Контакты
Подписка 2024

Тернистый путь Deception эпохи импортозамещения в России

Дмитрий Евдокимов, 08/11/23

Кибератаки становятся все более изощренными, а традиционных мер для обеспечения безопасности организаций уже не хватает. В качестве одного из превентивных подходов к защите информационных ресурсов предприятий в мире стали применять концепцию нулевого доверия, а для повышения эффективности – сочетать ее с новыми инструментами детектирования угроз. Один из таких инструментов – технология Deception, которая представляет собой имитацию ИТ-инфраструктуры предприятия. Ее применение помогает обнаруживать кибератаки на ранней стадии, минимизируя негативные последствия, а также позволяет собирать информацию о преступных тактиках и методах. Эти данные в дальнейшем используются для усиления защитных мер.

Автор: Дмитрий Евдокимов, менеджер по разработке продукта компании “Гарда Технологии” (входит в группу компаний “Гарда”)

Долгое время технология развивалась в унисон с типовыми элементами инфраструктур, создавали которые на основе решений зарубежных производителей. Теперь с учетом импортозамещения отечественным разработчикам необходимо адаптироваться к новой реальности: эмулировать российские операционные системы и прикладные сервисы. Об особенностях и нюансах развития Deception в условиях масштабного импортозамещения мы поговорили с менеджером по разработке продукта компании "Гарда Технологии" (входит в группу компаний "Гарда") Дмитрием Евдокимовым.

– Насколько необходимой является подстройка приманок и ловушек Deception под новую российскую инфраструктуру?

– Эффективность работы системы Deception зависит от того, насколько правдоподобной оказывается формируемая ей ложная инфраструктура с точки зрения разработчиков зловредного программного обеспечения (ПО). Это ключевой аспект, который определяет способность Deception привлечь внимание злоумышленников, обмануть их и выявить их цели и методы.

С учетом динамичного роста доли отечественных решений в ИТ-инфраструктуре российских компаний необходимость адаптации Deception-ловушек под новую реальность становится первостепенной задачей. Такая подстройка позволяет обеспечить максимально реалистичное и эффективное введение злоумышленника в заблуждение.

Есть и другой важный аспект: ложная инфраструктура должна быть такой степени сложности, чтобы не только сбить с толку злоумышленников, но и позволить выявить их методы. То есть важно изучить предпринимаемые попытки атаки, чтоб понять логику действий преступников, а затем определить способы защиты имитируемых российских систем от подобных угроз в будущем с учетом полученной информации.

– Сказывается ли необходимость использования российских ОС на возможность сертификации во ФСТЭК России?

– Использование российских операционных систем играет важное значение для возможности сертификации решения во ФСТЭК России. Использование отечественных ОС требует глубокого понимания их функционала и особенностей работы. ФСТЭК России устанавливает строгие требования к безопасности и функциональности, и любое отклонение может негативно повлиять на процесс и результат сертификации. Тенденция в процессе сертификации сейчас такова, что продукт должен работать на одной из сертифицированных российских ОС.

Применительно к Deception это требование в первую очередь касается серверной части, на которой развертывается сама платформа. Но в равной мере это застрагивает и ОС на рабочих станциях, если они будут включены в работу Deception.

– В чем сложность сертификации систем класса Deception по сравнению с другими классами средств защиты?

– Основная сложность сертификации отечественных систем этого класса заключается в том, что четкого его определения у регулятора не существует. Впрочем, отсутствие нормативной базы не мешает сертифицировать продукт по техническим условиям и по уровню доверия, что немаловажно. Небольшие проблемы добавляет также требование о поддержке какой-либо сертифицированной операционной системы, в том числе и в окружениях, создаваемых контейнерами внутри продукта. Поэтому при подготовке к процедуре сертификации мы, например, провели масштабную внутреннюю миграцию на ОС AstraLinux.

– Каковы характерные особенности типовой отечественной инфраструктуры, какой ее "слепок"", что в него входит?

– Типовая отечественная инфраструктура по состоянию на середину 2023 г. включает в себя отечественные операционные системы, российские СУБД (в основном на базе PostgreSQL), серверные решения, а также прикладное программное обеспечение. Парк операционных систем может включать в себя системы типа AstraLinux, "Эльбрус", "Базальт" и др. Что касается ИБ-решений, отечественные продукты в нашей стране были популярны среди заказчиков еще до того, как импортозамещение стало мейнстримом и регуляторным требованием.

Поэтому если еще пару лет назад решения для имитации инфраструктуры строились на разработках зарубежных вендоров и в соответствии с зарубежными же реалиями, то сейчас отечественным производителям необходимо развивать Deception в соответствии с особенностями построения ИТ-инфраструктуры в нашей стране: не стараться вслепую копировать то, что было.

– Как Deception выглядит со стороны клиента? Какой зрелости должны достичь ИБ-процессы, чтобы целесообразность использования Deception стала очевидной?

– Для заказчика Deception выглядит как дополнительный слой защиты, который предоставляет возможность оперативно обнаруживать и анализировать кибератаки. По своей сути Deception можно сравнить с диспансеризацией в медицине, которая позволяет среагировать на ранней стадии на опасные заболевания в организме, которые еще не нанесли серьезного вреда.

Чтобы понимать и принимать целесообразность использования Deception, компания должна иметь уже устоявшиеся процессы управления информационной безопасностью, опыт реагирования на инциденты и понимание сложности современных угроз.

Успешное применение систем Deception подразумевает, что атаки и попытки несанкционированного доступа будут обнаружены на самых ранних стадиях и позволят службе ИБ быстро и эффективно реагировать на обнаруженные угрозы, включая изоляцию атакующих, анализ методов атаки и устранение слабых мест в защите инфраструктуры.

Deception, кроме прочего, предоставляет ценную информацию о тактике и методах злоумышленников. Анализ этой информации может помочь лучше понять сильные и слабые стороны системы безопасности, а также подготовить более эффективные меры защиты.

– Какой должна быть экосистема, в которой эффективно работает Deception?

– Эффективная экосистема для Deception включает в себя хорошо настроенные системы мониторинга, современные инструменты реагирования на инциденты, а также интеграцию с другими системами безопасности, такими как SIEM, TI и пр. Интеграция с доменом добавляет ряд возможностей для выявления действий злоумышленника в инфраструктуре с помощью целого слоя доменных ловушек. Ими могут быть ложные учетные данные, попытки использования которых сообщают о том, что злоумышленник получил доступ к контроллеру домена. Никакие другие системы ИБ такой информации не сообщат.

Эффективная работа Deception начинается с создания ложного слоя инфраструктуры, максимально релевантного настоящей, которая включает в себя сетевые компоненты, серверы, рабочие станции и другие устройства.

Интеграция с SIEM позволяет обрабатывать и анализировать данные о действиях злоумышленников, обнаруженных внутри имитируемой инфраструктуры. Это помогает оперативно реагировать на атаки и улучшает общий обзор защищенности.

Совместное использование с системами IPS и IDS позволяет реагировать на обнаруженные атаки в реальном времени. Такой комбинированный подход обеспечивает дополнительный уровень защиты.

Интеграция с системами управления уязвимостями помогает выявлять и устранять слабые места в инфраструктуре, что повышает эффективность системы Deception.

Успешность применения подобных систем зависит от степени квалификации ИБ-команды, которая и будет обнаруживать атаки и реагировать на них, используя результаты работы имитируемой инфраструктуры.

ris1-Nov-08-2023-07-38-30-4927-AM

– Какие возможности должен реализовывать сильный Deception?

– Сильная система Deception должна предоставлять гибкую настройку ловушек, позволяющую создавать релевантный слой ложной инфраструктуры любого масштаба минимальными усилиями пользователя. Необходимы также возможность интеграции с различными системами, быстрое реагирование на угрозы, а также аналитические инструменты для анализа поведения злоумышленника, что позволят реагировать на угрозы на самых ранних стадиях.

Кроме того, сильная система Deception себя не обнаруживает. Например, ловушки типа "сетевое устройство" реализуются с помощью спуффинга на реальном устройстве. Причем ловушки назначают mac-адреса из списка mac-адресов вендора. Согласитесь, при таком подходе злоумышленнику довольно сложно распознать подмену.

– Как посчитать экономическую эффективность от использования Deception?

– Одним из ключевых показателей эффективности использования Deception является снижение потерь, связанных с кибератаками. Путем сравнения стоимости потерянных данных, нарушения бизнес-процессов, штрафов за нарушение регулирований и других негативных последствий с расходами на внедрение и поддержку технологии Deception можно оценить экономическую эффективность. Если затраты на Deception сравнимы или меньше потенциальных убытков, то это может свидетельствовать о выгодности внедрения.

Другим важным фактором эффективности является сокращение времени, которое требуется для обнаружения и реагирования на кибератаки. Технология Deception может обеспечивать более оперативное обнаружение и предотвращение атак, что позволяет сократить потенциальные убытки и минимизировать простой в работе систем.

Эффективное использование технологии Deception также позволит оптимизировать расходы на безопасность. Внедрение систем этого класса может нивелировать необходимость в других инструментах обнаружения и защиты, что уменьшит общий бюджет на кибербезопасность.

Темы:ИмпортозамещениеТехнологииDeceptionГардаЖурнал "Информационная безопасность" №4, 2023

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Чем NDR лучше, чем NTA?
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?
  • Быстрое импортозамещение в КИИ: проблема или задача?
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Со студенческой скамьи мы помним, что проблема и задача – это совершенно разные вещи, и их важно не путать.
  • Что мешает быстрому импортозамещению на объектах критической информационной инфраструктуры?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    О беспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • Гарда DBF: в первую очередь – защита данных
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Угрозы для СУБД исходят не только от внешних, но и от внутренних злоумышленников. Ими могут быть как привилегированные пользователи (администраторы СУБД, подрядчики, разработчики), так и обычные сотрудники, которые в силу должностных обязанностей имеют доступ к чувствительным данным в СУБД (менеджеры по работе с клиентами, колл-центр, техподдержка, ИТ и пр.).
  • "Гарда Маскирование" для автоматического обезличивания баз данных
    Артемий Новожилов, архитектор систем информационной безопасности группы компаний “Гарда”
    Несмотря на то, что компании вкладывают значительные средства в защиту персональных данных, контролируя коммуникации, доступ пользователей, шифруя информацию, – утечки продолжают происходить. Причиной часто становятся ошибки при передаче данных в третьи руки для разного рода тестирований, решения маркетинговых задач и др. Российское законодательство, включая 152-ФЗ, обязывает защищать такую информацию, и в этих случаях применяется маскирование, для которого группа компаний “Гарда” предоставляет необходимый инструментарий.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...