Приманки – это кибер-системы и процессы, созданные для сбора информации о поведении и векторах угроз. Deception Technology и HoneyPot предназначены для привлечения злоумышленников и сдерживания вредоносных действий для проникновения в сеть или для поиска ценных активов. Развертывание специальных ловушек делает невозможным обнаружение реальных сетевых ресурсов и приманок. Реальные или смоделированные системы и процессы настроены так, чтобы их можно было принять за настоящие, только с уязвимостями.

Приманки – это распространенный метод и инструмент для обнаружения неконтролируемых источников угроз. И дальше мы расскажем обо всех аспектах внедрения технологии обмана, а также о мировых и отечественных производителях Decepton-систем и приманок HoneyPot.

HoneyPot или HoneyNet – технология современной сетевой защиты. Это система, единственная цель которой привлекать потенциальных злоумышленников и регистрировать их деятельность для дальнейшего анализа и расследования нарушений безопасности. Почти любое взаимодействие с HoneyPot – это хакерская активность, поэтому число ложных срабатываний сводится к нулю.

Для компаний приманка для хакеров может быть полезным источником данных, а также отличным инструментов для поиска угроз. Разные виды HoneyPot позволят понять ландшафт угроз и какие IP-адреса блокировать в своих внутренних сетях на основе действий приманки.

Создание персонализированных приманок, имитирующих среду компаний, позволит эффективнее «заманивать» хакеров. Например, путем размещения поддельного активного каталога. Система работает, когда злоумышленник преодолел все периметровые средства защиты. Приманка HoneyPot обеспечивает компаниям раннее предупреждение и позволяет исследовать методы киберпреступников и «ловить» хакеров. Ведь понимание того, кто хочет напасть на вас, поможет вам лучше защититься.

Взаимодействующие HoneyPots, имитирующие реальную сеть, создают целую систему ловушек HoneyNet, которая настроена на дискретный мониторинг и запись всех данных.

Возможности HoneyPot:

• Сдерживание действительно опасных атак.
• Злоумышленники тратят свое время на ловушки.
• Анализ передвижений и действий хакеров.
• Обнаружение потенциально новых форм атак.

Deception Technology или Технология обмана – это усовершенствованный тип кибербезопасности, следующая ступень развития имитирующих систем HoneyPot. Данная технология использует тактику обмана – от поддельных сетевых сред до искусственных учетных данных. С целью поймать злоумышленников и узнать побольше об их методиках и действиях.

В отличие от традиционной инфраструктуры безопасности, например брандмауэров, технология обмана не стремится защищать просто периметр. Система Deception ​​обнаруживает любую незаконную деятельность, даже если она происходит внутри организации. Технология обмана может предотвратить атаки и проблемы, недоступные другим решениям.

Deception Technology создает активную защиту. Конечная цель – предотвратить повреждение системы за счет лучшей информированности и подготовки.

Одна из стратегий противодействия обману – это использование методов снятия отпечатков пальцев для определения существования приманок.

Моделирование угроз – это процесс анализа безопасности и уязвимостей приложения, который обычно используется для анализа проблем безопасности приложения или сетевых служб путем выявления уязвимостей системы. Существует три модели прямых атак на приманки:

• переполнение приманок путем отправки пакетов мусора,
• компрометация приманки для превращения ее в боте,
• использование приманки в качестве платформы для слежки.

Эти атаки могут быть выполнены после обнаружения приманки посредством снятия отпечатков пальцев. Чтобы противостоять данным угрозам, необходимо оценить каждый уровень OSI, включая данные TTL (время жизни) на уровне 3, порты TCP или UDP на уровне 4 и так далее. Пример моделирования угроз HoneyPot представлен на рисунке ниже.

Устройство шлюза в приманке HoneyNet называется Honeywall. Его можно рассматривать как основную точку входа и выхода для всего сетевого трафика для приманок HoneyNet. Что позволит осуществлять полный контроль и анализ всего сетевого трафика, поступающего в систему HoneyNet и исходящего из нее. Honeywall преследует три основные цели: контроль данных, сбор данных, оповещение.

Первоначальные приманки были простыми симуляторами сервисов для отслеживания поведения угроз. Новейшие угрозы изменили свое поведение, чтобы их не могли поймать Honeywall. Усовершенствованные платформы распределенного обмана представляют собой современную технологию приманок с несколькими уровнями обмана и высоким уровнем взаимодействия. Они осуществляются посредством централизованных служб контроля и управления. Эти системы создают настоящие сетевые службы вместе с фиктивными учетными данными, которые распространяются на действующих пользовательских машинах в сети, чтобы злоумышленники воспринимали их как использованные службы.

Приманка и технология обмана часто ошибочно используются как синонимы, это не одно и то же. HoneyPot – это инструменты, используемые для привлечения злоумышленников, чтобы они раскрыли свое присутствие и предоставили подсказки об их намерениях. Приманками HoneyPot может быть что угодно – от данных и информации до услуг или других ресурсов.

HoneyPot имитирует, будто в системах компании есть точки входа, не защищенные должным образом, тем самым привлекая злоумышленников. Благодаря приманке, компания предотвращает атаки и может отследить и проанализировать все действия хакеров. Это потенциально полезная стратегия, прежде всего для крупных компаний, которые часто располагают большим количеством конфиденциальных данных и являются привлекательной целью для злоумышленников.

Ловушка работает следующим образом:

1. Устанавливается ряд серверов или систем, которые кажутся уязвимыми.
2. После установки ловушки, целью становится привлечение атакующих.
3. Действия хакера, попавшего в «ловушку», находятся под контролем.

Когда технология обмана ограничивалась приманками, она не могла реализовать себя как полноценное решение кибербезопасности. Ранние приманки не выдерживали проверки достоверности. Технология Deception развилась из приманок в гораздо более сложный инструмент. Благодаря технологии обмана приманки (серверы баз данных, файловые серверы, сетевые устройства и работу общих сетевых протоколов) можно запустить одним щелчком мыши. Центральная панель управления позволяет администраторам сети управлять, настраивать и контролировать все приманки на своем предприятии.

Система Deception обнаруживает злоумышленников, когда они делают свой первый шаг в сети организации. Киберпреступники используют определенные схемы после получения доступа к сети. Больше они не могут свободно перемещаться по сети и возвращаться несколько раз с использованием эксплойтов. Вместо этого они вынуждены тратить больше денег, времени и усилий на попытки атак, и они постоянно опасаются, что совершат ошибку.

Другими словами, Deception создает враждебную среду для злоумышленников, в которой использование вредоносного программного обеспечения или уязвимостей на неправильной цели означает, что атака окончена, поскольку у злоумышленников снимаются «отпечатки пальцев». Сигнатуры и шаблоны их атак создаются и распространяются по всей организации. Некоторые методы, используемые технологией обмана, – это травля, мониторинг, снятие отпечатков пальцев и анализ.

Программное обеспечение приманок помогает компаниям узнать, где они уязвимы и что им необходимо принять меры противодействия. Deception и HoneyPot собирают информацию о вредоносных программах, раскрывают подробности о хакерах и тратят время злоумышленников, заманивая их в тупиковые сети.

Приманки никогда не следует развертывать в сети специально. Как и любую другую платформу безопасности, они должны быть развернуты как часть общего плана кибербезопасности. Приманки должны получить одобрение руководства для развертывания – это не только защищает группу безопасности, но и заставляет их создавать и обосновывать подробный план развертывания.

Планирование развертывания приманок должно соответствовать задачам организации и быть оптимизировано для сбора данных. Какие активы являются наиболее ценными в организации? Какие системы содержат эти активы? Как противник получит доступ к этим системам? Ответы на данные вопросы помогут сузить фокус развертывания приманок и определить, какие типы приманок следует развернуть.

При планировании развертывания HoneyPot следует также принимать во внимание не только географические особенности, но и бизнес-демографические расходы, а также близость к фактическим серверам. Многофункциональная среда Deception позволит использовать приманки в качестве улучшения структуры безопасности организации.

Развертывание средств Deception (от удаленных интернет-сервисов до мобильных устройств или точек доступа Wi-Fi) позволяет создавать, обновлять и принимать меры в режиме реального времени. С помощью данной технологии отделы безопасности обеспечат стратегические и оперативные решения, предвосхищая нарушение данных, кражу информации или манипуляции с критически важными бизнес-процессами. Deception представляет собой интеллектуальную защиту корпоративной среды, и работает для любого сектора бизнеса.

Технология Deception особенно эффективна при обнаружении бокового движения и внутренних угроз, а также сложных целевых атак. Система обеспечивает:

1. Адаптируемость для работы во многих типах систем, в том числе устаревших.
2. Масштабируемость для достижения максимальной эффективности при росте и дальнейшей автоматизации процессов.
3. Обнаружение злоумышленников до взлома с помощью обмана вы можете найти злоумышленников и наблюдать за их перемещениями еще до того, как они войдут в вашу сеть.
4. Получение данных об угрозах в режиме реального времени создается информация об угрозах, привлекая злоумышленников и доставляя ее вашей группе безопасности в режиме реального времени.
5. Стабильная работа сети без вмешательства в работу сетевых систем и без нарушений в бизнес-процессах.

Устранение ложных срабатываний – создается среду и данные, которые по определению нельзя вводить или трогать. Это означает почти полное сокращение ложных срабатываний, шума и тупиковых предупреждений.

Deception Technology легко интегрируется с существующими технологиями безопасности и может использовать их функции. Решение может передавать отчеты централизованным решениям обнаружения. Например, системе управления информацией и событиями безопасности (SIEM) или системе обнаружения вторжений (IDS). Они также могут использовать преимущества других технологий, например межсетевых экранов (NGFW). Технологию обмана легко развернуть, и ее можно легко масштабировать в соответствии с потребностями организации.

Чтобы уклониться от обнаружения с помощью технологии обмана, злоумышленники должны быть верными в 100% случаев, а группы безопасности получают полномочия при каждом обнаружении атаки. Наиболее важным преимуществом, которое организация получает от Deception Technology, является то, что она защищает реальные ресурсы и снижает вероятность нарушения безопасности с помощью ловушек, что приводит к огромной экономии средств.

Deception Technology – простое в установке и развертывании программное обеспечение, в котором используются реальные серверы и расширенная автоматизация, чтобы хакеры не могли распознать поддельные системы. С данной технологией вы получите глубокое понимание внутренних и внешних угроз.