«Когда идет речь об ИТ-инфраструктуре любой компании, самое страшное, что может с ней произойти — что ее взломают и похитят критически важные внутренние данные или вообще выведут её из строя. Чтобы этого не случилось, нужно защищаться, используя различные инструменты: PAM как контроль доступа, DLP как предотвращение утечек, межсетевой экран как защиту периметра от проникновения извне, VPN, шифрование информации, систему обнаружения вторжений, которая анализирует трафик и ищет нехарактерное поведение внутри инфраструктуры. Плюс к этому можно еще и обманывать: моделировать такие условия для злоумышленников, попадая в которые, они не могут понять, что двигаются не в реальной сети, а в дублирующей, контролируемой. По сути, это история двойников: когда создается модель системы, имитирующая «оригинал». И то, что хакер в нее попадает и что-то в ней делает, никак не сказывается на реальной сети. Зато такая ловушка дает возможность наблюдать за ним и фиксировать все его действия», — прокомментировал руководитель направления по развитию продуктов «АйТи Бастион» Константин Родин.
«Система ловушек HoneyCorn позволяет выявлять преступников как на ранних, так и на поздних стадиях их проникновения в сеть, максимально препятствуя развитию атаки. Мы навязываем ему ложные цели, замедляем его горизонтальное продвижение и лишаем необходимых данных для развития своей злоумышленной деятельности. При ее обнаружении мы также можем изучать действия хакера для сбора данных, они необходимы при принятии административного решения после взлома, или можем воспользоваться готовыми шаблонами по защите от кибератаки. Можно сказать, что HoneyCorn является частью постоянного процесса киберучений: мы имитируем реальные условия, отслеживаем и контролируем хакера, анализируем данные и обучаем им системы», — отметил собственник HoneyCorn Максим Прокопов.
«СКДПУ НТ» выступает здесь как часть инфраструктуры ловушек, «расставленных» для «поимки» хакеров системой HoneyCorn. Интегрированные как элемент защиты доступа в корпоративный ИТ-контур, мы может фиксировать не только вход злоумышленника в информационную систему, но и отслеживать все его действия, которые он там совершает. Он думает, что «обошел» систему контроля доступа, но это не так: подключаясь через нас, хакер попадает в следующую череду ловушек, фейковых систем, идет куда-то глубже, в какие-то критичные объекты. А мы все это отслеживаем, тем самым увеличивая степень анализа его операций. Как он ведет себя, чтобы продвигаться дальше, где у нас слабые места в защите. А потом учитываем это все на реальной информационной структуре. Такой контролируемый псевдовзлом получается», — добавил Константин Родин.