Антон Чухнов, 12/04/22
Автор: Антон Чухнов, генеральный директор AV Soft
Защиты от уязвимости 0day
0day – это уязвимости, обнаруженные в ходе их эксплуатации либо в ходе исследования экспертами софта или оборудования. Они крайне опасны, поскольку некоторое, иногда весьма продолжительное, время остаются неизвестными для большинства средств защиты.
Deception является эффективной технологией защиты от уязвимости нулевого дня, выступая дополнительным эшелоном. Когда взломщик проникает через уязвимость на рабочее место или сервер, его задача – продвинуться по сети, получить доступ ко всем машинам, разобраться, где хранятся данные и их резервные копии.
Deception состоит из ловушек и приманок. Ловушки могут имитировать серверы, оборудование, рабочие места внутри сети, а приманки могут имитировать данные для доступа к этим ловушкам. Deception обнаруживает злоумышленника, как только он попадает в ловушку, и продолжает дальше запутывать его в ложной инфраструктуре, параллельно производя анализ его действий. Эти данные можно собирать и использовать как индикаторы компрометации для защиты других сегментов сети, где может осуществиться аналогичная попытка проникновения.
Поскольку доступна информация и об источнике атаки, есть возможность заблокировать злоумышленника как на самой ловушке, так и на той машине, откуда он подключился.
И это при том, что другие системы безопасности пропустили атаку, поскольку злоумышленники, эксплуатируя 0day, зачастую используют совершенно легитимные инструменты. Например, это может быть обычное RDP-подключение от какой-то машины к серверу, и как с точки зрения антивирусного движка, так и с точки зрения EDR, который может работать на этой машине, ничего недозволенного не происходит. Но если подключение к ловушке все же произошло, это значит, что ни антивирус, ни EDR не обнаружили вредоносную программу.
Поэтому тут Deception играет роль дополнительного эшелона защиты внутри сети организации, а с точки зрения такой опасной проблемы, как эксплуатация уязвимостей нулевого дня, это, по сути, единственное решение для обнаружения.
Барьер против шифровальщиков и вымогателей
Задача шифровальщиков – получить доступ ко всей атакуемой инфраструктуре, в том числе к резервной копии данных, чтобы зашифровать найденную информацию, потребовать выкуп, при этом лишив организацию возможности ее восстановить. Поэтому крайне важно обнаружить таких злоумышленников в сети как можно раньше, пока они осуществляют первые этапы атаки: проводят разведку, изучают инфраструктуру, определяют места хранения данных. В первую очередь вымогатели рассматривают в качестве цели крупные компании с большим оборотом, чтобы получить максимальный выкуп. Deception может быть эффективен с точки зрения раннего обнаружения внутри сети злоумышленников, если они смогли обойти другие средства защиты.
Стоит помнить, что есть еще один источник угрозы – внутренние нарушители: подкупленные, увольняющиеся или обиженные сотрудники. Они могут запустить вредоносный продукт, управляемый извне, сразу внутри инфраструктуры, используя свой легитимный доступ.
В деле противодействия атаке шифровальщиков Deception отведена важная роль. Приманки и ловушки, которые работают внутри сети, помогают обнаружить и заманить злоумышленника в ложную инфраструктуру. Притом ловушки делаются так, чтобы они были максимально похожи на реальные устройства, на реальные рабочие места или серверы и злоумышленник не смог сразу понять, куда он попал.
Кроме того, в качестве ловушек могут использоваться серверы резервного хранения данных. На этапе развертывания Deception в качестве приманки формирует набор ложных данных, которые вымогатель пытается забрать на свои серверы перед шифрованием. И эти ложные данные содержат в себе определенные признаки, по которым впоследствии можно выйти на след злоумышленников. Эти признаки можно использовать при расследовании инцидента, если через некоторое время в даркнете появляется продавец информации с заложенными с помощью Deception признаками. В таком случае этого конкретного продавца можно связать с произошедшим инцидентом, с конкретными данными, с конкретной ловушкой.
Защита промышленного сегмента сети
Технологии Deception в целом инвариантны по отношению к сфере применения. Ловушки могут представлять из себя не только объекты ИТ-инфраструктуры, такие как рабочие места, серверы либо офисная оргтехника, но и создавать копии, аналоги объектов Интернета вещей и промышленного Интернета вещей. В качестве примера можно привести ip-телефоны, камеры, а также другие устройства, которые в наше время подвергаются атакам с целью дальнейшего продвижения по захватываемой инфраструктуре.
Технология Deception также применима и для промышленного сегмента сети, где могут быть созданы ловушки, имитирующие контроллеры, датчики, системы управления.
Отдельно стоит упомянуть и о медицинском оборудовании, от правильной работы которого зависят здоровье и жизни пациентов. В этом случае задача Deception – как можно более раннее детектирование любых атак на оборудование, обнаружение злоумышленника в сети. Если ловушка сработала, значит, в сети уже присутствует злоумышленник, который остался незамеченным другими системами безопасности, как сетевыми, так и агентами на конечных точках. Выявление зловредов позволяет службе безопасности выиграть время при расследовании инцидента, пока злоумышленник работает с ловушками Deception и пытается продвигаться в обманной инфраструктуре.
Расследование ИБ-инцидентов
Обычно используются два основных вида ловушек, легкие и интерактивные. Легкие ловушки не требуют серьезных ресурсов для работы, но полностью поддерживают сетевые протоколы того оборудования, которое они имитируют. Их цель – просто фиксировать попытку проникновения. Такие легкие ловушки могут быть быстро и массово развернуты в реальной инфраструктуре. Поэтому они эффективны, если требуется закрыть как можно больше видов оборудования, то есть создать сеть ловушек буквально на одном сервере.
Второй тип – интерактивные ловушки, которые представляют из себя полноценные операционные системы с установленным на них софтом. Если вредоносная программа получает доступ к интерактивной ловушке, то система собирает детальную информацию о ее поведении, включая использованный ею доступ, запущенные процессы и их параметры, характер собираемых и подгружаемых извне данных, дополнительные используемые инструменты. Все инструменты автоматически копируются для исследования в другие системы безопасности, например в песочницы. Одновременно собирается полная информация о техниках и тактиках проникновения, а также индикаторы компрометации, такие как хеш-суммы скачанных файлов, используемые команды.
Интерактивные ловушки помогут выявить цели злоумышленника и собрать наиболее полную пошаговую картину процесса проникновения, список использованных зловредом инструментов для продвижения по сети. Именно так Deception помогает команде, которая занимается расследованием инцидентов.
Применение технологий машинного обучения
Машинное обучение позволяет избавить команду ИБ от лишних усилий при использовании Deception. Оно используется для генерации ловушек, чтобы те выглядели реалистично, но в то же время не являлись полными копиями друг друга или реальных хостов.
Машинное обучение позволяет провести анализ реальных данных в сети и сгенерировать ложные данные для приманок, что также снижает объем работы специалистов, которые занимаются внедрением системы.
Машинное обучение также помогает сформировать реалистичное поведение каждой ловушки, проанализировав работу сети и сымитировав реальный трафик.
Deception: еще один очаг автоматизации, легкая интеграция с другими системами
Deception естественным образом интегрируется с системами класса SIEM и SOAR. Deception также может интегрироваться с другими системами сетевой защиты, например с файрволами или с агентами на рабочих местах.
Самый популярный вариант с точки зрения автоматизации – когда Deception подает сигнал для блокировки процессов или рабочей станции, с которой обнаружена атака.
При этом собираемые индикаторы компрометации Deception может передать другим системам в автоматическом режиме для того, чтобы они заблокировали и другие хосты при выявлении этих индикаторов. Это может быть контрольная сумма, IP-адреса или домены внешних соединений, запущенных злоумышленником.
Пилотный проект
Deception, как и любой программный продукт, может быть развернут в инфраструктуре заказчика для демонстрации своей практической применимости. Впрочем, стоит учесть, что Deception обычно не проявляет себя, а только ожидает атаку и готовится заманивать злоумышленников к себе. Поэтому в рамках пилотного проекта демонстрируется не только запуск Deception внутри инфраструктуры, но и проводится определенный набор атак, которые потенциально могут быть осуществлены как извне, так и снаружи.
Существует определенный набор этапов демонстрации, согласованный заказчиком, в рамках которого показывается работа системы при тех или иных атаках. Иногда возникают интересные кейсы, когда заказчик видит, что установленные у него системы безопасности никак на атаки не реагируют. Таким естественным образом показывается необходимость использования технологии Deception.
Импортозамещение, уход иностранных решений
События начала 2022 г. показали, что тренд, который задавало правительство последние несколько лет, пытаясь убедить крупные компании, банки и промышленные предприятия использовать максимально отечественный софт, был крайне правильным и необходимым. Сейчас ряд вендоров информационной безопасности уходит с российского рынка. Причем некоторые вендоры уходят, громко хлопая дверью: они отзывают лицензии на свой софт, и тот либо вовсе перестает работать, либо работает с минимальными возможностями. То есть, по сути, открывается возможность проникновения злоумышленников без обнаружения в сети этих заказчиков. С этой точки зрения Deception российского производства становится важным элементом сохранения защищенности инфраструктуры на переходный период.
Отметим, что отечественные решения по информационной безопасности по многим направлениям очень достойно выглядят на общемировом фоне. В частности, российские решения класса Deception прекрасно решают поставленные перед ними задачи защиты инфраструктуры.
