélve.

 

Gazdag konfigurálási lehetőségek

A Decoy rendszerek interaktivitása széles paraméterek között állítható, képes valódinak tűnő fájlrendszert emulálni véletlenszerű adatokkal, fájlmásolási műveletet imitálni a támadó számára, ami folyamatosan lassul, feltartva őt. De beállítható az is, hogy a decoy pár próbálkozás után bármilyen jelszót használva beengedje a támadót, miközben rögzíti a támadó minden tevékenységét, minél több információt szerezve a módszereiről.

A Fidelis Deception rendszere (ötvözve a Fidelis Elevate platform többi elemével, a Network és az Endpoint rendszerekkel) rendkívüli átláthatóságot és visszakövetési lehetőséget biztosít a támadások felderítésére.