Основная задача систем киберобмана – выявлять сложные угрозы. Но очевидно, что в текущих реалиях компании используют не одно и не два решения, чтобы выявлять их. В рамках этих процессов есть множество метрик – MTTR, MTTD, MTTI, False Negative Rate – и внедряемые решения должны их улучшать.
Если говорить о метриках, которые можно измерить численными показателями:
Для реальной эксплуатации важно обращать внимание на полноту покрытия различных сегментов. Эта метрика также будет работать на скорость обнаружения угроз и количество ложных срабатываний. Кроме того, важно обращать внимание на используемые типы ловушек и приманок для конкретной инфраструктуры, чтобы повышать уровень их привлекательности для злоумышленников.
Основными метриками эффективности являются количество реальных инцидентов ИБ, выявленных в рамках функционирования системы, и скрытность – приманки и ловушки должны выглядеть настолько реалистичными и похожими на инфраструктуру заказчика, чтобы злоумышленник, обнаруживший и использующий приманку, не заподозрил, что его хотят обмануть.
Системы киберобмана работают внутри периметра организации, поэтому наибольшую эффективность они показывают при выявлении атак на стадиях, когда злоумышленник исследует сеть или перемещается по ней. Очевидно, что они будут малоэффективны для выявления угроз на периметре, например, атак типа "отказ в обслуживании" (DDoS) и др.
Сложно обнаружить атаки, в ходе которых используются скомпрометированные легитимные учетные записи, ведь в таком случае злоумышленник не будет взаимодействовать с ложной инфраструктурой. Deception также не защищает от атак инсайдеров, поскольку они могут обладать знаниями о реальной инфраструктуре и избегать взаимодействия с обманными активами.
Действительно, сложно обнаружить внутреннего злоумышленника со знанием структуры сети и правами администратора в ключевых системах. Системы контроля доступа, поведенческого анализа и анализа сетевого трафика могут пропустить аномалии, связанные с таким сотрудником. Но стратегия ИБ должна увязывать работу всех СЗИ и концепцию Human-Centric Security. А при появлении подозрений эффективным решением могут стать файлы-приманки с критической информацией и контролем за использованием таких файлов.
Сложнее всего с помощью систем класса Deception обнаруживать атаки, которые не связаны с использованием ложных учетных данных и сканирований сети, например, эксплуатация уязвимостей, направленных на выполнение произвольного кода на хосте, так как это уже выходит за рамки мониторинга систем класса Deception. То же самое с сетевыми атаками без аутентификации – без анализа полной копии трафика сложно определить действия злоумышленника. Здесь важно понимать, с какими данными работает Deception.
С помощью Deception сложно обнаружиться атаки, направленные непосредственно на пользователя, такие как спам, фишинг, вейлинг и др. Стоит также отметить, что гарантированно Deception не защищает ни от каких угроз, но помогает защититься от атак, связанных с горизонтальным перемещением.
Нет таких атак в информационной среде, которые нельзя было бы выявлять с помощью Deception. Однако, для закрытия специфических и редких атак растет стоимость настройки и обслуживания системы. В связи с этим необходимо оценивать целесообразность использования Deception в таких случаях.
Интеграция технологии Deception с песочницами для более детального исследования артефактов атаки дает возможность эффективно расследовать инциденты и безопасно изучать поведение вирусов.
Системы ловушек и приманок часто работают в коллаборации с другими решениями для повышения совместной эффективности работы:
Основное преимущество систем киберобмана заключается в предоставлении высокодоверенного источника компрометации, поскольку приманки и ловушки направлены исключительно на злоумышленника. Поэтому при интеграции с системой мониторинга событий ИБ или SOC, уведомления от системы киберобмана необходимо рассматривать в первую очередь, и это также позволяет автоматизировать реагирование на киберинциденты при интеграции SOAR-системой или IRP.
Важно отслеживать и своевременно реагировать на генерируемые системой инциденты ИБ, важна и интеграция с SIEM. Следующая в приоритете – интеграция с системами, которые могут обогатить инцидент ИБ дополнительной информацией, – например, TI или Sandbox дополнят уровнем угрозы размещенного в ловушку файла и изолируют файл. Важна интеграция с системами, которые могут автоматизировать реактивные действия на инциденты, – например, EDR может изолировать АРМ, с которого утекла приманка.
Исходя из опыта проведения пилотов и внедрений у наших заказчиков, могу однозначно сказать, что основной интеграцией систем класса Deception является интеграция с SIEM, которые в свою очередь могут быть интегрированы с SOARи EDR-решениями для оперативного реагирования на выявленные угрозы. Ведь мало обнаружить злоумышленника, нужно вовремя и правильно пресечь его зловредную активность.
Xello Deception совмещает в себе множество подплатформ собственной разработки, которые позволяют добавлять новые типы приманок и ловушек в каждый релиз. Например, модуль Xello Decoy Traps позволяет технологически быстро добавлять отраслевые ловушки (устройства) при наличии цифрового отпечатка. В этом году мы разработали собственную технологию кастомизации веб-сервисов различных сетевых устройств. И таких возможностей внутри платформы множество, что делает решение гибким, быстро масштабируемым. И самое главное – все это собственная разработка.
Что касается правдоподобности, то самое главное – добавлять актуальные типы приманок и ловушек (для этого мы анализируем APT-/DFIR-отчеты для поиска актуальных целей злоумышленников) и добавлять механизмы для обновления, ранжирования и актуализации, чтобы они были динамичными.
Мы активно работаем с обратной связью от заказчиков и от команд пентестеров, чтобы совершенствовать разнообразие и правдоподобность приманок и ловушек в составе нашего решения.
Во-первых, учет текущей инфраструктуры: приманки должны выглядеть как реальные активы заказчика. Во-вторых, эмулируемые сервисы и устройства на серверах-ловушках должны соответствовать окружению, где они размещаются. В-третьих, для каждой подсети, где размещаются ловушки, создается свой уникальный набор учетных записей, чтобы в момент появления инцидента ИБ, связанного с использованием ложных учетных записей, можно было однозначно понять, откуда действовал злоумышленник. Это упрощает процесс расследования инцидентов ИБ.
Конструкторы кастомизации и результаты работы сетевых сканеров позволяют повышать правдоподобность ловушек и приманок в системе LOKI.
Мы используем множество подходов, которые позволили получать ловушки и приманки не отличимые от реальной среды, и эта история является одним из приоритетов для нашего решения.
Сейчас мы используем приманки в виде адаптированных под инфраструктуру заказчика учетных записей. Размещая их в памяти хоста и в веб-браузере, мы достигаем достаточно высокой степени привлекательности. Кроме того, мы разрабатываем и готовимся к запуску новой функциональности EDR, которая сможет повысить правдоподобность ловушек путем контролируемого общения агента и ловушек.
А также другие возможности.
В результате эксплуатации внедренных Deception-систем нашими заказчиками абсолютно всегда возникают запросы на доработку функционала.
На развитие систем будут активно влиять внешние факторы как технические (общее развитие ИТ-систем будет диктовать план развития ловушек и приманок; для повышения продуктивности систем добавятся ML и AI), так и экономические (слияния и партнерства компаний будут привносить специфику для решения одной-двух конкретных задач; например. поглощение одного из лидеров рынка Deception, компании TrapX, лидером рынка СРК компанией Commvault).
Активное влияние на технологию Deception будет оказывать машинное обучение, а также интеграция с TI-системами.
Технологии Deception в течении 2–3 лет будут развиваться в части расширения списка эмулируемых сервисов и устройств, а также разнообразия типов приманок. Наиболее интересный вектор развития – это добавление ложных учетных записей в установленное ПО на защищаемых хостах. Отмечу, что системы данного класса с легкостью обманывают автоматизированные системы проведения тестирований на проникновение. Тем самым Deception становится еще лучше благодаря отечественным вендорам, которые готовы улучшать и развивать свои продукты.
В ближайшие 2–3 года технологии Deception будут развиваться за счет интеграции с ИИ и машинным обучением для создания более адаптивных и интеллектуальных ловушек, способных динамически подстраиваться под поведение атакующих. Такая интеграция может положительно влиять на количество ложных срабатываний и снижать их количество. Возрастет также роль автоматизации и оркестрации в управлении ловушками, так как качественное покрытие и управление инфраструктурой часто бывают не самыми простыми.
В современных системах киберобмана уже сейчас применяются алгоритмы машинного обучения для создания реалистичного ложного слоя данных и активов. В ближайшее время их применение только расширится. Алгоритмы ML могут анализировать огромные объемы данных для выявления закономерностей и аномалий, указывающих на вредоносную деятельность. Изучая эти данные, платформы киберобмана на базе ИИ могут динамически корректировать свою стратегию, чтобы определять потенциальные векторы кибератак, динамически создавать и обновлять ложные данные и информационные активы.