IT-дистрибьюторы BAKOTECH Филипп Хмелев и Дмитрий Долинный поделились именно таким сценарием. Они рассказали о Deception на примере решения от Attivo Networks, на котором специализируются, а мы упаковали это в удобный материал.

Не пропустите Более половины компаний нуждаются в комплексной стратегии кибербезопасности – Microsoft

Как обычно построена архитектура информационной безопасности?

Под "болевыми точками" выше мы подразумевали уязвимости: на уровне устройств пользователей, почты, серверной части и других аспектов. Все это – точки проникновения в инфраструктуру для дальнейшего воздействия. Соответственно, решения для кибербезопасности предлагают нам различные возможности прикрыть эти уязвимости, это называется защита периметра.

Если провести аналогию, то защита инфраструктуры как защита жилья – представьте себе, что вор вламывается в дом, обходит сигнализацию, замки и бронедвери, и, входя в квартиру, видит, что деньги, украшения и все ценное лежит прямо на тумбочке. Согласитесь, так не делает никто, но вот в кибербезопасности этот сценарий – обыденность.

Как следует строить архитектуру информационной безопасности?

Эта статья – не гайдлайн по построению системы кибербезопасности с эффективностью over9000. Но дадим важный совет и ключ к ее реализации: безопасность должна быть комплексной и многослойной.

То есть нам нужно добавить еще что-то, что позволит задетектить злоумышленника в сети уже тогда, когда всё остальное он обошел. Одним из вариантов защиты от уже проникших внутрь инфраструктуры злоумышленников является Deception.

Deception – это класс решений кибербезопасности, который позволяет создавать внутри сети фейковые уязвимые устройства или данные, прикоснувшись к которым хакер тут же оповестит о своем присутствии. В реальности на обнаружение хакера необходимо время – профессиональный злоумышленник не оставляет следов. За это время можно "вынести" из системы что угодно и не спалиться.


Deception - это немаловажный элемент защиты от хакеров / Фото Unsplash

Как это работает?

Эксперты из BAKOTECH рассказали подробнее о работе решений Deception и сделали акцент на основных фичах решений этого класса. Для этого мы кратко расскажем, как происходит взлом, а затем раскроем возможности Deception для его пресечения.

Хакер взламывает устройство и оказывается внутри сети. Дальше ему нужно или повысить уровень доступа или взломать аккаунт какого-то топ-менеджера. В любом случае, для этого нужен админский доступ и какое-то перемещение в сети. Чтобы он ничего не взломал и не украл, Deception располагает соответствующими функциями для обмана злоумышленника.

Полезно Деньги в сейфе, документы в облаке: как безопасно хранить информацию - рекомендации для бизнеса

Выделим три, на наш взгляд, самых главных аспекта:

Создание устройств-ловушек. Сканируя вашу инфраструктуру, хакер увидит уязвимые устройства, которых на самом деле не существует. Подмену не распознать: фейковому устройству можно присвоить реальные характеристики существующих машин, назвать их так же, как называются компьютеры в вашей сети и так далее. Перед злоумышленником будет, например, пять устройств в сети, из которых только два – настоящие.

Взломать именно ловушки его подтолкнут уязвимости: ловушка внешне защищена не так, как реальные устройства, соответственно – это легкая добыча. Так подумает хакер и захочет просканировать это устройство или запустить какой-то другой злодейский софт. Как только он каким-то образом коснется ловушки, система тут же вышлет алерт отделу ИБ и хакер будет скомпрометирован.


Поймать хакера с поличным возможно / Фото Unsplash

Защита Active Directory. AD – это ресурс внутри сети, на который делают запросы пользователи. Там хранятся, например, учетные данные. Когда вы логинитесь в систему, то на самом деле отправляете запрос на AD, где уже "решается", можно вас впустить или нет. Фишка в том, что нет решений, блокирующих запросы к AD – иначе это застопорит работу всей компании и админов. Никто просто не сможет нормально работать, получать доступ к рабочим инструментам и другим важным элементам инфраструктуры.

Deception умеет хранить фейковые учетные данные вместе с настоящими, выдавая вам и админам разрешения на доступ и правильные данные. А злоумышленник получит фейковые логины и пароли, воспользовавшись которыми он тут же будет скомпрометирован, а отдел ИБ получит алерт.

Создание ловушек в файловой системе. Хакер может скачать какие-то доступные файлы и открыть их где-то в другом месте, за пределами вашей системы. В таком случае, поймать его будет сложно – он вошел в систему, украл что-то и вышел, воспользовавшись украденным уже за пределами инфраструктуры. Фейковый файл – это нить Ариадны, по которой он будет замечен в любое время, в любом месте.

Попробуйте угадать, что произойдет, когда он откроет этот файл.

Особенности Deception

Еще несколько важных аспектов, которые вы должны знать о Deception

1. Deception не используется как единственное средство защиты. Не стоит пускать в систему всех злоумышленников, защита периметра обязательно должна присутствовать. Не только для того, чтобы спокойнее спать, а еще и из-за другой особенности, которая выплывает из этой.

2. Deception отлично интегрируется с установленными решениями защиты. Решение умеет не только обнаруживать злоумышленника, но и оповещать об этом другие системы. Например, сообщить о подозрительной активности вашему файрволлу, который уже примет меры по блокировке действий хакера.

3. Deception не обойти хакерским софтом. Есть риск, что хакер не проглотит наживку, но на этом все – нет хакерских программ, способных засечь, например, фейковое устройство и при этом не спалить самого хакера. Ему же практически невозможно догадаться о том, какие устройство или файл не настоящие – просто нет внешних признаков для таких выводов.

Интересно Девять опасных приложений на вашем смартфоне, которые воруют пароли к Facebook

Можно подытожить, что Deception – ваша вторая линия обороны и средство обнаружение злоумышленника, который уже попал в инфраструктуру. Помните о том, что проектируя архитектуру ИБ, вы никогда не гарантируете себе 100% безопасности, но уменьшите вероятность взлома системы и кражи данных. Потому чем разностороннее и многослойнее защита, тем меньше в мире людей, достаточно умных и технически подкованных для того, чтобы нанести вред вашей инфраструктуре.