Приманки – это кибер-системы и процессы, созданные для сбора информации о поведении и векторах угроз. Deception Technology и HoneyPot предназначены для привлечения злоумышленников и сдерживания вредоносных действий для проникновения в сеть или для поиска ценных активов. Развертывание специальных ловушек делает невозможным обнаружение реальных сетевых ресурсов и приманок. Реальные или смоделированные системы и процессы настроены так, чтобы их можно было принять за настоящие, только с уязвимостями.
Приманки – это распространенный метод и инструмент для обнаружения неконтролируемых источников угроз. И дальше мы расскажем обо всех аспектах внедрения технологии обмана, а также о мировых и отечественных производителях Decepton-систем и приманок HoneyPot.
HoneyPot или HoneyNet – технология современной сетевой защиты. Это система, единственная цель которой привлекать потенциальных злоумышленников и регистрировать их деятельность для дальнейшего анализа и расследования нарушений безопасности. Почти любое взаимодействие с HoneyPot – это хакерская активность, поэтому число ложных срабатываний сводится к нулю.
Для компаний приманка для хакеров может быть полезным источником данных, а также отличным инструментов для поиска угроз. Разные виды HoneyPot позволят понять ландшафт угроз и какие IP-адреса блокировать в своих внутренних сетях на основе действий приманки.
Создание персонализированных приманок, имитирующих среду компаний, позволит эффективнее «заманивать» хакеров. Например, путем размещения поддельного активного каталога. Система работает, когда злоумышленник преодолел все периметровые средства защиты. Приманка HoneyPot обеспечивает компаниям раннее предупреждение и позволяет исследовать методы киберпреступников и «ловить» хакеров. Ведь понимание того, кто хочет напасть на вас, поможет вам лучше защититься.
Взаимодействующие HoneyPots, имитирующие реальную сеть, создают целую систему ловушек HoneyNet, которая настроена на дискретный мониторинг и запись всех данных.
Возможности HoneyPot:
Deception Technology или Технология обмана – это усовершенствованный тип кибербезопасности, следующая ступень развития имитирующих систем HoneyPot. Данная технология использует тактику обмана – от поддельных сетевых сред до искусственных учетных данных. С целью поймать злоумышленников и узнать побольше об их методиках и действиях.
В отличие от традиционной инфраструктуры безопасности, например брандмауэров, технология обмана не стремится защищать просто периметр. Система Deception обнаруживает любую незаконную деятельность, даже если она происходит внутри организации. Технология обмана может предотвратить атаки и проблемы, недоступные другим решениям.
Deception Technology создает активную защиту. Конечная цель – предотвратить повреждение системы за счет лучшей информированности и подготовки.
Одна из стратегий противодействия обману – это использование методов снятия отпечатков пальцев для определения существования приманок.
Моделирование угроз – это процесс анализа безопасности и уязвимостей приложения, который обычно используется для анализа проблем безопасности приложения или сетевых служб путем выявления уязвимостей системы. Существует три модели прямых атак на приманки:
Эти атаки могут быть выполнены после обнаружения приманки посредством снятия отпечатков пальцев. Чтобы противостоять данным угрозам, необходимо оценить каждый уровень OSI, включая данные TTL (время жизни) на уровне 3, порты TCP или UDP на уровне 4 и так далее. Пример моделирования угроз HoneyPot представлен на рисунке ниже.
Устройство шлюза в приманке HoneyNet называется Honeywall. Его можно рассматривать как основную точку входа и выхода для всего сетевого трафика для приманок HoneyNet. Что позволит осуществлять полный контроль и анализ всего сетевого трафика, поступающего в систему HoneyNet и исходящего из нее. Honeywall преследует три основные цели: контроль данных, сбор данных, оповещение.
Первоначальные приманки были простыми симуляторами сервисов для отслеживания поведения угроз. Новейшие угрозы изменили свое поведение, чтобы их не могли поймать Honeywall. Усовершенствованные платформы распределенного обмана представляют собой современную технологию приманок с несколькими уровнями обмана и высоким уровнем взаимодействия. Они осуществляются посредством централизованных служб контроля и управления. Эти системы создают настоящие сетевые службы вместе с фиктивными учетными данными, которые распространяются на действующих пользовательских машинах в сети, чтобы злоумышленники воспринимали их как использованные службы.
Приманка и технология обмана часто ошибочно используются как синонимы, это не одно и то же. HoneyPot – это инструменты, используемые для привлечения злоумышленников, чтобы они раскрыли свое присутствие и предоставили подсказки об их намерениях. Приманками HoneyPot может быть что угодно – от данных и информации до услуг или других ресурсов.
HoneyPot имитирует, будто в системах компании есть точки входа, не защищенные должным образом, тем самым привлекая злоумышленников. Благодаря приманке, компания предотвращает атаки и может отследить и проанализировать все действия хакеров. Это потенциально полезная стратегия, прежде всего для крупных компаний, которые часто располагают большим количеством конфиденциальных данных и являются привлекательной целью для злоумышленников.
Ловушка работает следующим образом:
Когда технология обмана ограничивалась приманками, она не могла реализовать себя как полноценное решение кибербезопасности. Ранние приманки не выдерживали проверки достоверности. Технология Deception развилась из приманок в гораздо более сложный инструмент. Благодаря технологии обмана приманки (серверы баз данных, файловые серверы, сетевые устройства и работу общих сетевых протоколов) можно запустить одним щелчком мыши. Центральная панель управления позволяет администраторам сети управлять, настраивать и контролировать все приманки на своем предприятии.
Система Deception обнаруживает злоумышленников, когда они делают свой первый шаг в сети организации. Киберпреступники используют определенные схемы после получения доступа к сети. Больше они не могут свободно перемещаться по сети и возвращаться несколько раз с использованием эксплойтов. Вместо этого они вынуждены тратить больше денег, времени и усилий на попытки атак, и они постоянно опасаются, что совершат ошибку.
Другими словами, Deception создает враждебную среду для злоумышленников, в которой использование вредоносного программного обеспечения или уязвимостей на неправильной цели означает, что атака окончена, поскольку у злоумышленников снимаются «отпечатки пальцев». Сигнатуры и шаблоны их атак создаются и распространяются по всей организации. Некоторые методы, используемые технологией обмана, – это травля, мониторинг, снятие отпечатков пальцев и анализ.
Программное обеспечение приманок помогает компаниям узнать, где они уязвимы и что им необходимо принять меры противодействия. Deception и HoneyPot собирают информацию о вредоносных программах, раскрывают подробности о хакерах и тратят время злоумышленников, заманивая их в тупиковые сети.
Приманки никогда не следует развертывать в сети специально. Как и любую другую платформу безопасности, они должны быть развернуты как часть общего плана кибербезопасности. Приманки должны получить одобрение руководства для развертывания – это не только защищает группу безопасности, но и заставляет их создавать и обосновывать подробный план развертывания.
Планирование развертывания приманок должно соответствовать задачам организации и быть оптимизировано для сбора данных. Какие активы являются наиболее ценными в организации? Какие системы содержат эти активы? Как противник получит доступ к этим системам? Ответы на данные вопросы помогут сузить фокус развертывания приманок и определить, какие типы приманок следует развернуть.
При планировании развертывания HoneyPot следует также принимать во внимание не только географические особенности, но и бизнес-демографические расходы, а также близость к фактическим серверам. Многофункциональная среда Deception позволит использовать приманки в качестве улучшения структуры безопасности организации.
Развертывание средств Deception (от удаленных интернет-сервисов до мобильных устройств или точек доступа Wi-Fi) позволяет создавать, обновлять и принимать меры в режиме реального времени. С помощью данной технологии отделы безопасности обеспечат стратегические и оперативные решения, предвосхищая нарушение данных, кражу информации или манипуляции с критически важными бизнес-процессами. Deception представляет собой интеллектуальную защиту корпоративной среды, и работает для любого сектора бизнеса.
Долгое время кибербезопасность компаний сводилась к «не допущению злоумышленников» за счет IDS/IPS, межсетевых экранов NGFW, антивирусных продуктов, SIEM и других решений. Данные подходы удерживают около 80 % киберпреступников, а остальные пробелы закроют инструменты Deception. Технология Обмана используется для упреждающей защиты важных информационных активов и систем и перенаправления злоумышленников в синтетические среды. Deception собирает информацию об угрозах и удерживает злоумышленников, вводя их в заблуждение с помощью имитационных активов.
С ростом кибератак жизненно важно, чтобы компании оставались бдительными и проактивными. Программное обеспечение для обмана позволит узнать о типах кибератак, которые развертывают хакеры, до того, как компания пострадает от реальной атаки. Продуманная система раннего обнаружения нарушений не допустит внешних злоумышленников и внутренних угроз. Предварительное уведомление о злонамеренной активности позволит системным администраторам незамедлительно принять меры до наступления пагубных последствий.
С правильной системой команды кибербезопасности разработают синтетические поддельные среды для обмана злоумышленников, чтобы раскрыть подробности тактик, методов и процедур, которыми пользуются хакеры для проникновения в сеть. С этой информации вы:
Настроить систему обмана злоумышленников могут ваши инженеры или эксперты Cloud Networks.
Технология Deception особенно эффективна при обнаружении бокового движения и внутренних угроз, а также сложных целевых атак. Система обеспечивает:
Устранение ложных срабатываний – создается среду и данные, которые по определению нельзя вводить или трогать. Это означает почти полное сокращение ложных срабатываний, шума и тупиковых предупреждений.
Deception Technology легко интегрируется с существующими технологиями безопасности и может использовать их функции. Решение может передавать отчеты централизованным решениям обнаружения. Например, системе управления информацией и событиями безопасности (SIEM) или системе обнаружения вторжений (IDS). Они также могут использовать преимущества других технологий, например межсетевых экранов (NGFW). Технологию обмана легко развернуть, и ее можно легко масштабировать в соответствии с потребностями организации.
Чтобы уклониться от обнаружения с помощью технологии обмана, злоумышленники должны быть верными в 100% случаев, а группы безопасности получают полномочия при каждом обнаружении атаки. Наиболее важным преимуществом, которое организация получает от Deception Technology, является то, что она защищает реальные ресурсы и снижает вероятность нарушения безопасности с помощью ловушек, что приводит к огромной экономии средств.
Deception Technology – простое в установке и развертывании программное обеспечение, в котором используются реальные серверы и расширенная автоматизация, чтобы хакеры не могли распознать поддельные системы. С данной технологией вы получите глубокое понимание внутренних и внешних угроз.
Оптимизируйте защиту уязвимых систем и получите полную видимость, чтобы быстро реагировать на угрозы! Закажите проверку безопасности веб-сайта, обслуживание приложения или разработку надежной защиты от уязвимостей прямо сейчас:
Защита конечных точек в финансовой сфере
Задача:
Требовались технические сервисы для поддержки и защиты конечных точек компании.
Продукт:
Check Point.
Результаты:
Поставлены устройства на все субъекты, а также предоставлены сервис и техническая поддержка по межсетевым экранам на все представительства компании, включая предприятия в Сибири и Харабовском крае.
Защита конечных точек в финансовой сфере
Задача:
Требовалась платформа для администрирования приложений на разных.
Продукт:
VMware Workspace ONE.
Результаты:
Была установлена аналитическая платформа VMware Workspace ONE на 500 устройствах заказчика для контроля приложений и удобного, безопасного предоставления приложений на любом устройстве.
Защита конечных точек в финансовой сфере
Задача:
Требовалась защита периметра ИТ-инфраструктуры.
Продукт:
Cisco Firepower.
Результаты:
Был реализован проект в крупнейшем российском энергетическом холдинге по защите периметра сети на основе решений Cisco Firepower. Защищен периметра от сетевых атак, проведена проверка трафика на наличие вредоносного кода и установлено межсетевое экранирование.
