Deception Technology и HoneyPot — имитация активов для обмана злоумышленников

Cloud Networks > Информационная безопасность > Deception Technology и HoneyPot — имитация активов для обмана злоумышленников

Приманки – это кибер-системы и процессы, созданные для сбора информации о поведении и векторах угроз. Deception Technology и HoneyPot предназначены для привлечения злоумышленников и сдерживания вредоносных действий для проникновения в сеть или для поиска ценных активов. Развертывание специальных ловушек делает невозможным обнаружение реальных сетевых ресурсов и приманок. Реальные или смоделированные системы и процессы настроены так, чтобы их можно было принять за настоящие, только с уязвимостями.

Приманки – это распространенный метод и инструмент для обнаружения неконтролируемых источников угроз. И дальше мы расскажем обо всех аспектах внедрения технологии обмана, а также о мировых и отечественных производителях Decepton-систем и приманок HoneyPot.

Технология HoneyPot

HoneyPot или HoneyNet – технология современной сетевой защиты. Это система, единственная цель которой привлекать потенциальных злоумышленников и регистрировать их деятельность для дальнейшего анализа и расследования нарушений безопасности. Почти любое взаимодействие с HoneyPot – это хакерская активность, поэтому число ложных срабатываний сводится к нулю.

Для компаний приманка для хакеров может быть полезным источником данных, а также отличным инструментов для поиска угроз. Разные виды HoneyPot позволят понять ландшафт угроз и какие IP-адреса блокировать в своих внутренних сетях на основе действий приманки.

Создание персонализированных приманок, имитирующих среду компаний, позволит эффективнее «заманивать» хакеров. Например, путем размещения поддельного активного каталога. Система работает, когда злоумышленник преодолел все периметровые средства защиты. Приманка HoneyPot обеспечивает компаниям раннее предупреждение и позволяет исследовать методы киберпреступников и «ловить» хакеров. Ведь понимание того, кто хочет напасть на вас, поможет вам лучше защититься.

Взаимодействующие HoneyPots, имитирующие реальную сеть, создают целую систему ловушек HoneyNet, которая настроена на дискретный мониторинг и запись всех данных.

Возможности HoneyPot:

  • Сдерживание действительно опасных атак.
  • Злоумышленники тратят свое время на ловушки.
  • Анализ передвижений и действий хакеров.
  • Обнаружение потенциально новых форм атак.
honeynet

Технология Deception

Deception Technology или Технология обмана – это усовершенствованный тип кибербезопасности, следующая ступень развития имитирующих систем HoneyPot. Данная технология использует тактику обмана – от поддельных сетевых сред до искусственных учетных данных. С целью поймать злоумышленников и узнать побольше об их методиках и действиях.

В отличие от традиционной инфраструктуры безопасности, например брандмауэров, технология обмана не стремится защищать просто периметр. Система Deception ​​обнаруживает любую незаконную деятельность, даже если она происходит внутри организации. Технология обмана может предотвратить атаки и проблемы, недоступные другим решениям.

Deception Technology создает активную защиту. Конечная цель – предотвратить повреждение системы за счет лучшей информированности и подготовки.

Моделирование угроз

Одна из стратегий противодействия обману – это использование методов снятия отпечатков пальцев для определения существования приманок.

Моделирование угроз – это процесс анализа безопасности и уязвимостей приложения, который обычно используется для анализа проблем безопасности приложения или сетевых служб путем выявления уязвимостей системы. Существует три модели прямых атак на приманки:

  • переполнение приманок путем отправки пакетов мусора,
  • компрометация приманки для превращения ее в боте,
  • использование приманки в качестве платформы для слежки.

Эти атаки могут быть выполнены после обнаружения приманки посредством снятия отпечатков пальцев. Чтобы противостоять данным угрозам, необходимо оценить каждый уровень OSI, включая данные TTL (время жизни) на уровне 3, порты TCP или UDP на уровне 4 и так далее. Пример моделирования угроз HoneyPot представлен на рисунке ниже.

Устройство шлюза в приманке HoneyNet называется Honeywall. Его можно рассматривать как основную точку входа и выхода для всего сетевого трафика для приманок HoneyNet. Что позволит осуществлять полный контроль и анализ всего сетевого трафика, поступающего в систему HoneyNet и исходящего из нее. Honeywall преследует три основные цели: контроль данных, сбор данных, оповещение.

Первоначальные приманки были простыми симуляторами сервисов для отслеживания поведения угроз. Новейшие угрозы изменили свое поведение, чтобы их не могли поймать Honeywall. Усовершенствованные платформы распределенного обмана представляют собой современную технологию приманок с несколькими уровнями обмана и высоким уровнем взаимодействия. Они осуществляются посредством централизованных служб контроля и управления. Эти системы создают настоящие сетевые службы вместе с фиктивными учетными данными, которые распространяются на действующих пользовательских машинах в сети, чтобы злоумышленники воспринимали их как использованные службы.

Работа HoneyPot и Deception

Приманка и технология обмана часто ошибочно используются как синонимы, это не одно и то же. HoneyPot – это инструменты, используемые для привлечения злоумышленников, чтобы они раскрыли свое присутствие и предоставили подсказки об их намерениях. Приманками HoneyPot может быть что угодно – от данных и информации до услуг или других ресурсов.

HoneyPot имитирует, будто в системах компании есть точки входа, не защищенные должным образом, тем самым привлекая злоумышленников. Благодаря приманке, компания предотвращает атаки и может отследить и проанализировать все действия хакеров. Это потенциально полезная стратегия, прежде всего для крупных компаний, которые часто располагают большим количеством конфиденциальных данных и являются привлекательной целью для злоумышленников.

Ловушка работает следующим образом:

  1. Устанавливается ряд серверов или систем, которые кажутся уязвимыми.
  2. После установки ловушки, целью становится привлечение атакующих.
  3. Действия хакера, попавшего в «ловушку», находятся под контролем.

Когда технология обмана ограничивалась приманками, она не могла реализовать себя как полноценное решение кибербезопасности. Ранние приманки не выдерживали проверки достоверности. Технология Deception развилась из приманок в гораздо более сложный инструмент. Благодаря технологии обмана приманки (серверы баз данных, файловые серверы, сетевые устройства и работу общих сетевых протоколов) можно запустить одним щелчком мыши. Центральная панель управления позволяет администраторам сети управлять, настраивать и контролировать все приманки на своем предприятии.

Система Deception обнаруживает злоумышленников, когда они делают свой первый шаг в сети организации. Киберпреступники используют определенные схемы после получения доступа к сети. Больше они не могут свободно перемещаться по сети и возвращаться несколько раз с использованием эксплойтов. Вместо этого они вынуждены тратить больше денег, времени и усилий на попытки атак, и они постоянно опасаются, что совершат ошибку.

Другими словами, Deception создает враждебную среду для злоумышленников, в которой использование вредоносного программного обеспечения или уязвимостей на неправильной цели означает, что атака окончена, поскольку у злоумышленников снимаются «отпечатки пальцев». Сигнатуры и шаблоны их атак создаются и распространяются по всей организации. Некоторые методы, используемые технологией обмана, – это травля, мониторинг, снятие отпечатков пальцев и анализ.

Программное обеспечение приманок помогает компаниям узнать, где они уязвимы и что им необходимо принять меры противодействия. Deception и HoneyPot собирают информацию о вредоносных программах, раскрывают подробности о хакерах и тратят время злоумышленников, заманивая их в тупиковые сети.

Развертывание приманок

Приманки никогда не следует развертывать в сети специально. Как и любую другую платформу безопасности, они должны быть развернуты как часть общего плана кибербезопасности. Приманки должны получить одобрение руководства для развертывания – это не только защищает группу безопасности, но и заставляет их создавать и обосновывать подробный план развертывания.

Планирование развертывания приманок должно соответствовать задачам организации и быть оптимизировано для сбора данных. Какие активы являются наиболее ценными в организации? Какие системы содержат эти активы? Как противник получит доступ к этим системам? Ответы на данные вопросы помогут сузить фокус развертывания приманок и определить, какие типы приманок следует развернуть.

При планировании развертывания HoneyPot следует также принимать во внимание не только географические особенности, но и бизнес-демографические расходы, а также близость к фактическим серверам. Многофункциональная среда Deception позволит использовать приманки в качестве улучшения структуры безопасности организации.

Развертывание средств Deception (от удаленных интернет-сервисов до мобильных устройств или точек доступа Wi-Fi) позволяет создавать, обновлять и принимать меры в режиме реального времени. С помощью данной технологии отделы безопасности обеспечат стратегические и оперативные решения, предвосхищая нарушение данных, кражу информации или манипуляции с критически важными бизнес-процессами. Deception представляет собой интеллектуальную защиту корпоративной среды, и работает для любого сектора бизнеса.

Зачем использовать технологию обмана?

1
Раннее обнаружение нарушений.
2
Снижение количества ложных срабатываний и рисков.
3
Легкое масштабирование и автоматизация.

Долгое время кибербезопасность компаний сводилась к «не допущению злоумышленников» за счет IDS/IPS, межсетевых экранов NGFW, антивирусных продуктов, SIEM и других решений. Данные подходы удерживают около 80 % киберпреступников, а остальные пробелы закроют инструменты Deception. Технология Обмана используется для упреждающей защиты важных информационных активов и систем и перенаправления злоумышленников в синтетические среды. Deception собирает информацию об угрозах и удерживает злоумышленников, вводя их в заблуждение с помощью имитационных активов.

С ростом кибератак жизненно важно, чтобы компании оставались бдительными и проактивными. Программное обеспечение для обмана позволит узнать о типах кибератак, которые развертывают хакеры, до того, как компания пострадает от реальной атаки. Продуманная система раннего обнаружения нарушений не допустит внешних злоумышленников и внутренних угроз. Предварительное уведомление о злонамеренной активности позволит системным администраторам незамедлительно принять меры до наступления пагубных последствий.

С правильной системой команды кибербезопасности разработают синтетические поддельные среды для обмана злоумышленников, чтобы раскрыть подробности тактик, методов и процедур, которыми пользуются хакеры для проникновения в сеть. С этой информации вы:

  • усилите защиту на разных уровнях,
  • улучшите надежность информационных активов,
  • повысите эффективность сортировки и поиска угроз.

Настроить систему обмана злоумышленников могут ваши инженеры или эксперты Cloud Networks.

Какие атаки будут обнаружены?

Аппаратные атаки
Атаки IoT
Атаки через VPN
защита приложений
Боковое движение
анонимность в инете
Взлом аккаунта
Инсайдерская угроза
отказ в доступе пользователю
Кража учетных данных
Программы-вымогатели
Целевой фишинг

Преимущества Deception

Технология Deception особенно эффективна при обнаружении бокового движения и внутренних угроз, а также сложных целевых атак. Система обеспечивает:

  1. Адаптируемость для работы во многих типах систем, в том числе устаревших.
  2. Масштабируемость для достижения максимальной эффективности при росте и дальнейшей автоматизации процессов.
  3. Обнаружение злоумышленников до взлома с помощью обмана вы можете найти злоумышленников и наблюдать за их перемещениями еще до того, как они войдут в вашу сеть.
  4. Получение данных об угрозах в режиме реального времени создается информация об угрозах, привлекая злоумышленников и доставляя ее вашей группе безопасности в режиме реального времени.
  5. Стабильная работа сети без вмешательства в работу сетевых систем и без нарушений в бизнес-процессах.

Устранение ложных срабатываний – создается среду и данные, которые по определению нельзя вводить или трогать. Это означает почти полное сокращение ложных срабатываний, шума и тупиковых предупреждений.

Интеграция технологии Deception

Deception Technology легко интегрируется с существующими технологиями безопасности и может использовать их функции. Решение может передавать отчеты централизованным решениям обнаружения. Например, системе управления информацией и событиями безопасности (SIEM) или системе обнаружения вторжений (IDS). Они также могут использовать преимущества других технологий, например межсетевых экранов (NGFW). Технологию обмана легко развернуть, и ее можно легко масштабировать в соответствии с потребностями организации.

Чтобы уклониться от обнаружения с помощью технологии обмана, злоумышленники должны быть верными в 100% случаев, а группы безопасности получают полномочия при каждом обнаружении атаки. Наиболее важным преимуществом, которое организация получает от Deception Technology, является то, что она защищает реальные ресурсы и снижает вероятность нарушения безопасности с помощью ловушек, что приводит к огромной экономии средств.

Deception Technology – простое в установке и развертывании программное обеспечение, в котором используются реальные серверы и расширенная автоматизация, чтобы хакеры не могли распознать поддельные системы. С данной технологией вы получите глубокое понимание внутренних и внешних угроз.

Решения Deception и HoneyPot

Xello
Российский разработчик программного обеспечения (ПО) в сфере информационной безопасности. Недавно компания объявила о внесении их платформы «Xello-Deception» в Единый реестр российских программ ЭВМ и баз данных Министерства цифрового развития, связи и коммуникации РФ.
Illusive Networks
Разработчик технологий, обеспечивающий мониторинг кибербезопасности для помощи компаниям в обнаружении и снижении рисков кибератак от APT-атак. Использует диспетчер поверхности атаки и систему обнаружения атак для быстрого анализа и реагирования на инциденты.
TrapX Security
Решение DeceptionGrid обнаруживает и предотвращает атаки в реальном времени. Используется действенный интеллект для создания «минного поля» из ловушек и предупреждения вас о подозрительной деятельности.

Оптимизируйте защиту уязвимых систем и получите полную видимость, чтобы быстро реагировать на угрозы! Закажите проверку безопасности веб-сайта, обслуживание приложения или разработку надежной защиты от уязвимостей прямо сейчас:

 

Сетевая безопасность - 3


    Отправляя форму, я даю свое согласие на обработку моих персональных данных

    РЕАЛИЗОВАННЫЕ КЕЙСЫ

    suek

    Защита конечных точек в финансовой сфере

    Задача:
    Требовались технические сервисы для поддержки и защиты конечных точек компании.
    Продукт:
    Check Point.
    Результаты:
    Поставлены устройства на все субъекты, а также предоставлены сервис и техническая поддержка по межсетевым экранам на все представительства компании, включая предприятия в Сибири и Харабовском крае.

    otp-bank

    Защита конечных точек в финансовой сфере

    Задача:
    Требовалась платформа для администрирования приложений на разных.
    Продукт:
    VMware Workspace ONE.
    Результаты:
    Была установлена аналитическая платформа VMware Workspace ONE на 500 устройствах заказчика для контроля приложений и удобного, безопасного предоставления приложений на любом устройстве.

    cisco

    Защита конечных точек в финансовой сфере

    Задача:
    Требовалась защита периметра ИТ-инфраструктуры.
    Продукт:
    Cisco Firepower.
    Результаты:
    Был реализован проект в крупнейшем российском энергетическом холдинге по защите периметра сети на основе решений Cisco Firepower. Защищен периметра от сетевых атак, проведена проверка трафика на наличие вредоносного кода и установлено межсетевое экранирование.

    previous arrow
    next arrow
    Сетевая безопасность - 8

    Получить коммерческое предложение

      О КОМПАНИИ

      Cloud Networks помогает крупным и средним предприятиям трансформироваться с помощью цифровых технологий и управления информационной безопасностью. Мы занимаемся защитой данных, автоматизацией и внедрением информационных технологий. Сочетая подход, основанный на аналитических данных, со знанием технологий, наша команда разрабатывает инновационные стратегии и добивается лучших результатов.

      Сертифицированный партнер 63+ вендоров
      Более 500+ успешных проектов
      Сертификация ФСТЭК и ФСБ
      to-top