Введение в технологии киберобмана
Несмотря на существенные усилия, которые компании прилагают к предотвращению успешных взломов, реальность такова, что, если продвинутые киберпреступники нацеливаются на определенную организацию, они найдут способ проникнуть внутрь.
Обмануть злоумышленника, который находится в процессе активной атаки, и заставить его думать, что он получил доступ к ценным данным, — это совсем не новая идея в сфере ИБ. Первая сеть ханипотов была разработана еще в 1999 году в рамках некоммерческого проекта «Honeynet Project», направленного на усиление мер Интернет-безопасности.
Эти системы-ловушки были созданы для того, чтобы намеренно заманивать и обманывать злоумышленников, тем самым получая возможность узнавать о зарождающихся атаках, останавливать их до нанесения реального ущерба, а также, что немаловажно, лучше понимать цели и тактики злоумышленников. В свое время эта идея была инновационной и результативной, но за последние 20 лет ИТ-инфраструктура компаний стала гораздо сложнее, а злоумышленники набрались опыта, поэтому и обманные технологии не должны отставать.
У современных ханипотов, как и у Deception-технологий нового поколения (таких как, например, система Illusive), есть свои преимущества, и очень важно понимать разницу между этими двумя классами решений – это позволит выбрать оптимальный способ защиты компании от злоумышленников, которые смогли обойти первый эшелон средств защиты и незаметно проникнуть внутрь сети.
Традиционные средства защиты пасуют перед современными хакерами
Несмотря на увеличивающиеся затраты на безопасность и максимальные усилия специалистов по ИБ, отчеты аналитиков и расследования продолжают показывать, что авторы вредоносного ПО и киберпреступники внедряют инновации в свою деятельность быстрее, чем на них могут реагировать специалисты по безопасности.
Злоумышленники все чаще обходят такие классы решений, как NGFW, песочницы, антивирусы, EDR и XDR, – независимо от того, насколько высоко эти решения находятся в квадрантах аналитических компаний и насколько хорошо они настроены. Эксперты рекомендуют считать, что вы уже взломаны, и ваша задача – найти и остановить злоумышленника в своей сети до того, как он нанесет реальный ущерб.
Поэтому грамотное выявление и реагирование на активную атаку является залогом успеха. Ханипоты и Deception-технологии нового поколения заметно отличаются от традиционных средств и подходов к киберзащите. Там, где традиционные продукты стремятся отреагировать на кибератаку и как можно скорее изолировать ее, ханипоты и Deception-системы нового поколения занимают более активную позицию, детектируя не атаку, а самих киберпреступников в процессе их работы.
Самое главное в киберобмане — его реалистичность
Наиболее ощутимое различие двух подходов — Deception-технологий нового поколения и ханипотов — лежит в их возможностях имитировать реальные сценарии развития событий. Киберпреступники вычисляют ханипоты потому, что они ведут себя не так, как настоящие системы под управлением пользователей. Когда ханипоты внедряются, их настраивают на определенный шаблон поведения и автоматизированное выполнение определенных задач, имитирующих работу пользователя. И хотя такой подход был эффективен в прошлом, сейчас злоумышленников уже не так легко обмануть.
Deception-технологии охватывают те вектора угроз, которые ханипоты упускают
Атаки с использованием социальной инженерии и нацеленного фишинга служат примером того, как можно обойти ханипоты. Многие современные атаки начинаются с того, что пользователю забрасывают «приманку», например, фишинговое письмо, которое он открывает на рабочем компьютере, что позволяет вредоносному ПО проникнуть в сеть.
Ханипоты могут сканировать вложенные файлы – традиционный вектор атаки, но не способны взаимодействовать с нацеленной фишинговой атакой так, как это делают пользователи. Следовательно, ханипоты не смогут спровоцировать и выявить злоумышленника или саму атаку, использующую такой вектор. В отличие от ханипотов, обманные технологии нового поколения являются гораздо более гибкими. Более того, они могут автоматически изменять обманную среду, не оставляя ее статичной, как и подобает настоящей сети, в которой пользовательские и сетевые данные естественным образом меняются.
Ханипоты — гораздо более статичная технология, которая покрывает лишь то пространство сети, которое вы можете физически охватить обманными машинами. Технологии киберобмана нового поколения охватывают значительно больше векторов атаки и локаций, при этом выявляя злоумышленника всего за три или четыре его шага по вашей сети, даже если обманные элементы развернуты не на каждой машине.
Вычислять ханипоты – привычное дело для злоумышленников
Понимание способностей противника важно для построения системы защиты, которая сможет их выявить. Вот несколько способов, которыми злоумышленники определяют, задействован ли ханипот:
- Если доступ к системе кажется слишком простым, вероятно, это подделка.
- Обычно системы, подключенные к Интернету, не имеют ненужных портов и служб. Любое отклонение от этой конфигурации может указывать на ловушку.
- Если в системе все еще есть настройки по умолчанию, это увеличивает вероятность использования ханипота.
- Если на жестком диске много свободного места или установлено очень мало программного обеспечения, это может быть ханипот.
- Если названия папок тривиальны (например, «Зарплаты», «Данные клиентов», «Пароли»), очевидно, что системы нацелены на заманивание злоумышленников.
Все эти сигналы говорят злоумышленникам, что система может быть ненастоящей.
Deception-технологии срывают планы злоумышленников по всей сети
В противоположность ханипотам, чтобы злоумышленники ничего не заподозрили, обманные технологии нового поколения снабжают их нескончаемым потоком ложной информации, которая при этом выглядит подлинной, вперемежку с реальными данными. Этот искусный обман сбивает злоумышленников с толку до такой степени, что они перестают понимать, где реальность, а где иллюзия. Такой подход сфокусирован на дезориентации киберпреступников и позволяет ввести в заблуждение даже самых опытных из них. Практический опыт внедрений авторов статьи показывает, что даже непосредственные администраторы систем киберобмана не всегда могут определить, какие артефакты реальны, а какие являются результатом работы Deception-систем.
Технологии обмана нового поколения предоставляют мощный функционал обнаружения атак и сбора форензики в реальном времени, практически без ложных срабатываний, а атакующие никогда не узнают, что они находятся под наблюдением. Ханипоты тоже эффективны при поимке злоумышленников, но они обладают гораздо меньшей степенью детекта реальных угроз, генерируют гораздо больше ложных срабатываний и не предоставляют форензику с реальных хостов, используемых злоумышленником для атаки.
Red Team подтверждают: технологии киберобмана преуспевают там, где ханипоты не справляются
В недавних параллельных Red Team-тестах ханипоты продемонстрировали «сравнительно низкие показатели обнаружения, но высокие издержки на обслуживание и управление. Ханипоты не предоставляют контекста, они одномерны и их сложно масштабировать в динамической среде». Архитектура на основе ханипотов не является оптимальной инвестицией.
Что же касается обманных технологий нового поколения, то они были разработаны с учетом современного ландшафта угроз. В тестах Red Team эти технологии получили высокие оценки по всем показателям:
- участники Red Team сообщают, что обойти современные технологии киберобмана крайне сложно. Попытки латерального движения Red Team по сети генерировали тысячи алертов. Технологии киберобмана позволили легко отследить траекторию атаки и не дали Red Team достигнуть конечной цели;
- киберпреступники компрометируют системы, латерально перемещаясь от одной машины к другой. Защитные обманные технологии обнаруживают латеральное движение на ранних этапах, собирают данные форензики в реальном времени и составляют «портрет» атакующего;
- большое внимание в технологии киберобмана нового поколения уделяется принципу «вектор атаки как ресурс» (Vector-as-a-Resource, V2R), благодаря которому злоумышленников можно застать врасплох: ловушки и приманки появляются там, где они не могли бы появиться при использовании ханипотов. Обманные активы V2R могут располагаться по всей сети в любом месте, поэтому у атакующих практически нет возможности узнать, что они действуют по фальшивому сценарию.
Больше меда, меньше дегтя: легкие и удобные технологии киберобмана
Ханипоты и Deception-технологии нового поколения разработаны для проактивного создания иллюзий и отслеживания киберпреступников в процессе атаки. Но на этом сходства этих двух видов защитных решений заканчиваются. Их подходы значительно различаются, как с точки зрения злоумышленника, так и с точки зрения специалиста по ИБ.
Ханипоты – это полноценные или урезанные системы, которые устанавливаются в выбранной подсети в виде дополнительных машин. Эти статические системы действуют как своего рода песочница, пытаясь заманить злоумышленников обещанием конфиденциальных данных, а затем отслеживая каждое их движение.
С другой стороны, обманные технологии нового поколения представляют собой «королевство кривых зеркал». Ложная информация оказывается повсюду на пути злоумышленников, которые используют ее на стадии латерального движения. Злоумышленники методичны – они собирают данные, анализируют их и рассчитывают свой следующий шаг, неустанно продвигаясь по сети.
Обманные технологии нового поколения Illusive учитывают такую методичность злоумышленников и извлекают из нее пользу, органично вплетая искусно подобранные «приманки» в реальную инфраструктуру компании, привлекая хакеров, уведомляя специалистов по ИБ и блокируя атаку. При этом компании могут не только останавливать атаки до того, как нанесен реальный ущерб, но и получать критически важную информацию о них в виде форензики, которая может пригодиться в расследованиях.
Заключение
Архитектура с применением ханипотов была передовой технологией для своего времени. Она заложила основу для более проактивного подхода к киберзащите и позволила держать злоумышленников на безопасном расстоянии.
Однако современные киберпреступники действуют более подготовлено, целенаправленно и изобретательно, особенно когда речь идет о поиске новых векторов атак. Они уверенно обходят традиционные периметровые и хостовые СЗИ, при этом избегая ханипоты. Более того, по отзывам компаний, нагрузка на специалистов ИБ растет, квалифицированного персонала не хватает, а системы ханипотов плохо масштабируются и тяжелы в управлении в масштабах организации. Очевидно, что компании, которые хотят защищаться от продвинутых и нацеленных атак, больше не могут фокусировать все свои ресурсы только на традиционных СЗИ или ханипотах.
Помимо традиционных средств защиты организациям нужно внедрять и продукты, направленные на внутреннюю поверхность атаки, например, такие как Deception-технологии Illusive, которые помогают обнаружить злоумышленника во время осуществления атаки. Такая превентивная технология позволяет перейти от старых подходов, которые безуспешно пытаются предотвратить угрозу, к более нестандартным решениям, которые позволяют выследить и остановить профессиональных хакеров, обошедших первую линию обороны. Уровень защиты повышается благодаря тому, что обманные технологии расположены по всей сети и на каждом элементе поверхности атаки, который может использоваться злоумышленником. По сути, Illusive способен создать целый лабиринт неизбежных иллюзий поверх сети компании быстро, эффективно и с возможностью масштабировать его в будущем по мере развития инфраструктуры организации.
Для тех, кто серьезно относится к выявлению киберпреступников, обошедших первую линию обороны, обманные технологии нового поколения от Illusive являются важным шагом на пути к современной системе кибербезопасности.
Узнайте больше о решении для активной защиты Illusive
Пакет решений Illusive Active Defense Suite позволяет организациям создавать среду, враждебную действиям злоумышленников. Активная защита является жизненно важной частью диверсифицированной стратегии выявления злоумышленника, заполняя важный пробел в обнаружении латерального движения атакующего в существующей защите периметра. Каждый из продуктов в Illusive Active Defense Suite играет важную роль в предотвращении достижения злоумышленниками своих целей, создавая враждебную среду и ускоряя время обнаружения для злоумышленника, установившего плацдарм:
- Attack Surface Manager (ASM) постоянно анализирует и удаляет ненужные учетные данные и пути, уменьшая поверхность атаки.
- Attack Detection System (ADS) не позволяет злоумышленникам двигаться вбок, превращая каждую конечную точку в сеть обманов.
- Attack Intelligence System (AIS) предоставляет удобочитаемую телеметрию по запросу о текущих действиях злоумышленников, чтобы ускорить расследование и устранение неисправностей.
Закажите консультацию по этой ссылке.
