04/03/20
В последние годы сотни новых технологий и тысячи поставщиков пытаются завоевать внимание ИБ-рынка. Поэтому неудивительно, что CISO и другим сотрудникам ИБ-департаментов так тяжело оставаться в курсе всех новинок.
Тем примечательней новый отчет Gartner «Радар новейших технологий и тенденций: Безопасность» («Emerging Technologies and Trends Impact Radar: Security»), который дает актуальное представление о том, какие новые технологии действительно помогают противостоять все более изощренным методам злоумышленникам. Среди прочего аналитики Gartner пришли к выводу, что обманные технологии (Deception) дают «простой в развертывании, высокоточный и эффективный способ обнаружения угроз в организациях всех размеров»; они получили максимальную оценку значимости по оси времени — «Сейчас». Опыт подсказывает, что на практике это приведет к тому, что технология будет принята большинством покупателей в течение этого года. При этом Deception также получили высокую оценку по оси массы: это значит, что технология значительно повлияет на очень и очень многие сектора рынка и изменит существующие продукты и услуги.
Иными словами, Gartner считает, что Deception-решения в этом году станут обязательными в стеке безопасности любой организации, вне зависимости от ее размера или отрасли. Это связано с тем, что эффективность такого подхода была неоднократно продемонстрирована в масштабных проектах, которые не потребовали привлечения дополнительных ресурсов.
Высокоточные уведомления при обнаружении угрозы
Gartner отмечает, что технология Deception позволяет обнаруживать хакерскую активность с помощью поддельных или ложных элементов, которые незаметны ни для кого, кроме злоумышленников. Следовательно, «поскольку никакое взаимодействие с поддельными ресурсами не является легитимным, любое взаимодействие становится сигналом об угрозе». Если бы пользователь не пытался сделать что-либо нелегитимное, например, не предпринимал бы попытку несанкционированного латерального движения или не изучал бы память в кэшированных учетных данных, то уведомление бы не возникло.
При использовании обманных технологий каждый инцидент имеет значение и оправдывает немедленную реакцию. Это прямо противоположно подходам к обнаружению угроз, основанным на поведенческих данных или аналитике, которые часто генерируют большое количество ложных положительных срабатываний. Эти вероятностные подходы основаны на факторах, которые могут потенциально коррелировать с ранее случавшимися инцидентами, но не позволяют окончательно доказать, что выявлена активная атака. Недавние исследования показывают, что технологии, использующие такой подход, создают до 70% ложных срабатываний. Расследование алертов, которые оказываются на поверку ложными, не просто тратит время и ресурсы SOC: становится все более очевидным, что они являются главным фактором, ответственным за высокую текучесть аналитиков SOC и выгорание в индустрии безопасности.
Понятный ROI для любого типа организации
Зачастую бывает сложно определить, будет ли соответствовать ожиданиям какой-либо конкретный ИБ-продукт или сервис, и сможет ли он обезвредить злоумышленников до того, как они получат доступ к критическим данным. Тем не менее, эксперты Gartner отмечают, что обманные технологии не только «положительно показывают себя при тестировании» и «хорошо реализуются в цикле продаж», но и «являются достойным решением для добавления в стек технологий заказчика».
Защита уникальных сред ИВ и АСУ ТП
В рамках своих рекомендаций по развертыванию обманных технологий Gartner рекомендует организациям «сосредоточить усилия на создании высокореалистичных и интерактивных приманок, которые могут автоматически имитировать среду, специфичную для клиента, в том числе интернет вещей (ИВ) и АСУ ТП».
Организациям часто приходится полагаться на различные системы и устройства, которые нельзя обновить, сложно контролировать и на которые нельзя установить новейшие СЗИ. Большое количество доступных сегодня ИВ-устройств также практически невозможно защитить, они становятся популярным местом атак злоумышленников для разведывания и кражи данных. АСУ ТП также становятся все более уязвимыми перед киберпреступниками, поскольку их возраст и специальные протоколы также не позволяют эффективно устранять уязвимости или осуществлять мониторинг.
