Обмануть, чтобы не быть обманутым. Эксперты о развитии технологии Deception

И на общемировом, и на российском рынках ИБ заметна тенденция на превращение Deception в важный инструмент защиты, способный не только обнаруживать угрозы, но и активно влиять на стратегии кибербезопасности. Редакция журнала "Информационная безопасность" поинтересовалась у экспертов о практике применения этой технологии и перспективах ее развития в ближайшие годы.

Эксперты:

• Петр Куценко, руководитель BI.ZONE EDR
• Алексей Макаров, технический директор Xello
• Максим Прокопов, основатель HoneyCorn
• Александра Савельева, исполнительный директор “АВ Софт”
• Владимир Соловьев, руководитель группы внедрения систем защиты от атак, АО “ДиалогНаука”
• Екатерина Харитонова, руководитель продукта “Гарда Deception”
• Александр Щетинин, генеральный директор Xello

Какие метрики эффективности Deception вы считаете наиболее значимыми в реальной эксплуатации?

Александр Щетинин, Xello:

Основная задача систем киберобмана – выявлять сложные угрозы. Но очевидно, что в текущих реалиях компании используют не одно и не два решения, чтобы выявлять их. В рамках этих процессов есть множество метрик – MTTR, MTTD, MTTI, False Negative Rate – и внедряемые решения должны их улучшать.

Максим Прокопов, HoneyCorn:

Если говорить о метриках, которые можно измерить численными показателями:

1. Покрытие ловушками, приманками и иллюзиями максимального количества техник MITRE (количество техник покрытия).
2. Возможность аутентично использовать ловушки и приманки в любом внутреннем сегменте сети предприятия и необходимых внешних (типы сегментов сетей).
3. Наличие ловушек под разные задачи – исследовательские, интерактивные, с отсутствием ложных сработок и т.д.
4. Эффективная система оповещения и реагирования (перечень методов оповещения и возможности реагирования).
5. Производительность, достаточная для работы в промышленных масштабах (количество обрабатываемых событий в секунду). Но есть и метрики, которые являются субъективными, однако не менее важными:
6. Выявление активных действий при тестировании на проникновение или реальной атаке.
7. Повышение эффективности SOC и системы защиты.

Екатерина Харитонова, ГК Гарда:

1. Правдоподобность эмуляции реальных сетевых активов.
2. Скрытность работы.
3. Защищенность самой системы.
4. Нетребовательность к вычислительным ресурсам.

Александра Савельева, АВ Софт:

1. Количество выявленных атак.
2. Соответствие ловушек реальным устройствам.
3. Масштабируемость и отказоустойчивость системы.

Петр Куценко, BI.ZONE:

Для реальной эксплуатации важно обращать внимание на полноту покрытия различных сегментов. Эта метрика также будет работать на скорость обнаружения угроз и количество ложных срабатываний. Кроме того, важно обращать внимание на используемые типы ловушек и приманок для конкретной инфраструктуры, чтобы повышать уровень их привлекательности для злоумышленников.

Владимир Соловьев, ДиалогНаука:

Основными метриками эффективности являются количество реальных инцидентов ИБ, выявленных в рамках функционирования системы, и скрытность – приманки и ловушки должны выглядеть настолько реалистичными и похожими на инфраструктуру заказчика, чтобы злоумышленник, обнаруживший и использующий приманку, не заподозрил, что его хотят обмануть.

Какие виды атак невозможно или сложнее всего обнаружить с помощью Deception?

Александр Щетинин, Xello:

Системы киберобмана работают внутри периметра организации, поэтому наибольшую эффективность они показывают при выявлении атак на стадиях, когда злоумышленник исследует сеть или перемещается по ней. Очевидно, что они будут малоэффективны для выявления угроз на периметре, например, атак типа "отказ в обслуживании" (DDoS) и др.

Петр Куценко, BI.ZONE:

Сложно обнаружить атаки, в ходе которых используются скомпрометированные легитимные учетные записи, ведь в таком случае злоумышленник не будет взаимодействовать с ложной инфраструктурой. Deception также не защищает от атак инсайдеров, поскольку они могут обладать знаниями о реальной инфраструктуре и избегать взаимодействия с обманными активами.

Екатерина Харитонова, ГК Гарда:

Действительно, сложно обнаружить внутреннего злоумышленника со знанием структуры сети и правами администратора в ключевых системах. Системы контроля доступа, поведенческого анализа и анализа сетевого трафика могут пропустить аномалии, связанные с таким сотрудником. Но стратегия ИБ должна увязывать работу всех СЗИ и концепцию Human-Centric Security. А при появлении подозрений эффективным решением могут стать файлы-приманки с критической информацией и контролем за использованием таких файлов.

Владимир Соловьев, ДиалогНаука:

Сложнее всего с помощью систем класса Deception обнаруживать атаки, которые не связаны с использованием ложных учетных данных и сканирований сети, например, эксплуатация уязвимостей, направленных на выполнение произвольного кода на хосте, так как это уже выходит за рамки мониторинга систем класса Deception. То же самое с сетевыми атаками без аутентификации – без анализа полной копии трафика сложно определить действия злоумышленника. Здесь важно понимать, с какими данными работает Deception.

Александра Савельева, АВ Софт:

С помощью Deception сложно обнаружиться атаки, направленные непосредственно на пользователя, такие как спам, фишинг, вейлинг и др. Стоит также отметить, что гарантированно Deception не защищает ни от каких угроз, но помогает защититься от атак, связанных с горизонтальным перемещением.

Максим Прокопов, HoneyCorn:

Нет таких атак в информационной среде, которые нельзя было бы выявлять с помощью Deception. Однако, для закрытия специфических и редких атак растет стоимость настройки и обслуживания системы. В связи с этим необходимо оценивать целесообразность использования Deception в таких случаях.

Интеграция Deception с какими другими СЗИ даст наибольшую пользу?

Петр Куценко, BI.ZONE:

• SIEM позволит обрабатывать большое количество событий и коррелировать события из Deception с данными из других источников.
• EDR упростит распространение приманок и ловушек, а также произведет активное реагирование.
• UEBA зафиксирует аномалии, если пользователь внезапно начинает взаимодействовать с обманными ресурсами.
• SOAR ускорит расследование и реагирование путем обработки информации в одном месте.

Александра Савельева, АВ Софт:

Интеграция технологии Deception с песочницами для более детального исследования артефактов атаки дает возможность эффективно расследовать инциденты и безопасно изучать поведение вирусов.

Максим Прокопов, HoneyCorn:

Системы ловушек и приманок часто работают в коллаборации с другими решениями для повышения совместной эффективности работы:

1. С SIEM для повышения эффективности мониторинга.
2. С PAM для блокировки привилегированных сессий в скомпрометированных сегментах.
3. С диодами для размещения агентов в закрытых сегментах сети.
4. С LDAP и МЭ для блокировки скомпрометированных объектов (учетных записей, IP-адресов).

Алексей Макаров, Xello:

Основное преимущество систем киберобмана заключается в предоставлении высокодоверенного источника компрометации, поскольку приманки и ловушки направлены исключительно на злоумышленника. Поэтому при интеграции с системой мониторинга событий ИБ или SOC, уведомления от системы киберобмана необходимо рассматривать в первую очередь, и это также позволяет автоматизировать реагирование на киберинциденты при интеграции SOAR-системой или IRP.

Екатерина Харитонова, ГК Гарда:

Важно отслеживать и своевременно реагировать на генерируемые системой инциденты ИБ, важна и интеграция с SIEM. Следующая в приоритете – интеграция с системами, которые могут обогатить инцидент ИБ дополнительной информацией, – например, TI или Sandbox дополнят уровнем угрозы размещенного в ловушку файла и изолируют файл. Важна интеграция с системами, которые могут автоматизировать реактивные действия на инциденты, – например, EDR может изолировать АРМ, с которого утекла приманка.

Владимир Соловьев, ДиалогНаука:

Исходя из опыта проведения пилотов и внедрений у наших заказчиков, могу однозначно сказать, что основной интеграцией систем класса Deception является интеграция с SIEM, которые в свою очередь могут быть интегрированы с SOARи EDR-решениями для оперативного реагирования на выявленные угрозы. Ведь мало обнаружить злоумышленника, нужно вовремя и правильно пресечь его зловредную активность.

Какие интересные подходы вы применяете для создания правдоподобных приманок и ловушек?

Алексей Макаров, Xello:

Xello Deception совмещает в себе множество подплатформ собственной разработки, которые позволяют добавлять новые типы приманок и ловушек в каждый релиз. Например, модуль Xello Decoy Traps позволяет технологически быстро добавлять отраслевые ловушки (устройства) при наличии цифрового отпечатка. В этом году мы разработали собственную технологию кастомизации веб-сервисов различных сетевых устройств. И таких возможностей внутри платформы множество, что делает решение гибким, быстро масштабируемым. И самое главное – все это собственная разработка.

Что касается правдоподобности, то самое главное – добавлять актуальные типы приманок и ловушек (для этого мы анализируем APT-/DFIR-отчеты для поиска актуальных целей злоумышленников) и добавлять механизмы для обновления, ранжирования и актуализации, чтобы они были динамичными.

Екатерина Харитонова, ГК Гарда:

Мы активно работаем с обратной связью от заказчиков и от команд пентестеров, чтобы совершенствовать разнообразие и правдоподобность приманок и ловушек в составе нашего решения.

Владимир Соловьев, ДиалогНаука:

Во-первых, учет текущей инфраструктуры: приманки должны выглядеть как реальные активы заказчика. Во-вторых, эмулируемые сервисы и устройства на серверах-ловушках должны соответствовать окружению, где они размещаются. В-третьих, для каждой подсети, где размещаются ловушки, создается свой уникальный набор учетных записей, чтобы в момент появления инцидента ИБ, связанного с использованием ложных учетных записей, можно было однозначно понять, откуда действовал злоумышленник. Это упрощает процесс расследования инцидентов ИБ.

Александра Савельева, АВ Софт:

Конструкторы кастомизации и результаты работы сетевых сканеров позволяют повышать правдоподобность ловушек и приманок в системе LOKI.

Максим Прокопов, HoneyCorn:

Мы используем множество подходов, которые позволили получать ловушки и приманки не отличимые от реальной среды, и эта история является одним из приоритетов для нашего решения.

• Использование полноценных ОС для имитации сервисов, не отличимых от реальных.
• Построение имитации взаимодействия между ловушками.
• Безагентская технология выявления обращений к приманкам и использования приманок для аутентификации.
• Интеграции фронтенда ловушки в реальный работающий сервис заказчика с трансляцией эксплуатации в наш бэкенд.

Петр Куценко, BI.ZONE:

Сейчас мы используем приманки в виде адаптированных под инфраструктуру заказчика учетных записей. Размещая их в памяти хоста и в веб-браузере, мы достигаем достаточно высокой степени привлекательности. Кроме того, мы разрабатываем и готовимся к запуску новой функциональности EDR, которая сможет повысить правдоподобность ловушек путем контролируемого общения агента и ловушек.

Какие возможности вы планируете добавить в ваше решение Deception в ближайший год?

Александра Савельева, "АВ Софт":

1. Файлы приманки с привлекательными названиями размещаются на серверах и сервисах, если кто-то забрал себе этот файл на рабочее место, то идет оповещение службы ИБ.
2. Графические карты этажей здания, подсетей и отдельных групп пользователей.
3. Ловушки-ресурсы организаций.
4. Ретроспективный анализ.

Алексей Макаров, Xello:

1. Новый тип приманок "канарейки" (документы разного формата pdf, word, xlsx; директории; zip-архивы; vpn-/kubernetes-конфигурации), которые позволят выявлять инциденты безопасности без использования ловушек.
2. Значительно расширим функционал модуля Xello Identity Protection, который позволяет сокращать поверхность атаки, удаляя различные артефакты работы пользователей на конечных устройствах (сохраненные учетные записи, SSH-соединения, открытые RDP-сессии).

А также другие возможности.

Петр Куценко, BI.ZONE:

1. Новые типы приманок, такие как файлы дампов БД, сохраненные сессии SSH/FTP, файлы подключения к различным системам.
2. Полноценные ловушки, в том числе интерактивные: эмуляция сервисов 1С, SQL-базы данных, файловые хранилища.

Владимир Соловьев, ДиалогНаука:

В результате эксплуатации внедренных Deception-систем нашими заказчиками абсолютно всегда возникают запросы на доработку функционала.

1. Контроль полноты покрытия защищаемых хостов приманками.
2. Контроль использования технических привилегированных учетных записей вне системы.
3. Возможность указания путей/профилей для размещения приманок на защищаемых хостах.

Максим Прокопов, HoneyCorn:

• Полноценная поддержка сред контейнеризации для распространения ловушек и приманок.
• Более плотная интеграции с инструментами SOC.
• Доведение поддержки эмулируемых техник MITRE до 90%.
• Различные механизмы аналитики инфраструктуры и автоматизации развертывания.

Как технология Deception будет развиваться в перспективе 2–3 лет? Какие технологии или концепции могут оказать наибольшее влияние на это развитие?

Екатерина Харитонова, ГК Гарда:

На развитие систем будут активно влиять внешние факторы как технические (общее развитие ИТ-систем будет диктовать план развития ловушек и приманок; для повышения продуктивности систем добавятся ML и AI), так и экономические (слияния и партнерства компаний будут привносить специфику для решения одной-двух конкретных задач; например. поглощение одного из лидеров рынка Deception, компании TrapX, лидером рынка СРК компанией Commvault).

Александра Савельева, АВ Софт:

Активное влияние на технологию Deception будет оказывать машинное обучение, а также интеграция с TI-системами.

Владимир Соловьев, ДиалогНаука:

Технологии Deception в течении 2–3 лет будут развиваться в части расширения списка эмулируемых сервисов и устройств, а также разнообразия типов приманок. Наиболее интересный вектор развития – это добавление ложных учетных записей в установленное ПО на защищаемых хостах. Отмечу, что системы данного класса с легкостью обманывают автоматизированные системы проведения тестирований на проникновение. Тем самым Deception становится еще лучше благодаря отечественным вендорам, которые готовы улучшать и развивать свои продукты.

Максим Прокопов, HoneyCorn:

• Повышение качества разработанных решений.
• Автоматизации самодиагностики.
• Автоматизация развертывания.
• Использовании ИИ для механизмов взаимодействия с SOC.
• Применения ресурсоемкого функционала используемого в западных разработках.

Петр Куценко, BI.ZONE:

В ближайшие 2–3 года технологии Deception будут развиваться за счет интеграции с ИИ и машинным обучением для создания более адаптивных и интеллектуальных ловушек, способных динамически подстраиваться под поведение атакующих. Такая интеграция может положительно влиять на количество ложных срабатываний и снижать их количество. Возрастет также роль автоматизации и оркестрации в управлении ловушками, так как качественное покрытие и управление инфраструктурой часто бывают не самыми простыми.

Алексей Макаров, Xello:

В современных системах киберобмана уже сейчас применяются алгоритмы машинного обучения для создания реалистичного ложного слоя данных и активов. В ближайшее время их применение только расширится. Алгоритмы ML могут анализировать огромные объемы данных для выявления закономерностей и аномалий, указывающих на вредоносную деятельность. Изучая эти данные, платформы киберобмана на базе ИИ могут динамически корректировать свою стратегию, чтобы определять потенциальные векторы кибератак, динамически создавать и обновлять ложные данные и информационные активы.