Журнал "Information Security/ Информационная безопасность" #1, 2022

В Xello Deception исполь- зуется безагентский способ распространения и управле- ния ловушками – таким образом, злоумышленнику невозможно детектировать решение. Технология обмана поз- воляет создавать данные, наиболее привлекательные для злоумышленника, чтобы натолкнуть его на взаимо- действие с ними и продол- жить свое движение уже внутри изолированной среды. Современные Deception- платформы могут агрегиро- вать криминалистические данные, включая индикато- ры компрометации и такти- ку, методы и процедуры зло- умышленников. либо хорошего поведения и поиска отклонений. Они стано- вятся менее эффективны в слу- чае сложных и ранее неизвест- ных атак, в то время как совре- менные решения класса Decep- tion позволяют выявлять еще неизвестные векторы атак. В Xello Deceiption используется безагентский способ распростра- нения и управления ловушками и приманками; хостовые агенты для размещения ловушек и под- держания связи с сервером управления отсутствуют – таким образом, злоумышленнику невоз- можно детектировать решение. Раннее обнаружение нелегитимных действий Deception-платформа позво- ляет создать автономную вирту- альную среду, которая будет состоять из различных ложных данных: базы данных, сервера, конфигурационных файлов, сохраненных паролей, учетных записей и т.д. Они автоматиче- ски распределяются среди суще- ствующих информационных ресурсов компании. Если конеч- ная точка попытается получить доступ к любому из этих активов, вполне вероятно, что она ском- прометирована, поскольку для такой деятельности нет законных оснований. Уведомления мгно- венно отправляются на центра- лизованный сервер, который записывает затронутую приман- ку и векторы атак, используемые киберпреступником. Инструмен- ты технологии обмана предо- ставляют преимущества для ран- него обнаружения злоумышлен- ников, что является ключом к минимизации ущерба. Предотвращение бокового перемещения злоумышленника Используя скомпрометиро- ванные учетные записи пользо- вателей с контроллером домена Active Directory, злоумышленник может проникнуть в корпора- тивную сеть, повысить свои при- вилегии и пытаться продвигать- ся дальше внутрь сети. На этапе внутреннего перемещения он может столкнуться с ложными активами, при взаимодействии с которыми будет направлено предупреждение внутренним специалистам. Технология обмана позволяет создавать данные, наиболее привлека- тельные для злоумышленника, чтобы натолкнуть его на взаи- модействие с ними и продолже- ние своего движения уже внутри изолированной среды. Повышение эффективности SOC Ложные данные являются инди- каторами для внутренних систем мониторинга и позволяют снизить количество ложных срабатыва- ний. Интеграция Xello Deception c SIEM-системой дает возмож- ность сделать реагирование и мониторинг эффективнее, ведь платформа гарантирует низкий процент ложных срабатываний, что, в свою очередь, экономит ресурсы SOC и повышает точ- ность его работы. Автоматическая форензика по инцидентам в режиме реального времени Современные Deception-плат- формы могут агрегировать кри- миналистические данные, вклю- чая индикаторы компрометации и тактики, методы и процедуры злоумышленников. Это позволяет организациям быть на шаг впе- реди, давая полную картину логи- ки действий злоумышленников. Расширение видимости киберрисков Информация, получаемая по итогам выявленных инцидентов безопасности, позволяет сформи- ровать более полную карту самых популярных векторов для атак кон- кретно для вашей организации. Кроме того, вся информация о распространенных по сети при- манках хранится в Xello Decep- tion, поэтому их удаление никак не влияет на инфраструктуру. Поддержка VDI В новом обновлении плат- формы Xello Deception 4.8 была реализована поддержка инфра- структуры виртуальных рабочих мест (VDI). Спрос на организацию VDI- мест обусловлен не только пере- ходом бизнеса на гибридную модель работы, но и трендом на мобильность сотрудников. Одна- ко процесс миграции влечет за собой серьезные риски в аспекте информационной безопасности. 1. Расширение периметра кибератаки: компрометация одного конечного клиентского устройства способна дискреди- тировать всю среду VDI. 2. Обеспечение кибербез- опасности большого числа копий операционных систем. 3. Реализация мер защиты с учетом специфики работы вир- туализированной среды: напри- мер, внедрение ресурсоемкого решения для обеспечения без- опасности (классические агент- ские средства защиты) может привести к снижению коэффи- циента консолидации виртуаль- ных машин или вызвать задержки загрузки операционных систем. Таким образом, переход на подобную модель работы тре- бует от отделов кибербезопас- ности не только тщательных организационных мер, но и гра- мотного подхода при выборе решений по кибербезопасности. В среде VDI средства защиты должны оказывать минимально возможное влияние на инфра- структуру. Более короткое время ожидания открытия приложений приводит к повышению произво- дительности труда сотрудников предприятия. С каждым новым релизом разработчики расширяют коли- чество приманок и способы их распространения. Xello Decep- tion тщательно анализирует модель поведения каждого пользователя. Независимо от конфигурации и предназначе- ния защищаемого хоста – это может быть компьютер бухгал- тера, сервер базы данных или ноутбук разработчика – система подберет приманки, программ- ное обеспечение которых используется на этом хосте. Выводы Предприятия, использующие технологию обмана в своей стра- тегии кибербезопасности, могут обеспечить более высокий уро- вень защиты как всей корпора- тивной сети предприятия, так наиболее критичных сегментов, а также улучшить показатели среднего времени обнаружения и реагирования на инциденты. В настоящее время это может быть очень актуально в связи с возросшим количеством атак на критическую информационную инфраструктуру 3 . Использование в своем арсе- нале данной технологии значи- тельно сокращает нагрузку на специалистов кибербезопасности за счет минимизации количества ложных срабатываний, предо- ставляя высокоточные индикато- ры и уменьшая объем бесполез- ного трафика оповещений. l • 21 DECEPTION www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ Xello см. стр. 48 NM Реклама 3 https://www.interfax.ru/russia/806997