Андрей Нуйкин, 17/05/22
Автор: Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем ЕВРАЗ
Участники:
Алексей Макаров, технический директор Xello
Александра Савельева, координатор проектов АВ Софт
Владимир Соловьев, руководитель направления внедрения средств защиты АО “ДиалогНаука”
Ольга Чуприкова, технический специалист Fortis
Иван Шаламов, менеджер продукта R-Vision Threat Deception Platform (TDP) Александр Щетинин, генеральный директор Xello
Ты помнишь, как все начиналось...
В свое время мы пришли к пониманию, что необходимы системы, оповещающие о том, что в сети происходит что-то подозрительное или присутствует посторонний. В качестве решения в первую очередь мы обратили внимание на ханипоты, изучили коммерческие решения, потом переключились на Open Source. Его мы для начала и решили попробовать, чтобы проверить наши гипотезы и вообще качественно посмотреть на получаемые результаты.
Мы развернули сеть ханипотов, и результат ее работы нам понравился. Основная решенная задача – это условный колокольчик, который должен вовремя прозвенеть, если кто-то его потрогал. У нас стоит система SIEM, которая принимает сигнал от ханипота, а дальше срабатывают наши стандартные процедуры реагирования. При этом мы не ставили себе целью задержание злоумышленника.
Первое знакомство: сложности внедрения Deception
Чуть позже мы познакомились с одной компанией, которая предложила модифицировать наш подход и применить платформу класса Deception. То есть теперь не нужно разворачивать фейковые хосты и сервисы, а ловушки размещаются на базе нашей существующей инфраструктуры. Идея нам показалась хорошей: разместить на хостах скрытых пользователей, скрытые папки и отслеживать реакцию на них.
Почти сразу возник первый вопрос: как развернуть эти фейковые учетные записи, папки на компьютерах наших пользователей и на серверах? Проблема заключалась в том, что в рассматриваемом нами решении для размещения ловушек на все хосты требовались права доменного администратора либо локального, но одинакового на всех машинах.
Но права доменного админа мы не предоставляем вообще никому, а от пользователей, которые имели бы доступ ко всем компьютерам, мы целенаправленно отказались. Связано это с тем, что, найдя запись общего администратора на одной машине, потенциальный зловред получал в распоряжение все хосты. Поэтому для создания локальных администраторов у нас используется решение LAPS (Local Administrator Password Solution). На каждом компьютере LAPS создает уникальный пароль локального администратора, прописывает их в домене, но больше никому не сообщает. И в этом состояла непреодолимая сложность во внедрении Deception, поскольку в таких условиях рассматриваемое нами решение работать попросту не могло.
Комментарии экспертов
Владимир Соловьев, ДиалогНаука: Одна из основных сложностей при внедрении решений класса Deception – необходимость наличия учетной записи с высокими привилегиями, которые требуются для размещения приманок. Причем, как правило, в основном речь идет об учетной записи локального администратора, расположенной на всех хостах. Для минимизации возможных рисков необходимо поставить учетную запись локального администратора на контроль использования вне системы. Дополнительно можно настроить сценарий блокировки данной учетной записи в связке со сторонними средствами защиты в случае обнаружения нелегитимного использования.
Иван Шаламов, R-Vision: В случае R-Vision TDP при размещении приманок права локального администратора потребуются далеко не в каждом случае. Права доменного администратора могут пригодиться только для удобства массового распространения приманок в инфраструктуре, а для размещения ловушек административные права не понадобятся вовсе.
Алексей Макаров, Xello: При внедрении Xello Deception есть несколько вариантов распространения приманок. Первый способ не требует предоставления прав локального или доменного администратора и ориентирован на встроенные инструменты операционных систем или сторонних решений: групповые политики (Group Policy, GPO), диспетчер конфигурации системного центра (System Center Configuration Manager, SCCM), инструменты управления удаленных устройств (Mobile Device Management, MDM) или, например, с помощью агента стороннего решения. Второй вариант предполагает предоставление прав локального администратора на время распространения. По итогам реализации данной задачи права можно отозвать. Третий вариант подразумевает интеграцию с решениями класса LAPS (Local Administrator Password Solution).
Ольга Чуприкова, Fortis: DDP включают несколько слоев: сетевые ловушки, данные и приманки на АРМ (сессии RDP/SSH, сетевые диски, фейковые учетные данные, ведущие на сетевые ловушки). Идеально, когда задействованы все слои. Для распространения токенов на АРМ могут использоваться способы, не требующие предоставления административных прав системе (GPO, SCCM etc). Решение TrapX DeceptionGrid, например, ориентированно прежде всего на достоверность сетевых ловушек и способно показать эффективность в тех средах, где АРМ пользователей просто нет (например, DMZ).
Александра Савельева, АВ Софт: Практика показывает, что Deception-решение LOKI внедряется достаточно несложно и не требует больших ресурсов оборудования. Кроме того, мы стараемся не оставлять заказчиков один на один с дистрибутивом системы, поэтому всегда проводим пилотные проекты, в рамках которых видно, как происходит установка и настройка.
Фиксированная стоимость или подписка?
Второй вопрос, который возник к разработчикам Deception, заключался в схеме тарификации: нам продавали подписку. И я как заказчик не совсем понимаю, что в эту подписку включено. Скажем, когда я подписываюсь на антивирус, то понимаю, что периодически приходят обновления, сигнатуры, правила, и здесь применение подписной модели выглядит оправданным. Но при использовании ловушек предмет для подписки совсем не очевиден.
Ведь если один раз распространить ловушки по инфраструктуре, то дальше система живет, не требуя вмешательства извне. В моем представлении это повод оплатить лицензию и стоимость поддержки на случай, если что-то сломалось и требуется дополнительная экспертиза.
Комментарии экспертов
Ольга Чуприкова, Fortis: Коммерческие системы развиваются гораздо быстрей проектов Open Source. Разработчики постоянно шлифуют свои решения, увеличивают количество средств обмана, совершенствуют текущие ловушки и создают новые, добавляют интеграцию с другими системами безопасности, которые способны предотвращать развивающуюся атаку. Системы обладают способностью определять различные типы взаимодействия и тактик атак, что также требует обновления. То есть в рамках подписной модели вы платите за постоянно расширяющуюся функциональность, а не просто за техническую поддержку продукта.
Владимир Соловьев, ДиалогНаука: Разработчики Deception-решений не стоят на месте, также как и злоумышленники, которые придумывают всё более изощренные техники. Если установить систему и оставить ее жить своей жизнью, то особого смысла от нее не будет. Злоумышленники поймут, что их обманывают, тем самым будут с легкостью находить фейковые объекты. С выходом новых версий появляются новые модули и компоненты, а также обновляются данные по приманкам (классы, их расположение и т.д.). Что касается схемы тарификации, то она сильно зависит от вендора. По нашему опыту, большинство вендоров предусматривает возможность покупки как подписки, так и бессрочной лицензии с ежегодной техподдержкой.
Александра Савельева, АВ Софт: Рассуждения автора нам близки, поэтому наш подход подразумевает как раз фиксированную стоимость за лицензию LOKI.
Иван Шаламов, R-Vision: Мы предлагаем гибкую систему лицензирования, как предоставление услуги по подписке, так и бессрочные лицензии. Оба формата подразумевают наличие технической поддержки, в рамках которой происходит регулярное обновление ПО, то есть добавление нового функционала, новых типов ловушек и приманок. Различие двух вариантов лицензирования заключается в том, что при оформлении подписки доступ к платформе возможен только в течение срока ее действия, в то время как при бессрочной лицензии доступ не ограничен, а в стоимость также входит год техподдержки, которую можно продлить в дальнейшем.
Александр Щетинин, Xello: Реальность такова, что единого стандарта в ценообразовании решений класса Deception нет и в первую очередь необходимо смотреть на предложение конкретного вендора. Иногда формат подписки предполагает исключительно удобство в формате оплаты – постепенное внесение платежей. Например, Xello Deception можно приобрести как по подписке, так и оплатив лицензию одним платежом. При этом мы никак не ограничиваем наших клиентов. Реализовывая новую функциональность платформы и расширяя типы приманок, мы даем возможность устанавливать обновления всем клиентам.
Deception и другие агенты
Еще один вопрос: как будет реагировать установленное на серверах и рабочих станциях антивирусное ПО на то, что некий процесс пытается инжектировать в систему пользователей и файлы?
Например, DLP тоже иногда конфликтует с антивирусом, и необходимо добавлять агент DLP в исключения, чтобы антивирус не считал его зловредом с удаленным управлением. Пока непонятно, нужно ли для Deception настраивать такое исключение и в каком объеме. Не получится ли так, что потребуется исключать из рассмотрения антивируса целый диск, что само по себе неприемлемо.
Отдельный вопрос касается вычислительных ресурсов, ведь кроме собственно рабочего ПО на компьютерах есть EDR, антивирусы, DLP, UBA.
При это создается заметная дополнительная нагрузка на рабочее место, ведь часто агенты требуют достаточно серьезных ресурсов, постоянно или временно. Нужно учитывать, что у нас до сих пор еще есть в регионах компьютеры, для которых норма – 4 Гбайт памяти. Не получится ли в результате безопасное рабочее место, на котором невозможно работать?
Комментарии экспертов
Иван Шаламов, R-Vision: Действительно, при агентском способе размещения приманок создается дополнительная нагрузка на рабочие места. Кроме того, агент может быть легко обнаружен не только злоумышленником, но и пытливым пользователем. В R-Vision TDP реализовано безагентское размещение приманок, за счет чего подобные проблемы исключены, при этом платформа не перегружает инфраструктуру заказчика. Таким образом, приманки, размещенные на конечных устройствах, не будут конфликтовать со средствами защиты, поскольку являются обычными файлами.
Алексей Макаров, Xello: Сегодня на рынке есть как решения, использующие агент для распространения приманок, так и те, что обходятся без него. Xello Deception как раз относится к последнему типу, не создавая дополнительной нагрузки на инфраструктуру и распространяя приманки без агента. Платформа включает в себя сервер управления и сервер-ловушку. Весь трафик между этими компонентами шифруется. Взаимодействие происходит в одну сторону, от сервера-ловушки к серверу управления, предоставляя возможность развертывания серверов-ловушек в защищенных сегментах сети. Для установки решения потребуется один или два виртуальных сервера.
Александра Савельева, АВ Софт: Наша практика показывает, что агенты (сенсоры) системы LOKI не конфликтуют с другими легитимными агентами на устройстве и в сети.
Ольга Чуприкова, Fortis: Токены на АРМ устанавливаются и работают без агентов и не требуют для поддержания их работы никаких ресурсов. Чтобы исключить блокировку распространения токенов, в некоторых системах безопасности эндпойнтов необходимо вносить исключения, но они будут затрагивать не весь диск, а лишь установочный файл или его MD5.
Владимир Соловьев, ДиалогНаука: Любое действие, выполняемое Deception-системой на хосте, порождает моментальный процесс, который запускается, выполняет ряд требуемых функций и завершается. Информация по таким процессам обычно доступна и может быть использована для добавления в исключения в сторонних системах, таких как AV, EDR и др. В современном мире любое Enterprise-решение поддерживает из коробки функционал исключений, куда можно добавить имя и хеш процесса для предотвращения конфликтных ситуаций между решениями. Это довольно проработанный механизм, который применяется во всех решениях повсеместно.
Рекомендации для настроек
Давно не секрет, что современные зловреды предварительно тестируются в хакерских лабораториях на предмет детектирования антивирусами и другими средствами защиты, а затем пересобираются, чтобы остаться незаметными для них. Попадая в систему, зловреды пытаются разными способами убедиться, что на заражаемой машине работает живой человек или реальный сервер, а не ловушка или песочница.
Было бы удобно, если Deception после установки, исходя из ситуации на конкретном хосте, мог давать рекомендации относительно изменения настроек для повышения защищенности этого хоста. И лучше это делать, как только агент системы попал в систему, не дожидаясь реальных инцидентов. Речь о Best Practice по конфигурированию операционных систем Windows, Linux.
Конечно, мы и сами проводим мероприятия по настройке операционных систем в аспекте информационной безопасности. Но Deception, основываясь на известных тактиках зловредов, могут сделать ценные дополнения для настроек, снижающих риски успешных атак.
Отдельный вопрос касается взаимодействия ловушек с центром управления. Команде ИБ на стороне заказчика важны готовые рекомендации по настройке других установленных средств защиты, чтобы трафик общения элементов Deception с командным центром был защищенным и не поддавался перехвату.
Комментарии экспертов
Алексей Макаров, Xello: Современные Deception-платформы ушли далеко за пределы обычных ханипотов. Именно поэтому Xello Deception практически не требует ресурсов со стороны клиента для конфигурации решения. После установки платформа выполняет все необходимые действия в автоматическом режиме: анализирует инфраструктуру, генерирует приманки и распространяет их. Мы как вендор готовы консультировать наших клиентов как по лучшим практикам интеграции решения с другими средствами защитами, так и по развертыванию во всех сегментах сети.
Владимир Соловьев, ДиалогНаука: Рекомендации относительно изменения настроек для повышения защищенности хоста относится все же к функционалу другого класса решений – Vulnerabilities Management, которые выявляют уязвимости на хостах и дают рекомендации по повышению уровня защищенности. Идея Deception только в том, как эффективно обмануть злоумышленника. Что касается межкомпонентного взаимодействия, то обычно все соединения шифруются сертификатом и строятся по защищенным протоколам.
Ольга Чуприкова, Fortis: TrapX DeceptionGrid во время установки токенов проверяет степень защищенности конечного устройства и формирует профиль безопасности для каждого хоста. Он также позволяет выявить все известные инструменты, приемы и тактики атак, описанные в базе знаний MITRE ATT&CK, а также оценить по ним степень защищенности вашей сети. На основе этих данных система выдает рекомендации, какие ловушки лучше всего разместить, чтобы они выглядели максимально реалистично для каждого сегмента сети.
Иван Шаламов, R-Vision: Основная задача Deception – обнаружение злоумышленника и замедление его продвижения внутри сети. Несмотря на то что анализ настройки хоста не является прямой задачей этого класса решений, платформа R-Vision TDP может помочь в обнаружении уязвимостей. Индикаторы компрометации, собранные в R-Vision TDP, могут быть переданы в системы киберразведки (TI), которые могут обогатить их контекстом, выявить взаимосвязи с другими данными TI, а также экспортировать на СЗИ для блокировки.
Не вырастить монстра
Постоянная проблема, с которой регулярно приходится сталкиваться, – это постепенное превращение продукта со специализированной функциональностью в универсальный комбайн. Часто вендор, создавший небольшой успешный продукт для решения конкретной задачи, начинает его развивать и нагружать дополнительным функционалом. Наверное, интересно дополнять продукт новыми возможностями для решения смежных задач, но, может быть, не стоит распылять силы и лучше остаться сфокусированным на изначальной постановке проблемы?
В части Deception, наверное, можно и комплаенс проверить, и расследование провести. Но это приводит к увеличению объема агента, растет нагрузка на ресурсы хостов, усложняется администрирование.
Поэтому важно найти баланс, который позволит развивать решение, но не превращать его в монстра с большим количеством отвлеченных и непонятных функций, которые большинство пользователей проигнорирует.
Можно в качестве компромиссного варианта развивать в системе модульность, чтобы каждый заказчик мог из конструктора собрать нужный себе функционал и только за него заплатить.
Комментарии экспертов
Владимир Соловьев, ДиалогНаука: Увы, некоторые разработчики действительно, как говорится, "скрещивают ужа и гадюку", но сказать это про разработчиков Deception-решений, c которыми мы работаем, нельзя! Весь дополнительный функционал, например в виде высокоинтеллектуальных ханипотов, с помощью которых можно наблюдать за действиями злоумышленника, попавшего на этот хост, либо функционал зачистки инфраструктуры от закешированных или сохраненных привилегированных учетных записей, – все это является отличным дополнением к стандартному функционалу Deception.
Александра Савельева, АВ Софт: LOKI имеет гибкую функциональную структуру и разработана с учетом возможных ресурсных ограничений на реальной инфраструктуре. Поэтому системные требования к оборудованию у нее весьма низкие, что позволяет рабочим станциям и серверам продуктивно работать, не особо замечая нагрузку от Deception.
Иван Шаламов, R-Vision: Мы понимаем ширину спектра задач, стоящих перед ИБ-специалистами, и солидарны в том, что добавлять функционал других классов решений в продукт не всегда уместно. Именно поэтому мы развиваем экосистему продуктов R-Vision с различным функционалом и возможностями, за счет чего при разработке R-Vision TDP сосредотачиваемся на основных задачах этого класса решений. При этом все продукты R-Vision легко адаптируются под специфику заказчика, а также интегрируются друг с другом. В результате заказчик получает от продуктов ровно тот функционал, который ему необходим.
Ольга Чуприкова, Fortis: Основная цель Deception – ввести злоумышленника в заблуждение и заставить его выдать себя. Понятной аналогией будет именно охранная сигнализация, а не, к примеру, противоугонная система. Стоит ожидать увеличения покрытия большего количества атакуемых систем, развития активного Defence и покрытия популярных технологий. TrapX DeceptionGrid, например, теперь поддерживает ловушки в Kubernetes. Брать на себя функции других систем действительно нет смысла, и для этого решения развиваются в сторону интеграций с профильными системами.
Deception в мультивендорной среде
Еще один интересный вопрос касается обмена информацией между разными продуктами. Все обычно хорошо работает в моновендорной среде: все системы обмениваются событиями, индикаторами компрометации. Но в случае, когда антивирус одного производителя, песочницы другого, Deception третьего, общение обычно сильно осложняется, а оно крайне важно. Если Deception обнаруживает попытки проникновения, то очевидно, что необходимо поделиться индикаторами с другими используемыми средствами защиты – с файрволом, антивирусом.
Безусловно, хорошо, что вредоносные действия обнаружены и заблокированы, но где гарантия, что повторная атака не пойдет. Нужно внести изменения на периметре, выставить дополнительные барьеры, заблокировать ip-адреса и url, но без дополнительной информации от Deception сделать это практически невозможно.
Может показаться, что эту функциональность должны выполнять системы класса SOAR. Это отчасти справедливо.
Но система SOAR весьма недешевое удовольствие, и если ее нет, то все равно должна быть возможность простого получения важной информации об инциденте через выгрузку XML-файлов, через API или другим несложным способом.
На следующем уровне этой проблемы системы Deception должны делиться индикаторами компрометации с производителями средств защиты – тех же антивирусов, чтобы они учитывали информацию в своих сервисах, повышая защищенность.
Комментарии экспертов
Владимир Соловьев, ДиалогНаука: В основном все интеграции между Deception-системами и сторонними решениями реализуются с помощью API, позволяя выгружать необходимые данные. Решения классов SOAR, IRP и SIEM максимально упрощают интеграционные вопросы, но все равно требуют заметных ресурсов для настройки и администрирования. В случае отсутствия у заказчика вышеупомянутых решений можно написать ряд скриптов, выполняющих похожий функционал, например, на языке программирования Python.
Ольга Чуприкова, Fortis: В TrapX DeceptionGrid доступны интеграции с большим количеством ИБ-систем. Подобные связи позволяют оперативно влиять на развитие атаки: добавить запрещающее правило на NGFW, легко или мгновенно отрезать хост от сети с помощью NAC-систем. Из коробки доступно множество подобных интеграций (Sandbox, NGFW, NAC, EDR, SIEM и т.д.), для других систем существует специальный API. Уже на данный момент решение позволяет эффективно делиться информацией и продолжает совершенствовать этот аспект.
Александра Савельева, АВ Софт: Для нас очевидна важность работы Deception как дополнительного эшелона системы защиты, поэтому LOKI может удобно интегрироваться с другими вендорами и системами, такими как песочницы, SIEM, IRP и SOAR.
Алексей Макаров, Xello: В Xello Deception есть встроенный модуль для сбора и обработки событий со всех источников платформы, а также смежных систем для реагирования на инциденты безопасности. При возникновении нелегитимной активности решение собирает с зараженного хоста большое количество данных о состоянии системы: активные сетевые подключения, запущенные сервисы и службы, активные пользователи и др. Эти данные могут повысить эффективность SOC, а также помочь в расследовании киберинцидентов. Кроме того, открытый API предоставляет широкие возможности для интеграции со сторонними средствами защиты, обогащая их.
Иван Шаламов, R-Vision: При разработке продуктов R-Vision мы учитываем необходимость интеграции с решениями других вендоров. В R-Vision TDP реализована передача данных по стандартным протоколам в такие внешние системы как IRP, SOAR, SIEM, TIP и др. Кроме того, R-Vision TDP поддерживает тесную интеграцию с платформами R-Vision IRP и R-Vision TIP, в которые также возможно передать данные для настройки сценариев реагирования на инциденты и информацию по индикаторам компрометации для дальнейшей передачи на СЗИ.
Deception для технологического сегмента сети
Идея применить ловушки для технологической сети соблазнительна, но внедрение новых технологий в этом сегменте сети всегда происходит достаточно сложно. Страшновато влезать внутрь промышленных систем, ведь они могут повести себя непредсказуемо и нарушить непрерывность производственных процессов предприятия.
Все-таки если в корпоративной сети что-то сломается и пользователь, к примеру, не получит почту, эта ситуация не станет критичной. Но выход из строя компьютера в технологической сети может привести буквально к катастрофе. Поэтому с инфраструктурой технологического сегмента приходится обращаться очень аккуратно.
Может быть, стоит в качестве первого шага разместить там ханипоты, то есть просто виртуальные машины, которые впрямую не затрагивают инфраструктуру, но уже создают определенный эффект. Очевидно, что надо будет их настраивать именно на промышленные порты, протоколы, чтобы ханипот обозначал себя именно как промышленный компьютер, а не "десятка" из корпоративной части.
А уже после ханипотов можно переходить и к внедрению в промышленном сегменте Deception. Конечно, готовая компетенция вендора в области технологической сети, а также опыт успешных внедрений на предприятиях схожей специфики сильно упростили бы принятие решения.
Комментарии экспертов
Александра Савельева, АВ Софт: Система LOKI применяется нами не только для корпоративной сети, но и успешно адаптируется под любые типы устройств в технологическом сегменте. Причем работа Deception не сказывается негативно на работе промышленного оборудования.
Ольга Чуприкова, Fortis: Для использования TrapX DeceptionGrid не обязательно лезть внутрь промышленных систем, продукт обладает возможностью сканирования технологической сети, создавая максимально реалистичные сетевые ловушки. В системе присутствуют шаблоны ловушек для разных контроллеров, SCADA-устройств, SAP и т.д. При необходимости можно сэмулировать любое сетевое устройство, для этого предусмотрен встроенный функционал, который сканирует выбранный хост по открытым портам, смотрит отпечаток ОС и создает на базе найденных данных новый шаблон ловушки.
Иван Шаламов, R-Vision: Варианты внедрения Deception для АСУ ТП могут разными: размещение ловушек возможно как в технологическом сегменте, так и в КСПД на входе в технологический сегмент. Обычно в случае, если имеется сетевая связность между корпоративным и технологическим сегментами, заказчики рассматривают гибридное размещение ловушек и приманок.
Владимир Соловьев, ДиалогНаука: Внедряя Deception-решения у наших заказчиков, в том числе и на хосты технологического сегмента сети, мы не увидели каких-либо проблем, связанных с воздействием решения на повседневное функционирование серверов. Чаще всего проблемы возникают после сетевого взаимодействия: например, поставили новый шлюз и не прописали правило или кто-то удалил сетевой проход просто потому, что не было оставлено соответствующих комментариев при настройке. В любом случае размещение ханипотов по соседству с высокозначимыми серверами не только поможет обмануть злоумышленника, но и предоставит возможность увидеть в реальном времени все его действия, направленные на достижение своей цели. Предупрежден – значит вооружен.
Развитие Deception
Я думаю, что решения Deception будут развиваться и трансформироваться примерно так же, как антивирусы или DLP. Наверняка будет совершенствоваться незаметность ловушек с точки зрения атакующих, будет появляться новый функционал в агентских модулях. Есть ощущение, что со временем Deception сможет заменить собой антивирусы и EDR на хостах, а может быть и включиться в состав этих решений.
Мы, к слову, изучаем возможность миграции с нашего нынешнего антивируса на более современное и интересное решение. Хороший вопрос: можно ли уже сейчас рассматривать Deception как замену EDR? То есть не разворачивать EDR, а установить простейший антивирус, может быть даже встроенный в операционную систему, и добавить Deception. Первый будет защищать от известных зловредов, а второй будет обеспечивать прикрытие от новых угроз и собирать дополнительную информацию для расследования.
Конечно, мне как заказчику не очень нравится, когда на эндпойнте функционируют несколько разных агентов. Гораздо удобнее, если работает один агент, который более рационально тратит ресурсы и которым проще управлять с единой консоли. Проблема усугубляется тем, что у многих до сих работают много старых и относительно слабых компьютеров, которые по тем или иным причинам заменить не получается, а обновление для установленных на них операционных систем уже не выпускают. И нам как раз важно защитить именно эти машины, нуждающиеся в наложенных средствах, для обеспечения нужного уровня безопасности.
У нас активно также используется и развивается микросервисная архитектура для приложений. Нам интересно, как и для этой сферы можно применить ханипоты и Deception.
В завершение расскажу, как мне на глаза не так давно попалась система, похожая по функциональности на ловушки. Она работает на хостах и на все подозрительные проверочные запросы, которые к ней попадают, всегда отвечает "да". То есть когда зловред спрашивает: "Я в песочнице?" – "Да, ты в песочнице!" "А русская раскладка установлена?" – "Да, установлена!" – "А антивирус здесь есть?" – "Да, целых два!" Расчет на то, что, ориентируясь только на описание, зловред поймет бесперспективность атаки на хост. Возможно, такая функциональность была бы востребована в Deception уже сейчас.
Комментарии экспертов
Владимир Соловьев, ДиалогНаука: Говорить про взаимозаменяемость разных решений, на мой взгляд, некорректно. Как раз очень хороший пример – антивирус (EPP) и EDR. Оба класса решений защищают конечные точки от злоумышленников и прекрасно дополняют друг друга. Также и в случае с использованием Deception было бы неправильно отказаться от антивирусов и EDR. Да, Deception выявит злоумышленника в сети, но обнаружить вредоносное программное обеспечение или составную целенаправленную атаку, скорее всего, не сможет. На мой взгляд, лучший подход – комплексный. А подход с положительными ответами на все поступающие проверочные запросы выглядит интересным, только, на мой взгляд, это, наоборот, заставит злоумышленника насторожиться и дважды продумывать каждый шаг атаки.
Иван Шаламов, R-Vision: Технологии Deception активно развиваются, и мы предполагаем, что в дальнейшем они смогут стать заменой решений класса IDS. За счет учета специфики отрасли и особенностей инфраструктуры заказчиков R-Vision TDP более эффективен, чем стандартные средства обнаружения. Мы уверены, что в будущем каждая компания станет использовать Deception.
Алексей Макаров, Xello: Решения класса Deception будут впитывать в себя подходы из смежных областей. Будут развиваться формы обмана злоумышленника, а также методы защиты данных, которые позволят усложнить технологически путь к ним. DDP-платформы уже сейчас предоставляют командам информационной безопасности полноценные инструменты не только для раннего обнаружения и реагирования на киберинциденты, но и для исследования техник и тактик злоумышленника. Эти аналитические данные позволят компаниям адаптировать свою стратегию к новым угрозам и обеспечить автоматизацию ответных действий.
Александра Савельева, АВ Софт: Наше видение: будущее у Deception радужное. Будут совершенствоваться аналитические возможности платформы, функциональность дополнится и сопутствующими модулями, например сканированием устройств на уязвимости.
Ольга Чуприкова, Fortis: Мы не заменяем, а дополняем экосистему организации. Deception вступает в бой, когда периметральная защита не справилась и атакующий уже находится в сети. Для DDP-систем важно затруднить и снизить скорость передвижения злоумышленника внутри корпоративной сети, а также своевременно уведомить об этом, чтобы было максимум времени на анализ происходящего и своевременного принятия мер по локализации атаки. Deception в скором времени станут такой же неотъемлемой частью комплексных систем информационной безопасности, какими в свое время стали IPS, NGFW, SIEM, Sandbox и EDR.
