Deception или как обмануть хакера: вторая линия защиты инфраструктуры
Хакер видит вашу инфраструктуру как в старых голливудских фильмах шаолинский монах видит тело врага, замечая все секретные болевые точки и слабые места. Удар в эти точки приведет к неминуемой flawless victory. Но вот что вы точно не видели в таких фильмах, так это того, как пропустив, казалось, смертельный удар, враг восстает из мертвых и одерживает победу.
IT-дистрибьюторы BAKOTECH Филипп Хмелев и Дмитрий Долинный поделились именно таким сценарием. Они рассказали о Deception на примере решения от Attivo Networks, на котором специализируются, а мы упаковали это в удобный материал.
Не пропустите Более половины компаний нуждаются в комплексной стратегии кибербезопасности – Microsoft
Как обычно построена архитектура информационной безопасности?
Под "болевыми точками" выше мы подразумевали уязвимости: на уровне устройств пользователей, почты, серверной части и других аспектов. Все это – точки проникновения в инфраструктуру для дальнейшего воздействия. Соответственно, решения для кибербезопасности предлагают нам различные возможности прикрыть эти уязвимости, это называется защита периметра.
Факт: все это можно обойти, ведь хакеры всегда впереди. Решения для безопасности делаются для всех, а вот атаки планируются под конкретный случай, в первую очередь – с учетом защиты и способов ее обхода. Потому победой для хакера уже является проникновение – дальше между злоумышленником и его целью уже не стоит ничего.Если провести аналогию, то защита инфраструктуры как защита жилья – представьте себе, что вор вламывается в дом, обходит сигнализацию, замки и бронедвери, и, входя в квартиру, видит, что деньги, украшения и все ценное лежит прямо на тумбочке. Согласитесь, так не делает никто, но вот в кибербезопасности этот сценарий – обыденность.
Как следует строить архитектуру информационной безопасности?
Эта статья – не гайдлайн по построению системы кибербезопасности с эффективностью over9000. Но дадим важный совет и ключ к ее реализации: безопасность должна быть комплексной и многослойной.
То есть нам нужно добавить еще что-то, что позволит задетектить злоумышленника в сети уже тогда, когда всё остальное он обошел. Одним из вариантов защиты от уже проникших внутрь инфраструктуры злоумышленников является Deception.
Deception – это класс решений кибербезопасности, который позволяет создавать внутри сети фейковые уязвимые устройства или данные, прикоснувшись к которым хакер тут же оповестит о своем присутствии. В реальности на обнаружение хакера необходимо время – профессиональный злоумышленник не оставляет следов. За это время можно "вынести" из системы что угодно и не спалиться.
Deception - это немаловажный элемент защиты от хакеров / Фото Unsplash
Как это работает?
Эксперты из BAKOTECH рассказали подробнее о работе решений Deception и сделали акцент на основных фичах решений этого класса. Для этого мы кратко расскажем, как происходит взлом, а затем раскроем возможности Deception для его пресечения.
Хакер взламывает устройство и оказывается внутри сети. Дальше ему нужно или повысить уровень доступа или взломать аккаунт какого-то топ-менеджера. В любом случае, для этого нужен админский доступ и какое-то перемещение в сети. Чтобы он ничего не взломал и не украл, Deception располагает соответствующими функциями для обмана злоумышленника.
Полезно Деньги в сейфе, документы в облаке: как безопасно хранить информацию - рекомендации для бизнеса
Выделим три, на наш взгляд, самых главных аспекта:
Создание устройств-ловушек. Сканируя вашу инфраструктуру, хакер увидит уязвимые устройства, которых на самом деле не существует. Подмену не распознать: фейковому устройству можно присвоить реальные характеристики существующих машин, назвать их так же, как называются компьютеры в вашей сети и так далее. Перед злоумышленником будет, например, пять устройств в сети, из которых только два – настоящие.
Взломать именно ловушки его подтолкнут уязвимости: ловушка внешне защищена не так, как реальные устройства, соответственно – это легкая добыча. Так подумает хакер и захочет просканировать это устройство или запустить какой-то другой злодейский софт. Как только он каким-то образом коснется ловушки, система тут же вышлет алерт отделу ИБ и хакер будет скомпрометирован.
Поймать хакера с поличным возможно / Фото Unsplash
Защита Active Directory. AD – это ресурс внутри сети, на который делают запросы пользователи. Там хранятся, например, учетные данные. Когда вы логинитесь в систему, то на самом деле отправляете запрос на AD, где уже "решается", можно вас впустить или нет. Фишка в том, что нет решений, блокирующих запросы к AD – иначе это застопорит работу всей компании и админов. Никто просто не сможет нормально работать, получать доступ к рабочим инструментам и другим важным элементам инфраструктуры.
Deception умеет хранить фейковые учетные данные вместе с настоящими, выдавая вам и админам разрешения на доступ и правильные данные. А злоумышленник получит фейковые логины и пароли, воспользовавшись которыми он тут же будет скомпрометирован, а отдел ИБ получит алерт.
Создание ловушек в файловой системе. Хакер может скачать какие-то доступные файлы и открыть их где-то в другом месте, за пределами вашей системы. В таком случае, поймать его будет сложно – он вошел в систему, украл что-то и вышел, воспользовавшись украденным уже за пределами инфраструктуры. Фейковый файл – это нить Ариадны, по которой он будет замечен в любое время, в любом месте.
Попробуйте угадать, что произойдет, когда он откроет этот файл.
Особенности Deception
Еще несколько важных аспектов, которые вы должны знать о Deception
1. Deception не используется как единственное средство защиты. Не стоит пускать в систему всех злоумышленников, защита периметра обязательно должна присутствовать. Не только для того, чтобы спокойнее спать, а еще и из-за другой особенности, которая выплывает из этой.
2. Deception отлично интегрируется с установленными решениями защиты. Решение умеет не только обнаруживать злоумышленника, но и оповещать об этом другие системы. Например, сообщить о подозрительной активности вашему файрволлу, который уже примет меры по блокировке действий хакера.
3. Deception не обойти хакерским софтом. Есть риск, что хакер не проглотит наживку, но на этом все – нет хакерских программ, способных засечь, например, фейковое устройство и при этом не спалить самого хакера. Ему же практически невозможно догадаться о том, какие устройство или файл не настоящие – просто нет внешних признаков для таких выводов.
Интересно Девять опасных приложений на вашем смартфоне, которые воруют пароли к Facebook
Можно подытожить, что Deception – ваша вторая линия обороны и средство обнаружение злоумышленника, который уже попал в инфраструктуру. Помните о том, что проектируя архитектуру ИБ, вы никогда не гарантируете себе 100% безопасности, но уменьшите вероятность взлома системы и кражи данных. Потому чем разностороннее и многослойнее защита, тем меньше в мире людей, достаточно умных и технически подкованных для того, чтобы нанести вред вашей инфраструктуре.