Всё, что нужно знать о технологии Deception и решении от TrapX

Существует много векторов атак на корпоративную сеть, в том числе атаки на цепь поставщиков, взлом облака, взлом IoT-девайсов, фишинг и пр. В этой статье Ольга Чуприкова, пресейл-инженер Fortis, и Александра Соколова, редактор Cloud Networks, разберут систему ложных целей для защиты инфраструктуры от злоумышленников – TrapX Deception GRID.

Когда требуется внедрение технологии Deception?

Когда киберпреступник скомпрометировал компьютер сотрудника, он начинает искать информацию с помощью инструментов, оставлять back-doors, изучать переписки. Хакер может находиться в сети незамеченным несколько лет.

В среднем на выявление злоумышленника в сети уходит 197 дней. Технология Deception помогает защититься от хакеров и неблагонадежных сотрудников, решая проблему взлома уже после проникновения злоумышленника в сеть.

Киберпреступник в процессе изучения сети натыкается на расставленные токены, ведущие к фальшивому (но очень реалистичному) ресурсу. Решение удерживает злоумышленника в сети, чтобы эксперты по безопасности смогли проанализировать его действия, выявить тактики и направить данные для расследований в SOC-центры.

Благодаря технологии Deception компании:

• оптимизируют свои Центры управления безопасностью (SOC);
• избавятся от ложных срабатываний и будут обнаруживать атаки, совершаемые людьми;
• смогут манипулировать злоумышленником, создавая или удаляя ложные активы.

Как работает решение TrapX Deception?

TrapX Deception GRID дублирует ресурсы (рабочие станции, серверы, сетевые устройства), создавая «теневую» сеть организации с так называемыми ловушками. Специалист устанавливает специальные токены (приманки), например, браузерные закладки, ярлыки подключения, учетные данные и т. д.

Для пользователя токены скрыты, и обращение к ним и теневым ресурсам помечается системой как «Alert». Таких токенов большое количество. В них вшит специальный файл-ловушка, при открытии которого будет высвечено предупреждение в системе. Специалист компании сможет выяснить откуда был открыт токен.

Архитектура TrapX Deception GRID представлена на рисунке 1. Архитектура базируется на двух способах развертывания: в облаке или в гипервизоре.

Рисунок 1. Архитектура решения TrapX.

Итак, на компьютеры пользователей устанавливаются токены. Выстраивается теневая сеть с ловушками. После можно выявлять в сети ботнеты, мониторя трафик с корпоративного файерволла.

Преимущества и недостатки TrapX Deception GRID

Основные преимущества TrapX Deception:

1. Обширные возможности по интеграции – с брандмауэрами, NAC, SIEM, гипервизорами и другими инструментами безопасности.
2. Имитация теневых ресурсов – создание сотен фальшивых ресурсов, сетей и ложных целей, неотличимых от реально действующих.
3. Создание приманок для хакеров – генерация маркеров (файлов), способных привлечь внимание злоумышленников.
4. Гибкое развертывание – осуществляется незаметное развертывание в сетевой и облачной инфраструктуре с легким масштабированием в обе стороны.

На «сервере ловушек» можно развернуть множество имитирующих устройств. При входе в них злоумышленника, за ним можно будет следить. А в случае установки шифровального вируса, у компании сразу появится детект в системе.

Недостатки решения:

1. Необходимость продумывания плана ловушек.
2. Для имитации сервисов FullOS нужно выделение лицензии, так как это реальная рабочая машина.

Система создает в автоматическом режиме только по одной ловушке, чего недостаточно для защиты активов компании. Дальнейшее построение ловушек на стороне организации. Рекомендуется, чтобы количество ловушек составляло не менее 10% от количества активов сети. Поэтому важно продумать грамотное построение ловушек.

Построение ловушек и теневых ресурсов

Нельзя сделать ловушек, на которую будут одновременно подняты Microsoft SQL Server и Oracle. Ведь в компаниях работает единый сервис. Следует продумывать всю систему, чтобы сделать ее максимально приближенной к реально существующей. Только так злоумышленник «клюнет» на ловушку. Процесс атаки отображен на рисунке 2.

Рисунок 2. Среда атаки при использовании Deception.

Если у компании нет эксперта или возможностей для построения подобных систем, Fortis совместно с Cloud Networks предлагают услуги по настройке теневой сети.

Технология Deception в вашем стеке безопасности

Технология Deception не является компонентом информационной безопасности. Она работает как отдельный инструмент кибер-контроля, поэтому должен быть развернут в любой организации, независимо от ее размера. Технология принесет пользу общей программе безопасности. Благодаря ей отдел кибербезопасности получит преимущество перед злоумышленниками.

Почему стоит внедрять Deception от TrapX? Компания более 10 лет на рынке, среди клиентов –BBC, ebay, Huawei и другие известные бренды. Если вы заинтересованы в решении TrapX Deception GRID, то Fortis и Cloud Networks помогут вам с реализацией данной системы.

Оставьте свои контактные данные для заказа демонстрации по TrapX Deception GRID.