Журнал "Information Security/ Информационная безопасность" #1, 2022

эффективны, если требуется закрыть как можно больше видов оборудования, то есть создать сеть ловушек буквально на одном сервере. Второй тип – интерактивные ловушки, которые представляют из себя полно- ценные операционные системы с уста- новленным на них софтом. Если вредо- носная программа получает доступ к интерактивной ловушке, то система собирает детальную информацию о ее поведении, включая использованный ею доступ, запущенные процессы и их пара- метры, характер собираемых и подгру- жаемых извне данных, дополнительные используемые инструменты. Все инстру- менты автоматически копируются для исследования в другие системы без- опасности, например в песочницы. Одно- временно собирается полная информа- ция о техниках и тактиках проникнове- ния, а также индикаторы компрометации, такие как хеш-суммы скачанных файлов, используемые команды. Интерактивные ловушки помогут выявить цели злоумышленника и собрать наиболее полную пошаговую картину процесса проникновения, список исполь- зованных зловредом инструментов для продвижения по сети. Именно так Decep- tion помогает команде, которая занима- ется расследованием инцидентов. Применение технологий машинного обучения Машинное обучение позволяет изба- вить команду ИБ от лишних усилий при использовании Deception. Оно исполь- зуется для генерации ловушек, чтобы те выглядели реалистично, но в то же время не являлись полными копиями друг друга или реальных хостов. Машинное обучение позволяет про- вести анализ реальных данных в сети и сгенерировать ложные данные для при- манок, что также снижает объем работы специалистов, которые занимаются внедрением системы. Машинное обучение также помогает сформировать реалистичное поведение каждой ловушки, проанализировав работу сети и сымитировав реальный трафик. Deception: еще один очаг автоматизации, легкая интеграция с другими системами Deception естественным образом интегрируется с системами класса SIEM и SOAR. Deception также может интег- рироваться с другими системами сетевой защиты, например с файрволами или с агентами на рабочих местах. Самый популярный вариант с точки зрения автоматизации – когда Deception подает сигнал для блокировки процессов или рабочей станции, с которой обнару- жена атака. При этом собираемые индикаторы компрометации Deception может пере- дать другим системам в автоматическом режиме для того, чтобы они заблокиро- вали и другие хосты при выявлении этих индикаторов. Это может быть конт- рольная сумма, IP-адреса или домены внешних соединений, запущенных зло- умышленником. Пилотный проект Deception, как и любой программный продукт, может быть развернут в инфра- структуре заказчика для демонстрации своей практической применимости. Впрочем, стоит учесть, что Decepton обычно не проявляет себя, а только ожидает атаку и готовится заманивать злоумышленников к себе. Поэтому в рамках пилотного проекта демонстри- руется не только запуск Deception внутри инфраструктуры, но и проводится опре- деленный набор атак, которые потенци- ально могут быть осу- ществлены как извне, так и снаружи. Существует определен- ный набор этапов демонстрации, согласо- ванный заказчиком, в рамках которого показывается работа системы при тех или иных атаках. Иногда возникают интересные кейсы, когда заказчик видит, что установленные у него системы без- опасности никак на атаки не реагируют. Таким естественным образом показы- вается необходимость использования технологии Deception. Импортозамещение, уход иностранных решений События начала 2022 г. показали, что тренд, который задавало правительство последние несколько лет, пытаясь убе- дить крупные компании, банки и про- мышленные предприятия использовать максимально отечественный софт, был крайне правильным и необходимым. Сейчас ряд вендоров информационной безопасности уходит с российского рынка. Причем некоторые вендоры ухо- дят, громко хлопая дверью: они отзывают лицензии на свой софт, и тот либо вовсе перестает работать, либо работает с минимальными возможностями. То есть, по сути, открывается возможность про- никновения злоумышленников без обна- ружения в сети этих заказчиков. С этой точки зрения Deception российского про- изводства становится важным элемен- том сохранения защищенности инфра- структуры на переходный период. Отметим, что отечественные решения по информационной безопасности по многим направлениям очень достойно выглядят на общемировом фоне. В част- ности, российские решения класса Deception прекрасно решают поставлен- ные перед ними задачи защиты инфра- структуры. l • 23 DECEPTION www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "АВ СОФТ" см. стр. 48 NM Реклама

RkJQdWJsaXNoZXIy Mzk4NzYw