Приманки HoneyPot и технология Deception для обнаружения сетевых атак и защиты данных
Более 90% злоумышленников используют продвинутые технологии для проникновения в корпоративные сети, обходя большинство средств информационной защиты. Центры управления безопасностью (SOC) не могут обеспечить должный уровень защищенности и у них, как правило, уходит от 150 часов на обнаружение и устранение выявленной уязвимости. За это время хакер успеет скомпрометировать конфиденциальные данные компании. К тому же центры SOC являются дорогостоящим ресурсом.
Поэтому для сбора и оценки информации о злоумышленниках были созданы приманки (HoneyPot системы). Однако они имели ограниченный объем и их могли обнаружить. Впоследствии для эффективной защиты данных, сетей и приложений разработали технологию Deception. Дословно – «технологию обмана», благодаря которой хакер, получивший доступ в корпоративную сеть, направлялся по специально подготовленной системе ловушек.
Давайте разберем, в чем разница между Deception и HoneyPot, а также как с их помощью можно предотвращать сетевые атаки.
С чего начинались приманки для хакеров?
Приманки для хакеров (HoneyPot) начали широко распространяться в 00-х. Они привлекали внимание злоумышленников, «открывая» слабые точки для атак. Приманки отвлекали хакеров от реальных конфиденциальных данных, заменяя их фальшивыми и недостоверными. Так маскировались сети, чтобы отвлекать хакера от боевой инфраструктуры, имитируя уязвимые места в компьютерной сети. Затем HoneyPot собирали информацию о проникновениях и действиях хакерах, попавших в сеть. Схема работы приманок представлена ниже.
Работа приманок HoneyPot.
Приманки требовали значительных ресурсов, поэтому в организациях их разворачивали в малых количествах. Следовательно, не все участки сети находились под защитой, из-за чего приходилось внедрять дополнительные средства обнаружения и реагирования на угрозы. Поэтому злоумышленник мог и не заметить ловушку.
Со временем выявлять злоумышленниках на ранних этапах атак стало труднее. Опытные хакеры быстро обнаруживали приманки HoneyPot и обходили их. HoneyPot с низким уровнем взаимодействия пусть и обеспечивала высокую окупаемость инвестиций, но злоумышленники обнаруживали их из-за недостатка сложности реальной сети. На смену HoneyPot пришла продвинутая технология обмана Deception.
Эволюция приманок для хакеров.
Технология обмана (Deception) предоставляет защиту путем распределения набора ловушек по инфраструктуре для имитации подлинных активов. Когда злоумышленники ищут уязвимые места в сети предприятия, им «скармливается» ложная информация о топографии и активах. Как только злоумышленник оказывается внутри сети, сегодняшняя технология Deception позволяет командам безопасности обнаружить движения злоумышленника на самом раннем этапе.
В отличии от HoneyPot, которая собирает данные изолированно, Deception «расширяет» пределы ловушки на конечные точки, сервер или устройство. Это позволяет собирать информацию в производственной среде, обеспечивая невиданную ранее визуализацию поверхности атаки и высокоэффективное обнаружение киберугроз.
Интеллектуальные системы Deception могут рекомендовать и создавать настраиваемые средства обмана (сети, системы, приложения, серверы и данные, которые кажутся реальными). Основная цель состоит в выявлении попыток нежелательного доступа к сети и информировании служб безопасности. Deception позволяет обнаруживать сетевые атаки и защищать критические активы компании от компрометации.
Нужно ли использовать технологию Deception для предотвращения хакерских атак?
При недостаточной безопасности периметра хакер может прослушать разговоры, получить доступ к корпоративным данным, добраться до ЦОД (центров обработки данных) и нанести вред компании. Несмотря на защиту, компания может подвергнуться другим методам атак:
Согласно отчету Ponemon Institute об утечках данных за прошлый год:
- 17% утечек произошло из-за фишинга и социальной инженерии,
- 16% из-за уязвимостей в стороннем программном обеспечении,
- 10% из-за нарушений физической безопасности,
- 7% из-за злонамеренных инсайдеров,
- 6% из-за неправильной конфигурации или системной ошибки,
- 5% утечек вызвано компрометацией деловой электронной почты.
Система ловушек Deception не даст причинить значительный ущерб организации, имитируя реальные технологические активы по всей инфраструктуре. Вы можете размещать в сети обманчивые системы, службы, учетные данные, файлы и другие ресурсы. Любое взаимодействие с ловушками означает злонамеренную активность. Построив обманную сеть, центры безопасности смогут уберечь критические ресурсы компании и замедлить хакерскую атаку, отслеживая действия злоумышленника.
При анализе взаимодействий хакеров с обманчивыми ресурсами можно узнать о тактиках и процедурах злоумышленников и улучшить кибер-защиту компании. Исчерпывающая информация об атаках позволит Центрам управления безопасностью (SOC) эффективнее реагировать на инциденты и сократить расходы.
Подробнее о технологии Deception вы можете прочитать в другой нашей статье.
Технология обмана и обнаружения вторжений: ловушки для хакеров
Deception – следующий шаг в обмане злоумышленников. Эта технология расширяет возможности HoneyPots и делает ловушки более эффективными, создавая полноценные сети с имитацией реальных устройств и данных.
Система обмана Deception в вашем стеке безопасности
Систему обмана Deception могут развернуть компании любого размера. У некоторых вендоров для технологии есть дополнительные средства управления, чтобы работать совместно с установленной программой безопасности. Ловушка для хакеров создаст ложное ощущение уверенности, что они закрепились в сети, предоставляя время отделу безопасности исследовать кибер-инцидент.
Преимущества технологии Deception:
- анализ поведения пользователя,
- высокая продолжительность работы ловушек,
- низкие эксплуатационные расходы,
- низкий уровень ложных срабатываний,
- обнаружение нарушений на ранних этапах,
- оповещения отдела безопасности.
Обязательным фактором для выбора системы Deception является ее интеграция с другими решениями безопасности, которые улучшат возможности обнаружения угроз. Поэтому при выборе решения обратите внимание на совмещение со следующим ПО:
- SIEM (управление инцидентами и событиями безопасности),
- EDR (обнаружение и реагирование конечных точек),
- SOAR (управление безопасностью, автоматизации и реагирования)
- Sandbox (обнаружение угроз в загруженных файлах в изолированной среде),
- NAC (ограничение доступа к сети скомпрометированных конечных точек),
- МСЭ (автоматическое создание правил на основе инцидентов),
- Гипервизоры (автоматизация восстановления экосиситемы).
Если вы готовы развернуть ловушки для хакеров, важно выбрать решение, которое предлагает вам обширные функции, а не простое обнаружение кибер-угрозы. Все перечисленное есть в решении TrapX.
TrapX для предотвращения хакерских атак
После решения инвестировать в технологию Deception возникает вопрос – как выбрать и где купить такую систему? Лучшим на мировом рынке на данный момент считается продукт от израильской компании TrapX. В задачи решения входит нарушение хода атаки хакера через дезинформацию. Создаются сотни уникальных и быстро устанавливаемых ловушек, благодаря которым можно максимально снизить уровень угрозы.
TrapX DeceptionGrid 7.1 — это первая программная платформа, использующая принцип активной защиты
для планирования, развертывания, тестирования и оптимизации системы ложных целей в соответствии со
сценариями атак, описанными в каталоге MITRE ATT&CK.
Продукт TrapX DeceptionGrid предоставляет:
- передовые технологии обмана,
- поддержку корпоративных организаций в усилении обнаружения угроз,
- меры реагирования со значительно низким уровнем ложных срабатываний,
- комбинирование ловушек сетевой эмуляции с реальной ОС,
- глубокий уровень взаимодействия злоумышленников,
- поддержку масштабируемости корпоративного уровня.
Решение регулярно обновляется и пополняется новым функционалом. Уже доступны:
- ACL – ограничение доступа к TSOC по IP;
- Active Defense Scorecard – анализ текущего покрытия в сети для оценки обнаружения атак в соответствии с тактикой и методами MITRE;
- HIGH-interaction SSH – интерактивная эмуляция службы SSH для достижения максимальной реалистичности с учетом надежной изолированности;
- автоматическая отправка образцов из Full OS в песочницу для статического и динамического анализа;
- детектирование новых видов Shell атак;
- обработка событий с ловушек в реальном времени с контролем профиля безопасности;
- определение операционной системы и MAC-адреса, атакующего;
- определение шифровальщиков в любом месте файловой системы;
- поддержка Kerberos аутентификации для служб SMB;
- поддержка и защита контейнеров:
- расширенный API функционал;
- создание кастомного типа ловушек на основе реальных активов сети;
- эмуляция внешних VPN сервисов и пр.
В TrapX Deception используется аудит состояния конечных точек удаленных сотрудников. На единой панели и простой карте активностей можно отслеживать любые установленные обновления, подключения или средства безопасности. Вследствие анализа и визуализации состояния безопасности в режиме реального времени, вы сможете обеспечить непрерывную защиту бизнеса.
Купить TrapX DeceptionGrid можно у сертифицированного партнера-интегратора Cloud Networks. Если вас заинтересовало решение HoneyPot или Deception, оставьте свою заявку на бесплатную консультацию:
В заключение
Технология Deception – это системы обнаружения, а не предотвращения. С Deception уменьшится время нахождения злоумышленника в реальной сети, ускориться среднее время на обнаружение и устранение угроз. Deception позволяет:
- легко масштабировать систему обмана по мере роста организации и уровня угроз;
- экономить человеческие ресурсы;
- обеспечивать раннее обнаружение для быстрого предотвращения атак.
Благодаря интеграции с другими решениями (например, SIEM) команда безопасности сможет проводить полноценный анализ инцидентов, централизованно хранить и реагировать на угрозы. Если вы сомневаетесь в выборе решения Deception, обратитесь к менеджерам Cloud Networks, и они подберут подходящий продукт для вашей организации.
