Технология обмана и обнаружения вторжений: ловушки для хакеров

CloudNetworks > Аналитика > Технология обмана и обнаружения вторжений: ловушки для хакеров
21.07.2021

Технология обмана и обнаружения вторжений: ловушки для хакеров

HoneyPots использовался в основном для привлечения хакеров в сеть, чтобы изучить их поведение и перемещения. Но теперь с развитием данной технологии, «ловушки» играют более важную роль в безопасности организаций.

Deception – следующий шаг в обмане злоумышленников. Эта технология расширяет возможности HoneyPots и делает ловушки более эффективными, создавая полноценные сети с имитацией реальных устройств и данных.

Разберем же, как работают технологии и почему они становится ключевым компонентом при подходе к многоуровневой защите компаний от кибератак.

 

Работа HoneyPot

HoneyPot обеспечивает раннее обнаружение несанкционированной сетевой активности. Система реалистично отображает часть сети, которую можно исследовать и атаковать. Поэтому любое взаимодействие с «приманкой» является подозрительной активностью злоумышленников.

HoneyPot с ограниченной «активностью» для злоумышленников, как правило, работает через эмуляцию служб и операционную систему (ОС). Приманки с низким уровнем взаимодействия:

  • легко развертывать и обслуживать;
  • они имеют минимальные риски;
  • злоумышленник не сможет получить доступа к реальной ОС;
  • хуже скрыты и поэтому легко обнаруживаются хакером.

HoneyPot с высоким уровнем взаимодействий для хакеров основана на реальных ОС и приложениях, без эмуляции. Такие приманки:

  • предоставляют злоумышленникам реальные системы, из-за чего хакерам труднее определить ловушку;
  • если имитировать HoneyPot под сеть компании, можно отслеживать активность всей среды;
  • при создании «доступной» инфраструктуры, позволяет узнать техники и процедуры хакера;
  • вариативны в настройках;
  • сложны в развертывании, для них необходимы дополнительные технологии для защиты других систем от хакеров;
  • им требуется «железо» (компьютеры, свитчи и т. д.).

 

Работа Deception

HoneyPot – это пассивная ловушка, которая просто ждет, пока злоумышленник найдет ее и выдаст себя. Опытные хакеры давно научились обнаруживать такие приманки. Новая технология обмана (Deception) усовершенствовала систему ловушек и теперь крайне эффективна для раннего обнаружения угроз.

Deception называют Next Generation HoneyPot. Эта новая технология обмана усовершенствовала систему ловушек. Благодаря слою фиктивных данных (приманок) она делает систему активной и «заманивает» злоумышленника.

Deception крайне эффективна для раннего обнаружения угроз, так как содержит все плюсы HoneyPot и делает ее еще более действенной. Deception как бы дополняет HoneyPot слоем данных, которые ссылаются на них.

Технология Deception предоставляет группам безопасности ряд тактик и следующие преимущества:

  1. Уменьшение времени нахождения злоумышленника в реальной сети.
  2. Неограниченное время пребывания хакера в «обманной» среде со сбором техник и анализом тактик.
  3. Ускорение среднего времени на обнаружение и устранение угроз.
  4. Упрощенная эксплуатация (решения могут предоставлять единую платформу для работы).

Автоматизация и машинное обучение поддерживают быстрое развертывание и обновление без касания для сохранения подлинности обмана. Интеллектуальные системы обмана могут рекомендовать и создавать настраиваемые средства (системы, приложения, серверы и данные), которые кажутся естественными для среды.

 

Преимущества ловушек для хакеров

HoneyPots и Deception используются, если систем обнаружения вторжений (IDS) для защиты недостаточно. Ведь приманки:

  • Невосприимчивы к шифрованию трафика.

IDS не может отслеживать зашифрованный сетевой трафик. HoneyPot будет записывать активность даже, если злоумышленник использует шифрование.

  • Облегчают просмотр данных.

HoneyPots, в отличии от IDS, собирают данные только при условии подозрительных взаимодействий с системой. С HoneyPots повышается рентабельность выявления несанкционированных действий и принятия ответных мер.

  • Требуют меньше ресурсов.

В отличии от IDS, HoneyPots требуются минимальные ресурсы даже в больших сетях. Например, один сервер с минимальными характеристиками можно использовать для мониторинга миллионов IP-адресов.

  • Уменьшают ложные срабатывания.

Администратор HoneyPot легко определит, аномальное взаимодействие с приманкой или легальное (например, ИТ-аудит). Это позволит организациям уменьшить (или даже исключить) ложные срабатывания и выявить ранее неизвестные атаки.

 

Преимущества Deception перед HoneyPot

Эффективность Honeypot вырастает благодаря слою фейковых данных. С Deception можно создавать разнообразные виды приманок – сетевой трафик, данные в AD, данные на конечных хостах, ПО, процессы и т. д.

Deception отвечает:

  • за разворачивание ловушек (Honeypot) в сети заказчика;
  • управление ловушками из единой консоли;
  • генерацию и распространение приманок по сети;
  • реагирование на использование приманок (например, взаимодействие с приманкой, поход в Active Directory c десептивными данным и пр.);
  • интеграцию со сторонними системами (SIEM, Syslog, Email, AD, DNS, SCCM).

Данная технология обеспечивает:

  1. Раннее обнаружение атак благодаря сбору дополнительной информации для решения проблем IDS и выявления новых векторов атак.
  2. Обнаружение внутренних атак, которые обычно менее заметны и более затратны, чем внешние атаки.
  3. Быстрое реагирование на инциденты без влияния на бизнес-операции.

 

В заключение

Вам следует рассматривать Deception как дополнительную технологию для защиты от кибератак и вторжений. Несмотря на сложность системы, Deception можно развернуть в течение одного дня и сразу же увидеть результаты технологии.

Эта технология по мере дальнейшего развития станет одной из важнейших компонентов безопасности на уровне предприятия.

Если вы хотите получить коммерческое предложение по системе-приманке, оставьте свою заявку, и наш менеджер свяжется с вами.

 

Технология обнаружения атак
Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.