Технология обмана и обнаружения вторжений: ловушки для хакеров

HoneyPots использовался в основном для привлечения хакеров в сеть, чтобы изучить их поведение и перемещения. Но теперь с развитием данной технологии, «ловушки» играют более важную роль в безопасности организаций.

Deception – следующий шаг в обмане злоумышленников. Эта технология расширяет возможности HoneyPots и делает ловушки более эффективными, создавая полноценные сети с имитацией реальных устройств и данных.

Разберем же, как работают технологии и почему они становится ключевым компонентом при подходе к многоуровневой защите компаний от кибератак.

Работа HoneyPot

HoneyPot обеспечивает раннее обнаружение несанкционированной сетевой активности. Система реалистично отображает часть сети, которую можно исследовать и атаковать. Поэтому любое взаимодействие с «приманкой» является подозрительной активностью злоумышленников.

HoneyPot с ограниченной «активностью» для злоумышленников, как правило, работает через эмуляцию служб и операционную систему (ОС). Приманки с низким уровнем взаимодействия:

• легко развертывать и обслуживать;
• они имеют минимальные риски;
• злоумышленник не сможет получить доступа к реальной ОС;
• хуже скрыты и поэтому легко обнаруживаются хакером.

HoneyPot с высоким уровнем взаимодействий для хакеров основана на реальных ОС и приложениях, без эмуляции. Такие приманки:

• предоставляют злоумышленникам реальные системы, из-за чего хакерам труднее определить ловушку;
• если имитировать HoneyPot под сеть компании, можно отслеживать активность всей среды;
• при создании «доступной» инфраструктуры, позволяет узнать техники и процедуры хакера;
• вариативны в настройках;
• сложны в развертывании, для них необходимы дополнительные технологии для защиты других систем от хакеров;
• им требуется «железо» (компьютеры, свитчи и т. д.).

Работа Deception

HoneyPot – это пассивная ловушка, которая просто ждет, пока злоумышленник найдет ее и выдаст себя. Опытные хакеры давно научились обнаруживать такие приманки. Новая технология обмана (Deception) усовершенствовала систему ловушек и теперь крайне эффективна для раннего обнаружения угроз.

Deception называют Next Generation HoneyPot. Эта новая технология обмана усовершенствовала систему ловушек. Благодаря слою фиктивных данных (приманок) она делает систему активной и «заманивает» злоумышленника.

Deception крайне эффективна для раннего обнаружения угроз, так как содержит все плюсы HoneyPot и делает ее еще более действенной. Deception как бы дополняет HoneyPot слоем данных, которые ссылаются на них.

Технология Deception предоставляет группам безопасности ряд тактик и следующие преимущества:

1. Уменьшение времени нахождения злоумышленника в реальной сети.
2. Неограниченное время пребывания хакера в «обманной» среде со сбором техник и анализом тактик.
3. Ускорение среднего времени на обнаружение и устранение угроз.
4. Упрощенная эксплуатация (решения могут предоставлять единую платформу для работы).

Автоматизация и машинное обучение поддерживают быстрое развертывание и обновление без касания для сохранения подлинности обмана. Интеллектуальные системы обмана могут рекомендовать и создавать настраиваемые средства (системы, приложения, серверы и данные), которые кажутся естественными для среды.

Преимущества ловушек для хакеров

HoneyPots и Deception используются, если систем обнаружения вторжений (IDS) для защиты недостаточно. Ведь приманки:

• Невосприимчивы к шифрованию трафика.

IDS не может отслеживать зашифрованный сетевой трафик. HoneyPot будет записывать активность даже, если злоумышленник использует шифрование.

• Облегчают просмотр данных.

HoneyPots, в отличии от IDS, собирают данные только при условии подозрительных взаимодействий с системой. С HoneyPots повышается рентабельность выявления несанкционированных действий и принятия ответных мер.

• Требуют меньше ресурсов.

В отличии от IDS, HoneyPots требуются минимальные ресурсы даже в больших сетях. Например, один сервер с минимальными характеристиками можно использовать для мониторинга миллионов IP-адресов.

• Уменьшают ложные срабатывания.

Администратор HoneyPot легко определит, аномальное взаимодействие с приманкой или легальное (например, ИТ-аудит). Это позволит организациям уменьшить (или даже исключить) ложные срабатывания и выявить ранее неизвестные атаки.

Преимущества Deception перед HoneyPot

Эффективность Honeypot вырастает благодаря слою фейковых данных. С Deception можно создавать разнообразные виды приманок – сетевой трафик, данные в AD, данные на конечных хостах, ПО, процессы и т. д.

Deception отвечает:

• за разворачивание ловушек (Honeypot) в сети заказчика;
• управление ловушками из единой консоли;
• генерацию и распространение приманок по сети;
• реагирование на использование приманок (например, взаимодействие с приманкой, поход в Active Directory c десептивными данным и пр.);
• интеграцию со сторонними системами (SIEM, Syslog, Email, AD, DNS, SCCM).

Данная технология обеспечивает:

1. Раннее обнаружение атак благодаря сбору дополнительной информации для решения проблем IDS и выявления новых векторов атак.
2. Обнаружение внутренних атак, которые обычно менее заметны и более затратны, чем внешние атаки.
3. Быстрое реагирование на инциденты без влияния на бизнес-операции.

В заключение

Вам следует рассматривать Deception как дополнительную технологию для защиты от кибератак и вторжений. Несмотря на сложность системы, Deception можно развернуть в течение одного дня и сразу же увидеть результаты технологии.

Эта технология по мере дальнейшего развития станет одной из важнейших компонентов безопасности на уровне предприятия.

Если вы хотите получить коммерческое предложение по системе-приманке, оставьте свою заявку, и наш менеджер свяжется с вами.