Контакты
Подписка 2025
Статьи по информационной безопасности

Deception: стратегическое решение для выявления инцидентов и реагирования на них

Александр Щетинин, 11/04/22

Согласно отчету M-Trends 2021 компании FireEye [1], медианное время незаметного присутствия злоумышленника в инфраструктуре предприятия составляет 24 дня. Этого достаточно, чтобы выявить наиболее слабые места инфраструктуры и получить доступ к ней с правами администратора для дальнейшей эскалации атаки. Будет ошибкой сказать, что бизнес не принимает меры для защиты информационных активов и данных. В среднем компании внедряют 47 различных решений и технологий кибербезопасности, согласно данным Ponemon Institute [2]. Но насколько они эффективны в условиях цифровой трансформации бизнеса?

Автор: Александр Щетинин, генеральный директор Xello

Продвинутые межсетевые экраны становятся уязвимыми по мере того, как периметр компании размывается из-за внедрения облачных технологий и организации удаленного доступа с устройств сотрудников. Мониторинг событий безопасности оказывается менее эффективным, если инфраструктура предприятия включает в себя огромный массив информационных активов, который генерирует большой поток ложных срабатываний. Этот метод требует финансовых затрат со стороны бизнеса и квалифицированных специалистов для постоянного анализа и выявления реальных киберинцидентов.

Игра на опережение

Принцип технологии обмана был заложен более двадцати лет назад в первой сети ханипотов (Honeynet Projects). Эти специальные компьютерные системы создавались для имитации вероятных целей злоумышленника. Первоначально они использовались для обнаружения новых вредоносных программ и оценки их распространения, об этом уже написана не одна статья.

Но современные решения класса Deception – DDP (Distributed Deception Platform) сильно продвинулись за пределы обычных ловушек для хакеров.

Команда Xello уже не первый год развивает собственную Deception-платформу. Интерес к этой технологии значительно вырос за последние пять лет, но до сих пор наблюдаем, как клиенты отождествляют DDPплатформы с ханипотами. У последних есть существенные ограничения: более узкая область применения, сложности с маскированием, необходимость в постоянной доработке.

В отличие от ханипотов технология обмана перенаправляет злоумышленника в контролируемую среду, которая изолирована от производственной.

Новые возможности

При разработке стратегии информационной безопасности необходимо учитывать сегодняшнюю парадигму: если кто-то вас хочет взломать, он обязательно это сделает. У киберпреступников могут быть все финансовые и технологические ресурсы для реализации атаки на вашу инфраструктуру или же достаточно времени для того, чтобы изучить ее и найти уязвимости, позволяющие преодолеть периметр компании. К ключевым задачам команд информационной безопасности можно отнести:

  • сокращение среднего времени обнаружения и реагирования на инциденты (MTTD и MTTR);
  • минимизацию финансовых и репутационных издержек в результате инцидента безопасности.

Многие системы обнаружения угроз базируются на принципах моделирования зловредного поведения и поиска совпадений либо хорошего поведения и поиска отклонений. Они становятся менее эффективны в случае сложных и ранее неизвестных атак, в то время как современные решения класса Deception позволяют выявлять еще неизвестные векторы атак.

В Xello Deceiption используется безагентский способ распространения и управления ловушками и приманками; хостовые агенты для размещения ловушек и поддержания связи с сервером управления отсутствуют – таким образом, злоумышленнику невозможно детектировать решение.

Раннее обнаружение нелегитимных действий

Deception-платформа позволяет создать автономную виртуальную среду, которая будет состоять из различных ложных данных: базы данных, сервера, конфигурационных файлов, сохраненных паролей, учетных записей и т.д. Они автоматически распределяются среди существующих информационных ресурсов компании. Если конечная точка попытается получить доступ к любому из этих активов, вполне вероятно, что она скомпрометирована, поскольку для такой деятельности нет законных оснований. Уведомления мгновенно отправляются на централизованный сервер, который записывает затронутую приманку и векторы атак, используемые киберпреступником. Инструменты технологии обмана предоставляют преимущества для раннего обнаружения злоумышленников, что является ключом к минимизации ущерба.

Предотвращение бокового перемещения злоумышленника Используя скомпрометированные учетные записи пользователей с контроллером домена Active Directory, злоумышленник может проникнуть в корпоративную сеть, повысить свои привилегии и пытаться продвигаться дальше внутрь сети. На этапе внутреннего перемещения он может столкнуться с ложными активами, при взаимодействии с которыми будет направлено предупреждение внутренним специалистам. Технология обмана позволяет создавать данные, наиболее привлекательные для злоумышленника, чтобы натолкнуть его на взаимодействие с ними и продолжение своего движения уже внутри изолированной среды.

Повышение эффективности SOC

Ложные данные являются индикаторами для внутренних систем мониторинга и позволяют снизить количество ложных срабатываний. Интеграция Xello Deception c SIEM-системой дает возможность сделать реагирование и мониторинг эффективнее, ведь платформа гарантирует низкий процент ложных срабатываний, что, в свою очередь, экономит ресурсы SOC и повышает точность его работы.

Автоматическая форензика по инцидентам в режиме реального времени

Современные Deception-платформы могут агрегировать криминалистические данные, включая индикаторы компрометации и тактики, методы и процедуры злоумышленников. Это позволяет организациям быть на шаг впереди, давая полную картину логики действий злоумышленников.

Расширение видимости киберрисков

Информация, получаемая по итогам выявленных инцидентов безопасности, позволяет сформировать более полную карту самых популярных векторов для атак конкретно для вашей организации.

Кроме того, вся информация о распространенных по сети приманках хранится в Xello Deception, поэтому их удаление никак не влияет на инфраструктуру.

Поддержка VDI

В новом обновлении платформы Xello Deception 4.8 была реализована поддержка инфраструктуры виртуальных рабочих мест (VDI).

Спрос на организацию VDI-мест обусловлен не только переходом бизнеса на гибридную модель работы, но и трендом на мобильность сотрудников. Однако процесс миграции влечет за собой серьезные риски в аспекте информационной безопасности.

  1. Расширение периметра кибератаки: компрометация одного конечного клиентского устройства способна дискредитировать всю среду VDI.
  2. Обеспечение кибербезопасности большого числа копий операционных систем.
  3. Реализация мер защиты с учетом специфики работы виртуализированной среды: например, внедрение ресурсоемкого решения для обеспечения безопасности (классические агентские средства защиты) может привести к снижению коэффициента консолидации виртуальных машин или вызвать задержки загрузки операционных систем.

Таким образом, переход на подобную модель работы требует от отделов кибербезопасности не только тщательных организационных мер, но и грамотного подхода при выборе решений по кибербезопасности. В среде VDI средства защиты должны оказывать минимально возможное влияние на инфраструктуру. Более короткое время ожидания открытия приложений приводит к повышению производительности труда сотрудников предприятия.

С каждым новым релизом разработчики расширяют количество приманок и способы их распространения. Xello Deception тщательно анализирует модель поведения каждого пользователя. Независимо от конфигурации и предназначения защищаемого хоста – это может быть компьютер бухгалтера, сервер базы данных или ноутбук разработчика – система подберет приманки, программное обеспечение которых используется на этом хосте.

Выводы

Предприятия, использующие технологию обмана в своей стратегии кибербезопасности, могут обеспечить более высокий уровень защиты как всей корпоративной сети предприятия, так наиболее критичных сегментов, а также улучшить показатели среднего времени обнаружения и реагирования на инциденты. В настоящее время это может быть очень актуально в связи с возросшим количеством атак на критическую информационную инфраструктуру [3].

Использование в своем арсенале данной технологии значительно сокращает нагрузку на специалистов кибербезопасности за счет минимизации количества ложных срабатываний, предоставляя высокоточные индикаторы и уменьшая объем бесполезного трафика оповещений.

  1. https://content.fireeye.com/m-trends/rpt-m-trends-2021 
  2. https://attackiq.com/lp/ponemon-study/ 
  3. https://www.interfax.ru/russia/806997 
Темы:DeceptionЖурнал "Информационная безопасность" №1, 2022

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Обмануть, чтобы не быть обманутым. Эксперты о развитии технологии Deception
    И на общемировом, и на российском рынках ИБ заметна тенденция на превращение Deception в важный инструмент защиты, способный не только обнаруживать угрозы, но и активно влиять на стратегии кибербезопасности. Редакция журнала "Информационная безопасность" поинтересовалась у экспертов о практике применения этой технологии и перспективах ее развития в ближайшие годы.
  • Применение систем класса Deception и InfoDiode как пример комплексной системы защиты
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Одним из направлений применения технологии Deception является ее использование в физически изолированных сетях, относящихся к значимым объектам критической информационной инфраструктуры (ЗОКИИ) и опасным производственным объектам (ОПО). #decption
  • Современные системы киберобмана: от статичных ловушек до гибких платформ с широкими возможностями
    Алексей Макаров, технический директор Xello
    Эпоха статичных ловушек давно прошла. Им на смену пришли современные системы киберобмана, решения класса Distributed Deception Platform, как ответ на развитие ландшафта киберугроз (появление новых инструментов киберпреступников и методов получения доступа к инфраструктуре).
  • В ложном слое не может быть легальных пользователей
    Екатерина Харитонова, руководитель продукта “Гарда Deception”, группа компаний “Гарда”
    Deception нередко называют последней линией обороны, однако есть и другое мнение, что это первый шаг активной защиты, отправная точка для проактивных действий в кибербезопасности. На самом деле Deception стоит рассматривать как наступательную стратегию.
  • Безопасность на опережение: сегодняшний день и перспективы технологий HoneyPot и Deception
    Максим Прокопов, основатель HoneyCorn
    Несмотря на изящность идеи Deception, довольно быстро стало очевидно, что стандартный подход к ловушкам не лишен недостатков. Так, злоумышленники могли быстро распознать искусственность инфраструктуры. Например, на Linux-сервере неожиданно появлялся RDP-сервис, или все приманки вели к единой консоли виртуализации, что ее демаскировало.
  • Тернистый путь Deception эпохи импортозамещения в России
    Дмитрий Евдокимов, менеджер по разработке продукта компании “Гарда Технологии” (входит в группу компаний “Гарда”)
    Об особенностях и нюансах развития Deception в условиях масштабного импортозамещения мы поговорили с Дмитрием Евдокимовым ("Гарда Технологии")

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"