Defender for Endpoint: הונאות, הטעיות ופיתיונות – יכולות, איך ליישם וטיפים
מה ההבדל בין Deception לבין Decoy לבין Honeypots? לאומנות ההטעיה ישנם שמות רבים וכל אחד מהם נותן נקודת מבט וזווית שונה, אחרי זה יגיעו המתודולוגיה והכלים. עדיין, אפשר לומר שהכל נמצא תחת מעטפת אחת של הונאות והטעיות.
טכנולוגיית הטעיה היא קטגוריה בפני עצמה ואף מכילה אינספור פתרונות אבטחת סייבר שמזהים איומים בתוך החצר עם שיעורים נמוכים של תוצאות כוזבות (תלוי בטכנולוגיה). הטכנולוגיה יכולה לפרוס פיתיונות ריאליסטיים, למשל, מסדי נתונים, שרתים, אפליקציות, קבצים, קרדס, פירורים דיגיטליים ואובייקטים מגוונים ברשת. האובייקטים המוזרקים נמצאים לצד נכסים אמיתיים. ברגע שתוקף יוצר אינטראקציה עם אובייקט הטעיה כלשהוא, הטכנולוגיה תאסוף מידע כדי להפיק התראות נאמנות המפחיתות את זמן השהייה ומזרזות זיהוי ותגובה לאירועים.
הטעיות אינו דבר חדש כלל ונמצא איתנו מספר עשורים, הרחיב בנושא קווין מיטניק בספרו ״The Art of Deception״ בו הוא מתאר כי ״צריך גנב כדי לתפוס גנב״. כמו גם, מתוארות נקודות מעניינות לגבי התמקדות בגורמים האנושיים המעורבים באבטחת מידע, מיטניק מסביר מדוע כלי האבטחה לא מספיק טובים כדי לעצור אדם נבון שמתכוון לשבור מערכת תאגידית או לנצל עובד זועם שנחוש לגרום לנזק.
באמצעות מקרי שטח מרתקים רבים על התקפות מוצלחות על ארגונים וממשל, הוא ממחיש עד כמה מערכות המידע הנעולות/מאבוטחות ביותר זמינות לתוקף חלקלק המתחזה לסוכן מן המניין. כמו כן, מתוארות נקודות מבט של התוקף ושל הקורבנות כאחד, הוא מסביר מדוע לכל תקרית יש פוטנציאל וסבירות גבוהה להצלחה, וכיצד ניתן למנוע בסגנונות שונים.
המאמר הבא ״Defender for Endpoint: הונאות, הטעיות ופיתיונות – יכולות, איך ליישם וטיפים״ נוגע באפשרויות של הונאות בכלי Defender for Endpoint, טיפים מהשטח, איך להגדיר, מהם הפיתיונות הקיימים ועוד.
המאמרים הבאים יתמקדו באפשרויות של סימולציה, זיהוי ותחקור בממשק Defender XDR וכן יצירת כללים, הגדרות מתקדמות והרבה טיפים. Stay Tuned 😎.
הונאות, הטעיות ושאר ירקות
תוקף, בשלביו הראשנים, שלב ה Reconnaissance, צופה ובודק את מבנה הרשת ואת פריסת ההיררכיות. כדי להגיע למיקום הרצוי ברשת, התוקף משתמש בכלים וטכניקות מגוונות לחשיפת נקודות תורפה או נתיבי תקיפה פוטנציאלים.
לאחר החדירה, בשלב ה Credential Dumping וכן Privilege Escalation, התוקף עובר דרך הרשת צעד אחר צעד במטרה להסלים ולהשיג זכויות גבוהות יותר וכך להגיע ליעד התקיפה שלו. אם הצליח להשיג זכויות אדמין, יעבור לשלב מתקדם יותר, מכאן, פעולות ותנועות רוחביות הזיהוי נעשה קשות לזיהוי, מכיוון שזה עלול להיראות כמו פעולות לגיטימיות או תעבורה רגילה.

כידוע, לתוקפים יש יתרון רב על פני מגנים. במשך שנים רבות, תקציבים, פטנטים ומאמצים לא הצליחו להפוך את ״הקערה על פיה״, אולי שיפר במעט. בכל הפרה, חדירה ופריצה אנו מבינים שוב ושוב שהמגנים, נמצאים הרחק מאחור. במקרים כאלה, הטעיות, הונאות ומלכודות יכולות לשפר במעט את מדדי הזיהוי והתגובה של צוותי האבטחה.
העניין של הטעיות והונאות הוא, האם ללכת על אובייקטים שטוחים ״ולסגור עניין מהר״, או מהצד השני לפזר אובייקטים חיים ומלאים עם כלי או מערכת מנוהלת ברשת ולממש על הדרך טכניקות מגוונות, למשל, הטעיות כמו HoneyCreds / HoneyHash ואחרים. בקטע הזה של הטעיות וחיכוך עם אובייקטים יש סוגים ודרכים לפזר הטעיות, מלכודות ופיתיונות.
בין המאפיינים המוכרים ולאלה שמעט פחות, צריך קודם להבין שזה חשיבה וגישה ורק לאחר מכן יגיעו , מתודולוגיה, כלים ושאר עניינים, והדבר החשוב מכל האם יש גורם אנושי עם ידע והבנה שיתפעל זאת באופן קבוע? דרך מסויימת להביט על נקודות חשובות הם:
- תהליך טהור שמסתמך על מערכת ייצור מלאה עם נתונים שלכאורה אמיתים או מדמים נתונים אמיתים.
- שרת אמיתי לכל דבר אך ללא נתונים, במקרה כזה יאפשר עדיין חיקוי התנהגות של שרת אמיתי בעל יכולות תקשורת מול נכסים אמיתים ומזרקים ברשת.
- אובייקטים שטוחים לגמרי וללא תנועה שמתבססים על אובייקטים סטטים, למשל, בתשתית Active Directory עם אובייקטים מסוג משתמשים וקבוצות, שיוך בין אובייקטים וכו.
בחירת סוג הטעיה ומלכודת נעשית על סמך סריה של פרמטרים, כמו תקורות ניהול, טכנולוגיה, דינמיות עם כלי אוטומציה (או בלי), כלי ניטור, מיקום האובייקטים, חשיבות ומטרות.
נקודה חשובה היא שכדאי לזכור כי תוקף עלול להבין מצבים שבהם יש אובייקטים מוזרקים, הטעיות ומלכודות, כמו השארת שרת שהוא פגיע מידי, אובייקט ללא תנועה ואובייקטים מוזרקים עם מוסכמות גנריות. הטעיות צריכות להיות כאלה שימשכו תוקף לגעת בגדר ולאפשר הרמת דגל מהירה בבקרות.
מה עם סביבות ענניות? נקודה חשובה בהטעיות היא שאנו לא נמצאים רק בסביבה מקומית וכאשר מדברים על הטעיות, לרוב זה יתמקד בחשיבה וטכנולוגיה שתסייע בסביבה המקומית, תחנות קצה ותשתית Active Directory. מה קורה עם הטעיות בענן? האם כדאי לשים מלכודות בענן? לחלוטין כן!
| יש לך שאלות לגבי הטעיות, פיתיונות ומלכודות? ניתן להצטרף לקבוצת MSFT.SEC.ADVOCATE ולהעלות שאלות או עדכונים בנושא. |
בשנתיים האחרונות ישנה מגמה חדשה ונוספת של הטעיות, והיא מגמה של הטעיות מבוססות טכנולוגיות של למידת מכונה (ML) ולמידה עמוקה (DL). הטכנולוגיה מציעה מתודולוגיה חדשה הדורשת מעורבות אנושית מינימלית בתחזוקה השוטפת, וכן במחקר של הסביבה המקומית, ובכך שהיא יכולה למנוע אתגרים רבים הקשורים למחקר שגוע אנושי בסביבה הטכנולוגית.
בנוסף, זה יכול להפחית את היעילות הכרוכה בתהליך האוטומציה לפני שנבדקים אובייקטים. השילוב ממנף את ההתקדמות הנוכחית בלמידת מכונה ומשתמש בגישה מציאותית ואינטראקטיבית.
אחת המערכות שקיבלו אפשרויות ויכולות הטעיה (Deception) היא Defender for Endpoint, החל מיצירה ופריסה ועד לזיהוי וחקירה. Defender XDR מגיע למרחבים נוספים בעמדות קצה, והפעם עם יכולת נדרשת והיא Deception שבה ניתן לזהות תוקפים בשלב מוקדם בשרשרת התקיפה (Attack Chain) ולשבש התקפות עוד בשלביה המוקדמים.
באופן אישי יכול לומר שכחלק מפעילויות מול ארגונים מגוונים ביצעתי תריסרי פעולות תקיפה, הגנה ושיפור זיהוי (בעיקר מול SOC ארגוני) המתבססות אל מול היכולת של Deception, ובמקרים רבים שמחתי לראות כי יכולת הזיהוי נעשית בצורה דיי טובה כולל מקרי קצה ואף אפשרויות זיהוי שאינם מתועדים בכתובים.
מי אתה Deception ב Defender for Endpoint?
Deception היא תכונה חדשה ב Microsoft Defender for Endpoint, והיא חלק ממהתשתית הכוללת של Defender XDR. התכונה החדשה משתמשת בלמידת מכונה כדי ליצור אוטומטית אובייקים על סמך מוסכמויות ארגוניות ולפרוס פתיונות אותנטיים לתוך הסביבה. הכוח האמיתי הוא שלא נדרשת פריסה נוספת של חיישנים, והם משולבים במלואם בחוויית Defender XDR.
מוסכמויות בהטעיות הם גדרות ואובייקטים שנוצרים על סמך אובייקטים אמיתיים של משתמשים. אובייקטים אלה נוצרים עם קונבנציית שמות, קישורים, כתובות ואבייקטים אחרים עם שיוך ישיר או עקיף לאובייקטים ברשת.
הונאה יוצרת משטח התקפת סייבר מלאכותי בתוך הרשת, המורכב מאובייקטים כמו credentials/ hosts והרבה פיתיונות אחרים שנראים כמו נכסים בעלי ערך. המטרה הסופית היא להונות תוקפים ולהוביל אותם למצב שהם נוגעים באובייקטים המלאכותים ומשם מעלים דגלים ומאפשרים לחקור את הפעולות והתנועות.
כאשר נעשית נגיעה כלשהיא או שימוש בנכסי ההטעיה זה יוביל לזיהוי בפורטל Defender XDR. הזיהוי יכול להוביל לסימנים מוקדמים של שרשרת התקיפה, החל משלב הנגיעה, דרך ניסיון חטיפה של אובייקט או ערך הקשור אליו, למשל, חטיפה וגילוי של אובייקטים מסוג credentials / hosts. מקרה נוסף ונפוץ הוא, מקרים שבהם תוקפים משתמשים בדרך כלל ב LSASS וב DNS cache dump כדי למצוא אובייקטים בעלי עניין.
כאשר משתמשים ב Deception כדאי לדעת את הנקודות הבאות לפני שמתחילים. באופן כללי, קיימים שני מאפיינים באפשרויות של הונאה והם: Decoys וכן Lures.
- Decoys: נכסים מזוייפים המפעילים התראה כאשר תוקף מקיים אינטראקציה עם הנכסים.
- Lures: פירורים דיגיטליים שמובילים תוקפים לפתיונות (אובייקטים שנפרסו) וגורמים להם להיראות אותנטיים יותר.
למשל, כאשר ישנו Decoy ממוקד ואיכותי ברשת הוא גורם לתוקף לבצע אינטראקציה כלשהיא, וברגע שנוצר מגע, המערכות מעלות דגלים אודות האינטראקציה ופעולות משנה שקדמו לכך. כלל הפעולות יופיעו בממשק Defender XDR עם כל הפרטים הקטנים.

האפשרויות של של Deception ב Defender for Endpoint מספקות בין היתר:
זיהוי והפרעה לאיומים – זיהוי תנועה בשלביה המוקדמים של תקיפה ושיבוש תקיפה כדי להכיל את האיום.
אובייקטים מבוססי בינה מלאכותית – יצירת אובייקטים המאפויינים כ decoys / lures המופעלים על ידי בינה מלאכותית – Defender for Endpoint משתמשת בלמידת מכונה כדי ליצור אוטומטית ולפרוס פיתיונות אותנטיים לרשת המשקפים נכסי ייצור.
מובנה בסנסור – אינו מצריך פריסה נוספת או ניהול חיישנים נוספים ברשת ורוכב על גבי הסנסור הקיים.
משולב בחוויית XDR SOC – משולב בממשקי Defender XDR לחקירה קלה של התקפות מקצה לקצה.
הונאה והטעיה יוצרת מצבים בהם נוצר מגע ולכן כל אינטראקציה איתם מספקת זיהוי מיידי מכיוון שהתרעות אלה נוצרות בעבור ה SOC ומתואמות לאירוע מתמשך (במידה ויש כזה). לכן, טכנולוגיית הונאה משלימה את האסטרטגיה של Defender XDR ויכולה להיות הגורם המכריע במידת החשיפה במהלך תקיפה.
| כדאי לדעת: כלי הונאה פועלים כפתרונות שדורשים עבודה ידנית כדי ליצור ולפרוס אובייקטים, ארגונים נרתעים מהם לעתים קרובות בשל ההשקעה הגבוהה והתחזוקה הנדרשת, ידע והבנה, ומציאות המשאבים המוגבלים של צוותי אבטחה. |
היכולת של Deception מוטמע בחוויית SIEM + SOC במטרה לאפשר שיפור בגילוי וזיהוי וכן לטובת שיבוש תקיפה, ולכן, פריסה היא דבר אחד, שימוש יעיל הוא דבר אחר. כדי להקל באותה מידה על צוותי אבטחה, הונאה משולבת באופן עמוק בתקרית קיימת ובחוויית ההתראה בממשק Defender XDR.
כאשר ניגשים לפיתיונות, הם יוצרים באופן יזום זיהוי בעלי אמינות גבוהה. אלה יהיו בקורלציה עם התראות אחרות הרלוונטיות לאותו אירוע, בדיוק כמו שאנו רגילים ומשם כל פעולות התגובה הנפוצות זמינות. הונאה גם מאפשרת את שיבוש ההתקפה של Defender XDR, מה שיאפשר לשבש התקפות מתקדמות של תוכנות כופר המופעלות על ידי גורם אנושי עוד קודם לכן בשרשרת התקיפה.
דרישות ונקודות חשובות
בכדי להפעיל ולעבוד עם האפשרויות של Deception ב Defender for Endpoint יש לוודא את הדרישות הבאות:
- הסנסור של Defender for Endpoint מופעל וקיים במכונות מסוג Windows.
- היכולת של Automated investigation and response מוגדרת ומופעלת על מכונות.
- מכונות מסוג Windows מוגדרות במצב Hybrid Joined או Entra Joined.
- PowerShell מופעל במכונות (כולל מצב שבו נמצא במצב אכיפה).
- נתמך מגרסה Windows 10 RS5 והלאה.
- רישוי נדרש של Defender for Endpoint מסוג Microsoft 365 E5 / Security E5 / MDE P2.
- הרשאות להפעלה היכולות: Global administrator או Security administrator.
| טיפ: כאשר PowerShell נמצא עם פוליסי ובמגבלה מסוימת, עלולים להיות התנגשויות אפשריות עם הפריסה. |
איך מפעילים?
הפעלת Deception היא מעניינת, כי מצד אחד זה יכולה להיות הפעלה סופר מהירה עם כמה קליקים ״וסגרנו את הפינה״, עם זאת, בסייבר כמו בסייבר, שום דבר הוא לא כמה קליקים וככל שזה פשוט יותר כך זה חדיר, לא יעיל ובעל ערך נמוך. לכן, ישנה אפשרות להפעיל Deception בשני מצבים, בסיסי, מתקדם ובמצב משולב של שניהם יחדיו על אותו כלל.
לאחר שמשלימים את הדרישות שהוזכרו מעלה, אז האפשרות של Deception תהיה זמינה בתוך ממשק Defender XDR וניתן להשיך בהגדרות שלאחר מכן. כברירת מחדל, היכולת כבויה. כדי להפעיל את התכונה, יש לפעול לפי הנקודות הבאות:
איך מפעילים (מאקטבים)? בממשק Defender XDR באפשרות Settings, בתוך Advanced Features יש להפעיל את היכולת של Deception.

| הערה: יש להמתין 45 דקות בכדי שהיכולת תהיה זמינה ותאופשר ברמת ברמת פריסה. |
לאחר מכן האפשרות של Deception תתווסף לממשק ותהיה זמינה בחלק של ה Rules. שם נוכל להתחיל את ההגדרות הראשוניות ופריסת האובייקטים.
איך יוצרים כלל ואפשרויות בסיסיות?
לאחר שהיכולת Deception הופעלה נקבל את הכלל הראשון עם הגדרות ברירת מחדל. אפשר לומר שהגדרת ברירת מחדל יכולה להתאים למצבים וארגונים מסוימים, עם זאת, תמיד נרצה להפעיל הגדרות מותאמות לסביבה הארגונית עם נגיעות אנושיות וחשיבת תוקף. לכן, אפשר להפעיל מספר כללים, כלומר, גם כלל ברירת מחדל וגם כללים נוספים ומתקדמים יותר.

| טיפ: בעת הפעלת Deception היכולת מאופשרת אוטומטית עם הגדרות ברירת מחדל שנפרסות בכל המכונות Windows. כאשר נדרשת פריסה מבוקרת, מומלץ לדסבל את כלל ברירת המחדל ולהשתמש בכלל מקוסטם עם היקף וטווח מוגדר מראש. |
הגדרות Deception מכילות שני מאפיינים:
פיתיון והטעיה בסיסית – אובייקטים רגילים מסוג Account וכן Host. בנוסף לכך מוזרקים מסמכים, קבצים עם קישור ועוד.
פיתיון והטעיה מתקדם – תוכן מוזרק כמו cached credentials או interceptions המקיימות אינטראקציה עם הסביבה. למשל, תוכן מוזרק המותאם עם פיתיון מסוג creds המקיים שאילתה אל מול Active Directory. הםיתיון יהיה עדיין ברמת Defender for Endpoint אך יידע להזירק אובייקט הקשור לתשתית Active Directory.
הדוגמה הבאה היא כלל גנרי שנוצר אוטומטית על ידי המערכת ומכיל אובייקטים מסוימים מסוג Account וכן Host. אפשר לראות את המוסכמות (שמות, כינויים וכן הלאה) שנוצרו במערכת. אובייקטים אלה יוזרקו למכונות Windows.

| טיפ: השילוב של Deception יחד עם האפשרות של Honeytoken מתוך Defender for Identity הוא יישום שלוקח את Deception יחד עם Honeypot צעד אחד קדימה. מומלץ לשלב. |
היקף וטווח פריסה
היקף וטווח הפריסה הוא חשוב מאוד ועושה את ההבדל בין פריסה בעלת ערך לבין פריסה ״רגילה״ – הכל מגיע מתוך חשיבת תוקף. למשל, לשים כלל אחד על כל הארגון על כלל המכונות הוא טוב, אך עדיין לא יהיה יעיל כמו מספר כללים שונים שמפוזרים בצורה הטרוגנית בין קבוצות שונות של עמדות קצה.
ניתן להגדיר את הפיתיונות עם תגים ספציפיים, אותה יכולת סיווג שעובדת על מנגנון התיוג של Defender for Endpoint. היקף הפריסה למכונות Windows היא חשובה ולכן בסביבות גדולות כדאי להגדיר פריסה מבוקרת ולהבין משמעויות.
| טיפ: לאחר הפעלת Deception של MDE בלמעלה מ 20000 מכונות Windows אפשר לומר שאין השפעות, קונפליקטים עם כלים אחרים או בעיות מוזרות. |
Decoys
כאמור, במהלך ההגדרה נוצרים אוטומטית אובייקטים. מדובר על אובייקטים מסוג accounts / hosts שאינם קיימים במערכת אבל מוגדרים עם מוסכמות קיימות. הדור הזה של פיתיונות מבוסס על ML ולכן באמצעות מודלים שונים Defender for Endpoint יוצר אוטומטית נכסים בהתבסס על המכונות המשולבות הקיימות ועל מוסכמות שמות המשתמש שזוהו.
ההמלצה היא לסקור האובייקטים וליצור כלל מותאם אישית התואם את מוסכמות השמות. מטרת ההונאה היא להתאים למוסכמה של שמות הסביבה ולהימנע מכמות גדולה מדי של שמות שאינם קשורים לחברה ולסביבה הטכנולוגית, שכן יותר מדי אובייקטים מזויפים יכולים להתגלות בקלות על ידי תוקפים ולגרום להם לחשוד ולמנוע נגיעה באובייקט.
במקרים מסוימים, רשימת ברירת המחדל שנוצרה באופן אוטומטי מספיקה עם אובייקטים נאותים ומוסכמות של אובייקטים.

Lures
ניתן להגדיר פיתיונות בשתי הדרכים הבאות:
- השתמש בפתיונות שנוצרו אוטומטית.
- השתמש בפתיונות מותאמים אישית בלבד.
פתיונות מסוג lures הם פירורים דיגיטליים שמובילים תוקפים לפתיונות וגורמים להם להיראות אותנטיים יותר, כגון מסמכים, קבצי batch ועוד.
עבור התצורה הראשונית, מומלץ להתחיל עם הפיתיונות שנוצרו אוטומטית – ניתן להשתמש בתכונה המותאמת אישית בלבד כדי להגדיר פתיונות שנראים אותנטיים יותר על סמך קריטריונים ארגוניים.

במקרים אחרים ומתקדמים אפשר ליצור הגדרות מותאמות. פתיונות מותאמים יכולים להיות מכל סוג קובץ (למעט קבצי DLL / EXE) ומוגבלים עד לגוsל של 10MB כל אחד. בעת יצירה והעלאה של פתיונות מותאמים, מומלץ להגדיר פתיונות אשר מכילים או מזכיכרים באופן ישיר או עקיף אובייקטים אחרים שנוצרו (account/host) כדי להבטיח שהפתיונות אטרקטיביים.

פריסה
כאשר הכלל מוגדר עם כל הפיתיונות כולל התאמות, אנו יכולים לבחור את קבוצת העמדות קצה ולהזריק אותם, משם הפתיונות נוצרים בהצלחה. ייקח זמן מה עד שהפתיונות ייפרסו לעמדות הקצה המוגדרות. המצב "in progress" מציין שהפריסה עדיין בתהליך. (ייתכן שיחלפו כמה שעות עד שהאובייקטים יוזרקו וייפרסו על פני מכונות הקצה).

כאשר הכלל ייפרס בהצלחה (הזרקת האובייקטים), הוא יציג את הסטטוס מופעל עם מידע כללי כולל מידע כללי על עמדות קצה. זה מציין שהכלל מופעל בהצלחה.
מכיוון שהממשק לא מכיל את כל הפרטים ניתן לייצא את הנתונים לקובץ CSV ולקבל מידע יותר ענייני. בעזרת שימוש באפשרות ייצוא לקובץ CSV, ניתן לאשר אם האובייקטים מוזרקים כהלכה בעמדות הקצה.

הפרטים בקובץ יכילו את הפרטים הבאים: סטטוס הפריסה, מזהה המכשיר, מעקב אחר האובייקט, האם מופעל כהלכה, איזה עמדה ספציפית קיבלה את ההזרקה. זה יציג את נתיב וסוג האובייקט המוזרק.
היכן ממוקמים האובייקטים? כל הפיתיונות מוזרקים במכונות ובטווחים השונים שהוזכרו על סמך הכללים. האובייקטים אינם מוזרקים אל Active Directory או Entra ID. מיקומי נתיב מפורטים נמצאים בקובץ CSV. עבור סוג הקרדס, ישנם מיקומים שונים אחרים שבהם הקרדס ממוקמים ומוזרקים.
לסיכום
הונאות, הטעיות ויפתיונות הן טכנולוגיה חשובה בהגנה על נכסי הגוף. עם זאת, מצריך הבנה, השקעה וזמן בכדי להגיע לבגרות אבטחה מסוימת. הדור החדש של טכנולוגיית הונאה מבוססת למידת מכונה מביאה משב רוח מסוים, אך עדיין מוקדם לומר האם זה פותר את הבעיות והפערים המוכרים.
היכולות של הונאה ב Defender for Endpoint מגיעות בתוך המערכת ולכן מצמצות במעט את ההשקעה ויחד עם מתולדולוגיה מואמת אישית אפשר להגיע לתוצאות בעלי ערך.







