Контакты
Подписка 2025

Тернистый путь Deception эпохи импортозамещения в России

Дмитрий Евдокимов, 08/11/23

Кибератаки становятся все более изощренными, а традиционных мер для обеспечения безопасности организаций уже не хватает. В качестве одного из превентивных подходов к защите информационных ресурсов предприятий в мире стали применять концепцию нулевого доверия, а для повышения эффективности – сочетать ее с новыми инструментами детектирования угроз. Один из таких инструментов – технология Deception, которая представляет собой имитацию ИТ-инфраструктуры предприятия. Ее применение помогает обнаруживать кибератаки на ранней стадии, минимизируя негативные последствия, а также позволяет собирать информацию о преступных тактиках и методах. Эти данные в дальнейшем используются для усиления защитных мер.

Автор: Дмитрий Евдокимов, менеджер по разработке продукта компании “Гарда Технологии” (входит в группу компаний “Гарда”)

Долгое время технология развивалась в унисон с типовыми элементами инфраструктур, создавали которые на основе решений зарубежных производителей. Теперь с учетом импортозамещения отечественным разработчикам необходимо адаптироваться к новой реальности: эмулировать российские операционные системы и прикладные сервисы. Об особенностях и нюансах развития Deception в условиях масштабного импортозамещения мы поговорили с менеджером по разработке продукта компании "Гарда Технологии" (входит в группу компаний "Гарда") Дмитрием Евдокимовым.

– Насколько необходимой является подстройка приманок и ловушек Deception под новую российскую инфраструктуру?

– Эффективность работы системы Deception зависит от того, насколько правдоподобной оказывается формируемая ей ложная инфраструктура с точки зрения разработчиков зловредного программного обеспечения (ПО). Это ключевой аспект, который определяет способность Deception привлечь внимание злоумышленников, обмануть их и выявить их цели и методы.

С учетом динамичного роста доли отечественных решений в ИТ-инфраструктуре российских компаний необходимость адаптации Deception-ловушек под новую реальность становится первостепенной задачей. Такая подстройка позволяет обеспечить максимально реалистичное и эффективное введение злоумышленника в заблуждение.

Есть и другой важный аспект: ложная инфраструктура должна быть такой степени сложности, чтобы не только сбить с толку злоумышленников, но и позволить выявить их методы. То есть важно изучить предпринимаемые попытки атаки, чтоб понять логику действий преступников, а затем определить способы защиты имитируемых российских систем от подобных угроз в будущем с учетом полученной информации.

– Сказывается ли необходимость использования российских ОС на возможность сертификации во ФСТЭК России?

– Использование российских операционных систем играет важное значение для возможности сертификации решения во ФСТЭК России. Использование отечественных ОС требует глубокого понимания их функционала и особенностей работы. ФСТЭК России устанавливает строгие требования к безопасности и функциональности, и любое отклонение может негативно повлиять на процесс и результат сертификации. Тенденция в процессе сертификации сейчас такова, что продукт должен работать на одной из сертифицированных российских ОС.

Применительно к Deception это требование в первую очередь касается серверной части, на которой развертывается сама платформа. Но в равной мере это застрагивает и ОС на рабочих станциях, если они будут включены в работу Deception.

– В чем сложность сертификации систем класса Deception по сравнению с другими классами средств защиты?

– Основная сложность сертификации отечественных систем этого класса заключается в том, что четкого его определения у регулятора не существует. Впрочем, отсутствие нормативной базы не мешает сертифицировать продукт по техническим условиям и по уровню доверия, что немаловажно. Небольшие проблемы добавляет также требование о поддержке какой-либо сертифицированной операционной системы, в том числе и в окружениях, создаваемых контейнерами внутри продукта. Поэтому при подготовке к процедуре сертификации мы, например, провели масштабную внутреннюю миграцию на ОС AstraLinux.

– Каковы характерные особенности типовой отечественной инфраструктуры, какой ее "слепок"", что в него входит?

– Типовая отечественная инфраструктура по состоянию на середину 2023 г. включает в себя отечественные операционные системы, российские СУБД (в основном на базе PostgreSQL), серверные решения, а также прикладное программное обеспечение. Парк операционных систем может включать в себя системы типа AstraLinux, "Эльбрус", "Базальт" и др. Что касается ИБ-решений, отечественные продукты в нашей стране были популярны среди заказчиков еще до того, как импортозамещение стало мейнстримом и регуляторным требованием.

Поэтому если еще пару лет назад решения для имитации инфраструктуры строились на разработках зарубежных вендоров и в соответствии с зарубежными же реалиями, то сейчас отечественным производителям необходимо развивать Deception в соответствии с особенностями построения ИТ-инфраструктуры в нашей стране: не стараться вслепую копировать то, что было.

– Как Deception выглядит со стороны клиента? Какой зрелости должны достичь ИБ-процессы, чтобы целесообразность использования Deception стала очевидной?

– Для заказчика Deception выглядит как дополнительный слой защиты, который предоставляет возможность оперативно обнаруживать и анализировать кибератаки. По своей сути Deception можно сравнить с диспансеризацией в медицине, которая позволяет среагировать на ранней стадии на опасные заболевания в организме, которые еще не нанесли серьезного вреда.

Чтобы понимать и принимать целесообразность использования Deception, компания должна иметь уже устоявшиеся процессы управления информационной безопасностью, опыт реагирования на инциденты и понимание сложности современных угроз.

Успешное применение систем Deception подразумевает, что атаки и попытки несанкционированного доступа будут обнаружены на самых ранних стадиях и позволят службе ИБ быстро и эффективно реагировать на обнаруженные угрозы, включая изоляцию атакующих, анализ методов атаки и устранение слабых мест в защите инфраструктуры.

Deception, кроме прочего, предоставляет ценную информацию о тактике и методах злоумышленников. Анализ этой информации может помочь лучше понять сильные и слабые стороны системы безопасности, а также подготовить более эффективные меры защиты.

– Какой должна быть экосистема, в которой эффективно работает Deception?

– Эффективная экосистема для Deception включает в себя хорошо настроенные системы мониторинга, современные инструменты реагирования на инциденты, а также интеграцию с другими системами безопасности, такими как SIEM, TI и пр. Интеграция с доменом добавляет ряд возможностей для выявления действий злоумышленника в инфраструктуре с помощью целого слоя доменных ловушек. Ими могут быть ложные учетные данные, попытки использования которых сообщают о том, что злоумышленник получил доступ к контроллеру домена. Никакие другие системы ИБ такой информации не сообщат.

Эффективная работа Deception начинается с создания ложного слоя инфраструктуры, максимально релевантного настоящей, которая включает в себя сетевые компоненты, серверы, рабочие станции и другие устройства.

Интеграция с SIEM позволяет обрабатывать и анализировать данные о действиях злоумышленников, обнаруженных внутри имитируемой инфраструктуры. Это помогает оперативно реагировать на атаки и улучшает общий обзор защищенности.

Совместное использование с системами IPS и IDS позволяет реагировать на обнаруженные атаки в реальном времени. Такой комбинированный подход обеспечивает дополнительный уровень защиты.

Интеграция с системами управления уязвимостями помогает выявлять и устранять слабые места в инфраструктуре, что повышает эффективность системы Deception.

Успешность применения подобных систем зависит от степени квалификации ИБ-команды, которая и будет обнаруживать атаки и реагировать на них, используя результаты работы имитируемой инфраструктуры.

ris1-Nov-08-2023-07-38-30-4927-AM

– Какие возможности должен реализовывать сильный Deception?

– Сильная система Deception должна предоставлять гибкую настройку ловушек, позволяющую создавать релевантный слой ложной инфраструктуры любого масштаба минимальными усилиями пользователя. Необходимы также возможность интеграции с различными системами, быстрое реагирование на угрозы, а также аналитические инструменты для анализа поведения злоумышленника, что позволят реагировать на угрозы на самых ранних стадиях.

Кроме того, сильная система Deception себя не обнаруживает. Например, ловушки типа "сетевое устройство" реализуются с помощью спуффинга на реальном устройстве. Причем ловушки назначают mac-адреса из списка mac-адресов вендора. Согласитесь, при таком подходе злоумышленнику довольно сложно распознать подмену.

– Как посчитать экономическую эффективность от использования Deception?

– Одним из ключевых показателей эффективности использования Deception является снижение потерь, связанных с кибератаками. Путем сравнения стоимости потерянных данных, нарушения бизнес-процессов, штрафов за нарушение регулирований и других негативных последствий с расходами на внедрение и поддержку технологии Deception можно оценить экономическую эффективность. Если затраты на Deception сравнимы или меньше потенциальных убытков, то это может свидетельствовать о выгодности внедрения.

Другим важным фактором эффективности является сокращение времени, которое требуется для обнаружения и реагирования на кибератаки. Технология Deception может обеспечивать более оперативное обнаружение и предотвращение атак, что позволяет сократить потенциальные убытки и минимизировать простой в работе систем.

Эффективное использование технологии Deception также позволит оптимизировать расходы на безопасность. Внедрение систем этого класса может нивелировать необходимость в других инструментах обнаружения и защиты, что уменьшит общий бюджет на кибербезопасность.

Темы:ИмпортозамещениеТехнологииDeceptionГардаЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Применение систем класса Deception и InfoDiode как пример комплексной системы защиты
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Одним из направлений применения технологии Deception является ее использование в физически изолированных сетях, относящихся к значимым объектам критической информационной инфраструктуры (ЗОКИИ) и опасным производственным объектам (ОПО). #decption
  • Современные системы киберобмана: от статичных ловушек до гибких платформ с широкими возможностями
    Алексей Макаров, технический директор Xello
    Эпоха статичных ловушек давно прошла. Им на смену пришли современные системы киберобмана, решения класса Distributed Deception Platform, как ответ на развитие ландшафта киберугроз (появление новых инструментов киберпреступников и методов получения доступа к инфраструктуре).
  • В ложном слое не может быть легальных пользователей
    Екатерина Харитонова, руководитель продукта “Гарда Deception”, группа компаний “Гарда”
    Deception нередко называют последней линией обороны, однако есть и другое мнение, что это первый шаг активной защиты, отправная точка для проактивных действий в кибербезопасности. На самом деле Deception стоит рассматривать как наступательную стратегию.
  • Безопасность на опережение: сегодняшний день и перспективы технологий HoneyPot и Deception
    Максим Прокопов, основатель HoneyCorn
    Несмотря на изящность идеи Deception, довольно быстро стало очевидно, что стандартный подход к ловушкам не лишен недостатков. Так, злоумышленники могли быстро распознать искусственность инфраструктуры. Например, на Linux-сервере неожиданно появлялся RDP-сервис, или все приманки вели к единой консоли виртуализации, что ее демаскировало.
  • Makves делает ставку на сервис высокого уровня
    Дмитрий Петушков, директор по развитию Makves
    Дмитрий Петушков, директор по развитию Makves (входит в группу компаний “Гарда”) рассказал о том, как выбрать эффективное ИБ-решение в условиях технологического паритета и на что стоит обратить внимание при выборе системы класса DCAP.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...