Использование ловушек (Deception) для обнаружения злоумышленников в инфраструктуре

Использование ловушек (Deception) для обнаружения злоумышленников в инфраструктуре

Использование ловушек (Deception) для обнаружения злоумышленников в инфраструктуре

Deception (создание ложных целей, расстановка ловушек) — действенная технология корпоративной информационной безопасности. Организации используют её для обнаружения злоумышленников и предотвращения атак на ранних этапах. Расскажем о том, как появилась технология и каковы её преимущества.

 

 

 

 

 

  1. Введение
  2. Появление технологии: HoneyPot — предок Deception
  3. Разница между HoneyPot и Deception
  4. Принцип работы
  5. Приманки
  6. Задачи
  7. Интеграция со средствами защиты
  8. Выводы

Введение

Специалисты по информационной безопасности ежедневно решают ряд задач по обеспечению защиты организации. И сейчас это особенно актуально, потому что атаки стали более масштабными, а сами киберпреступники — лучше оснащёнными технологически. В связи с этим набирают популярность решения класса Deception, которые позволяют создать ловушки в инфраструктуре компании, чтобы обезвредить злоумышленника и понять его цели и мотивы.

Инфраструктуре ложных целей и deception-технологиям мы посвятили один из эфиров AM Live, на который пригласили ведущих специалистов по информационной безопасности. Выводы об этом относительно новом сегменте рынка мы изложили в отдельной статье.

Появление технологии: HoneyPot — предок Deception

Предшественниками Deception называют ханипоты (англ. honeypot, «горшочек с мёдом») — цели-приманки, которые позволяют отвлечь злоумышленника от важного объекта сети. Когда ханипот атакуют, он фиксирует поведение хакера для дальнейшего анализа. А вот задержать злоумышленника на изучении ресурса — это вторичная функция технологии.

Ханипоты могут имитировать рабочее место сотрудника, сервер, отдельный сервис и т. д. Сегодня решения для киберобмана выходят за пределы одной локации, выявляя хакера за три-четыре этапа, даже если расположены не на каждой машине. Но вне зависимости от технологичности ханипот могут обнаружить злоумышленники.

Безусловно, у технологии есть недостатки. Во-первых, необходимо работать с каждым отдельным ложным сервером, настраивая его. Во-вторых, ханипоты не взаимодействуют между собой и с элементами настоящей инфраструктуры, поэтому они выглядят менее реалистично в глазах злоумышленника. В-третьих, хакеру нетрудно обнаружить технологию, что обесценивает её внедрение. И, наконец, ханипоты обычно не объединены в общую систему, что усложняет управление и настройку.

Разница между HoneyPot и Deception

Ханипот — это самостоятельное решение, которое фиксирует действия злоумышленника. Но, как было сказано выше, хакеры научились обнаруживать технологию, поэтому требовалось её обновление. На смену пришла Deception, или DDP (Distributed Deception Platform), — централизованная система, представляющая собой связанные отдельные ханипоты. Новая технология автоматически изменяет среду, не оставляя её статичной.

Разницу в эффективности этих классов можно очень грубо описать примером с рыболовецкими сетями. Представьте, что мы ставим на одной вёсельной лодке небольшие сети в озере в стоячей воде. Далее ждём, пока придёт рыба. Сами сети можно сравнить с ханипотами: необходимо ставить их в большом количестве, чтобы поймать как можно больше рыбы (злоумышленников), постоянно следить за ними и управлять ими, переплывая от одной сети к другой. Если же сильно модернизировать судно, сделав его более крупным и технологичным, то мы сможем управлять с него сразу несколькими большими сетями. А если мы добавим ещё несколько лодок, загоняющих рыбу специальными средствами, то эффективность будет гораздо выше, чем у обычной лодки. Так выглядит сравнение ханипотов с Deception.

Принцип работы

При внедрении DDP ИТ-инфраструктура организации будет разделяться на две части. Первая — это настоящая сеть компании, вторая — имитированная среда, состоящая из ловушек, расположенных на реальных физических устройствах. В рабочей инфраструктуре размещаются приманки и ловушки. Например, это могут быть ложные записи о подключении к сетевым дискам, учётные данные и другие сущности.

Любое взаимодействие с ловушками означает хакерскую активность. Соответственно, если злоумышленник попал в реальную инфраструктуру организации, добрался до рабочей станции или сервера, то он наткнётся на приманки и ловушки. Те сообщат о попытке атаки на компанию, и оператор получит подробности происходящего: адрес и порт источника и цели, протокол взаимодействия, время срабатывания и т. д. Таким образом атакующий будет обнаружен и остановлен.

В дальнейшем служба безопасности организации сможет проанализировать действия хакеров, узнать об их тактиках и целях. Эта информация позволит понять, что именно интересно злоумышленникам, и расставить акценты в защите данных.

Департамент безопасности компании, создав обманную среду, убережёт ресурсы организации и приостановит атаку, отслеживая действия хакеров. Компании выгодно как можно убедительнее уверить злоумышленника во взаимодействии с реальной инфраструктурой, чтобы обнаружить и обезоружить его.

 

Рисунок 1. Откуда появилась технология Deception

Откуда появилась технология Deception

 

Приманки

Остановимся подробнее на приманках. Это объекты, которые размещаются на реальной рабочей станции. Приманка похожа на что-то обычное, привычное пользователю, чтобы не вызывать у хакеров подозрений. Например, это может быть «случайно» забытый файл с паролем, сохранённая сессия, закладка в браузере, запись в реестре и т. д. Но объект содержит ссылку и данные для доступа на ложный сетевой ресурс.

Сами приманки ограничены во взаимодействии с рабочей инфраструктурой, что приводит к минимальному влиянию на неё.

Задачи

DDP решает несколько основных задач, актуальных для компании. В первую очередь, платформа создаёт поддельную инфраструктуру на базе существующей. Во-вторых, DDP помогает обнаружить злоумышленника на начальном этапе проникновения в сеть при сканировании сетей или портов. В-третьих, происходит обнаружение атакующего на этапе горизонтального перемещения (lateral movement) — например, если хакер скомпрометировал одно из автоматизированных рабочих мест (АРМ) и хочет переместиться на соседнее.

Технология Deception разработана с учётом анализа мышления и поведения злоумышленника и позволяет идентифицировать атаку на ранней стадии. Таким образом специалисты по ИБ получают значительное преимущество перед хакерами и выигрывают время в случае атаки. Также сотрудники собирают данные и анализируют действия нарушителя: как он смог проникнуть в инфраструктуру, что он для этого использовал и так далее. Иными словами, они проводят расследование.

Последнее, но не по значимости, — это интеграция с другими средствами защиты, такими как SIEM, межсетевые экраны (NGFW / UTM), EDR (Endpoint Detection and Response), песочницами. Поясним далее, для чего это необходимо.

Интеграция со средствами защиты

Согласно статистике, собранной одним из производителей DDP, 75 % организаций на российском рынке, которые уже использовали технологии обмана злоумышленников, будут наращивать их применение в ближайшие три года. При этом такие системы имеют низкое количество ложных срабатываний, поэтому будет актуальна интеграция с различными средствами защиты информации.

С SIEM:

  • Оперативное оповещение о взломанных машинах в SIEM.
  • Автоматический поиск заражённых систем с помощью настроенных политик.

С межсетевыми экранами (NGFW / UTM):

  • Возможность отправки запросов на блокировку или карантин заражённых АРМ.

C EDR (Endpoint Detection and Response):

  • Блокировка и отправка на карантин заражённых станций.
  • Автоматическое реагирование на инциденты с помощью политик изоляции.

C песочницами (Sandbox):

  • Отправка подозрительных исполняемых файлов на анализ.

Выводы

По данным Positive Technologies, в 65 % атак злоумышленники применяют в качестве инструментов вредоносные программы. При этом 8 из 10 мошеннических действий — целевые. Следовательно, хакеры проводят тщательную разведку и адаптируют свой инструментарий под специфику инфраструктуры жертвы. Для того чтобы успешно выявлять такие угрозы, приманки должны точно имитировать реальные рабочие станции сотрудников и провоцировать атакующих выдать себя.

Deception появилась на рынке меньше 10 лет назад, но уже набирает популярность у компаний. Её эффективность зависит от разработки и настройки решения. Это необходимо для того, чтобы злоумышленник не смог отличить приманку от реальной цели.

Применение Deception — широкое, решение внедряется не только в инфраструктуры офисных компаний, но и в сети АСУ ТП. Сейчас на отечественном рынке присутствует Xello, разработчик первой российской платформы класса Deception. На сегодняшний день эта платформа входит в Единый реестр отечественного ПО.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru