Placeholder Introducción y aplicación de Honeypot y Sandbox | SINSMART

Introducción y aplicación de Honeypot y Sandbox

El concepto y características de Honeypot

1. El concepto de Honeypot

El concepto de Honeypot comenzó a fines de la década de 1980 y su desarrollo se puede dividir aproximadamente en cinco etapas: el período del concepto (1989-1997), un nuevo tipo de pensamiento defensivo; el período de desarrollo (1998), el lanzamiento del producto Honeypot DTK; período de perfeccionamiento (1999-2003), se propuso la tecnología honeynet y apareció el concepto de Honeypot distribuido; el período de aplicación al mercado (2004-2020), se aplicó en muchos campos, como los sistemas de control industrial; el período de innovación y desarrollo (2020-presente), la innovación de la tecnología Honeypot basada en nuevos métodos de ataque y formas de amenaza. La definición de Honeypot es: Honeypot es una tecnología de defensa de red activa que utiliza herramientas para atraer a los atacantes, lo que permite que el personal de seguridad observe a los atacantes. No se ocupa de los ataques o las vulnerabilidades, sino que se centra en los propios atacantes.

2. Las características de Honeypot

Primero, Honeypot es, en esencia, engañoso. Al disfrazarse como señuelos reales y de alto valor, implementando varios entornos de señuelo para atraer a los atacantes a atacar, aumentando así la carga de trabajo de los atacantes, retrasando los ataques y ganando tiempo para la defensa.

En segundo lugar, Honeypot se centra en los atacantes. Los métodos de defensa anteriores se centraban más en la detección y el manejo de comportamientos de ataque, que pertenecían a la defensa pasiva, mientras que Honeypot se centraba en los atacantes, combinado con ingeniería social, para estudiar los hábitos de comportamiento de los atacantes, a fin de mejorar la tasa de éxito de atrapamiento.

En tercer lugar, la ventaja de Honeypot radica en descubrir métodos de ataque desconocidos. Una característica importante de Honeypot es descubrir métodos de ataque desconocidos al registrar varios comportamientos de los atacantes en Honeypot, revertir la posición de desventaja de los defensores y mejorar efectivamente las capacidades de defensa. defensa multipunto en todo el sistema".

El concepto y características de Sandbox

1. El concepto de Sandbox

Esencialmente, el sandboxing se trata de crear entornos aislados aislados que se pueden usar para fines de seguridad específicos. Sandbox es ampliamente conocido como una aplicación de seguridad del navegador para evitar que los virus y los caballos de Troya infecten la máquina a través del navegador. El mecanismo principal es controlar las llamadas de los procesos en Sandbox a los recursos del sistema local aislando recursos como los procesos y la memoria. El antimalware a menudo usa sandboxes aislados para ejecutar muestras de malware para ver cómo se comportan. Dentro de la caja de arena, mediante la ejecución de muestras de malware sospechoso, se pueden estudiar sus métodos de ataque. En el caso de software desconocido, este método se puede usar para determinar si es seguro ejecutar un archivo en un punto final administrado. Si el software no realiza ninguna acción maliciosa, puede transmitirse al usuario final. Una vez más, esta técnica se puede utilizar para investigar más a fondo si una muestra sospechosa de malware es una campaña sofisticada o un objetivo aleatorio. Las ediciones actuales de Windows 10 y Windows 11 Professional también ofrecen la aplicación Sandbox.

2. Características de Sandbox

La tecnología Sandbox tiene 4 características:

Tecnología de virtualización completamente aislada y ligera;

Identifique automáticamente software de riesgo específico y ejecútelo de forma aislada;

Todas las operaciones de disco se colocan en un búfer sin escritura real;

Es seguro y no deja rastros, por lo que puedes usarlo con tranquilidad y más tranquilidad.

Diferencia entre Honeypot y Sandbox

A continuación, se describen las diferencias entre Honeypot y Sandbox a partir de los tres aspectos de propósito, implementación y despliegue.

1. En términos de propósito

El mismo punto: ya sea Sandbox o Honeypot, el propósito de la implementación es descubrir ataques maliciosos.

Diferencias: es necesario juzgar los resultados de la operación Sandbox para determinar si el comportamiento del código sospechoso es malicioso y si existe una cierta tasa de falsos positivos; Honeypot es un cebo, y cualquier comportamiento de Honeypot puede considerarse un comportamiento malicioso, o incluso un comportamiento de ataque, lo que hace que Honeypot tenga una tasa de falsos positivos extremadamente baja.

2. En términos de implementación

El mismo punto: la tecnología de virtualización se utiliza para crear un entorno de aislamiento seguro, y los comportamientos maliciosos y los comportamientos de código se llevan a cabo en un entorno de aislamiento seguro.

La diferencia: Sandbox imita principalmente un sistema operativo, como Linux o Windows. Debido a los requisitos de rendimiento, es relativamente liviano, sin capacidades de interacción complejas, y algunos componentes de software no están instalados, lo que es fácil de detectar y evadir por malware; Sandbox es generalmente Construir un sistema de aplicación completo, como un sitio web, un dispositivo VPN, etc., requiere un alto rendimiento, pero puede realizar comportamientos interactivos más complejos, un mayor grado de simulación y no es fácil de descubrir.

3. En términos de despliegue

El mismo punto: admitir múltiples métodos de implementación, que pueden implementarse de forma independiente o integrarse con otros sistemas.

La diferencia: Sandbox es un método de defensa pasiva, que generalmente se denomina y utiliza, es decir, cuando el equipo o el personal de seguridad encuentran archivos sospechosos, colocarán archivos sospechosos en Sandbox para ejecutar la detección, generar ciertos resultados de análisis y ser analizados por técnicos. ; Honeypot es un medio defensivo activo que generalmente se implementa en el mismo segmento de red que el sistema comercial operativo normal. Los usuarios normales no accederán a Honeypot. Solo el escaneo malicioso o el drenaje de dispositivos de seguridad accederán a Honeypot, por lo que Honeypot tiene una tasa de falsos positivos extremadamente baja. Los ataques se pueden detectar rápidamente.

Aplicación de Honeypot y Sandbox

A continuación se combinan las aplicaciones específicas de Honeypot y Sandbox para ayudar a los lectores a comprender mejor la relación entre los dos.

1. Aplicación de Sandbox

El sistema Sandbox es relativamente simple en uso e implementación. Como se muestra en la Figura 1, se implementa principalmente como un dispositivo de derivación, que puede implementarse de forma independiente o integrarse con los dispositivos de protección APT. En términos de uso: Uno es el uso manual. Coloque manualmente los archivos sospechosos en Sandbox para ejecutarlos, extraiga la información de la llamada API, la información de la operación del archivo, el valor hash, etc. del programa en ejecución, y obtenga rápidamente la información característica del archivo. Por ejemplo, después de encontrar un programa malicioso, use Sandbox Generar información de funciones para software antivirus para actualizar la biblioteca de funciones; el segundo es usarlo en conjunto, como enlace con equipos de protección APT, IPS, IDS y otros equipos de detección de protección. Después de que el equipo de detección de protección encuentre archivos sospechosos, transferirá los archivos a Sandbox para un análisis dinámico. Si el riesgo es alto, se bloquean las transferencias de archivos o incluso las direcciones IP maliciosas. La existencia de Sandbox puede compensar la falta de capacidades de análisis dinámico causada por la dependencia excesiva de los dispositivos antivirus de red comunes en las bases de datos de firmas, y es un complemento útil. En la actualidad, muchos programas antivirus de host también tienen la función Sandbox, como Tinder, pero esto aumentará la ocupación de los recursos del host y también existe el riesgo de que escape código malicioso en Sandbox, por lo que no se usa mucho en la producción. ambiente. En términos generales, la función antivirus del host antivirus + la función de puerta de enlace antivirus combinada con el sistema Sandbox es una solución relativamente segura, que puede cubrir los requisitos antivirus a nivel de host y de red. El sistema Sandbox independiente puede evitar el servidor de producción. interferencia.

2. Aplicación de Honeypot

La aplicación de Honeypot es relativamente complicada. El proceso de implementación de la unidad del autor se comparte a continuación. La implementación de Honeypot se divide en los siguientes tres pasos.

El primer paso es elegir una ubicación adecuada. La esencia del Honeypot radica en la captura, por lo que los Honeypots se implementan principalmente en tres tipos de posiciones: el primer tipo es la parte del borde, que puede realizar la captura del ataque inicial, y un Honeypot de uso general se puede implementar en esta parte para atraer al oponente a escanear o incluso atacar, a fin de ganar el El segundo tipo está cerca de los nodos dentro de la red, como los enrutadores centrales y los conmutadores centrales. Cuando el atacante atraviesa el límite periférico y se mueve lateralmente, puede encontrar su vía de acción lo antes posible, ubicar la ruta de ataque y contenerla; el tercer tipo se implementa en el mismo segmento de red del sistema central para atraer a los atacantes, desviar su atención, retrasar su comportamiento de ataque y ganar tiempo para la respuesta de emergencia.

El segundo paso es desplegar señuelos comunes. Una vez que se determina la ubicación de implementación, se puede implementar un señuelo genérico. Dichos señuelos son principalmente sistemas CMS, dispositivos VPN, sistemas de correo, etc. con vulnerabilidades de alto riesgo. Pretenderán ser objetivos de alto valor con vulnerabilidades graves, y los atacantes pueden encontrarlos a través de un simple escaneo y detección, induciendo así a los atacantes a atacar, con el fin de exponer la información del atacante para lograr el propósito de alerta temprana. Pero debido a su versatilidad, también es más fácil de ver para los atacantes.

El tercer paso es personalizar el despliegue de cebo y vincularlo con otros dispositivos. Para mejorar la capacidad de Honeypot para capturar a los atacantes, muchos productos de Honeypot se implementan con cebos personalizados, utilizando sistemas reales implementados en máquinas virtuales del sistema Honeypot para lograr una personalización personalizada de los cebos. Cuando se enfrenta a un ataque APT, el atacante tiene un propósito más obvio. En comparación con el cebo general, es difícil producir un efecto y la tasa de éxito del cebo personalizado es mucho mayor. Al mismo tiempo, Honeypot también se puede vincular con otros dispositivos. Por un lado, después de descubrir al atacante a través del Honeypot, puede usar el dispositivo de seguridad fronteriza para bloquearlo, o usar IPS y WAF para formular reglas de seguridad personalizadas para bloquear el comportamiento del ataque; por otro lado, cuando el dispositivo de seguridad fronteriza detecta el ataque Al atacar a los atacantes, use el método de extracción de tráfico para guiar a los atacantes al Honeypot, analice su comportamiento de ataque y rastree la fuente del ataque. La aplicación específica se muestra en la Figura 2.

Epílogo

Aunque Honeypot y Sandbox son muy similares en términos de tecnología de implementación, ambos construyen un entorno aislado a través de una virtualización liviana, pero son bastante diferentes en la implementación de aplicaciones específicas y los objetivos de diseño de productos. En pocas palabras, Honeypot es una herramienta de defensa activa que atrapa activamente a los atacantes; Sandbox es una herramienta de defensa pasiva que analiza el software sospechoso y descubre el comportamiento de ataque.

Dejar un comentario

Carrito de compra

×