Журнал "Information Security/ Информационная безопасность" #1, 2022

Не вырастить монстра Постоянная проблема, с которой регу- лярно приходится сталкиваться, – это постепенное превращение продукта со специализированной функциональ- ностью в универсальный комбайн. Часто вендор, создавший небольшой успеш- ный продукт для решения конкретной задачи, начинает его развивать и нагру- жать дополнительным функционалом. Наверное, интересно дополнять продукт новыми возможностями для решения смежных задач, но, может быть, не стоит распылять силы и лучше остаться сфокусированным на изначальной поста- новке проблемы? В части Deception, наверное, можно и комплаенс проверить, и расследование провести. Но это приводит к увеличению объема агента, растет нагрузка на ресур- сы хостов, усложняется администриро- вание. Поэтому важно найти баланс, который позволит развивать решение, но не пре- вращать его в монстра с большим коли- чеством отвлеченных и непонятных функций, которые большинство пользо- вателей проигнорирует. Можно в качестве компромиссного варианта развивать в системе модуль- ность, чтобы каждый заказчик мог из конструктора собрать нужный себе функ- ционал и только за него заплатить. Deception в мультивендорной среде Еще один интересный вопрос касается обмена информацией между разными продуктами. Все обычно хорошо рабо- тает в моновендорной среде: все систе- мы обмениваются событиями, индика- торами компрометации. Но в случае, когда антивирус одного производителя, песочницы другого, Deception третьего, общение обычно сильно осложняется, а оно крайне важно. Если Deception обна- руживает попытки проникновения, то очевидно, что необходимо поделиться индикаторами с другими используемыми средствами защиты – с файрволом, антивирусом. Безусловно, хорошо, что вредоносные действия обнаружены и заблокированы, но где гарантия, что повторная атака не пойдет. Нужно внести изменения на пери- метре, выставить дополнительные барь- еры, заблокировать ip-адреса и url, но без дополнительной информации от Deception сделать это практически невозможно. Может показаться, что эту функцио- нальность должны выполнять системы класса SOAR. Это отчасти справедливо. Но система SOAR весьма недешевое удовольствие, и если ее нет, то все равно должна быть возможность про- стого получения важной информации об инциденте через выгрузку XML-фай- лов, через API или другим несложным способом. На следующем уровне этой проблемы системы Deception должны делиться индикаторами компрометации с про- изводителями средств защиты – тех же антивирусов, чтобы они учитывали информацию в своих сервисах, повышая защищенность. • 31 Deception www.itsec.ru Владимир Соловьев, ДиалогНаука: В основном все интеграции между Deception-системами и сторонними реше- ниями реализуются с помощью API, позволяя выгружать необходимые данные. Решения классов SOAR, IRP и SIEM максимально упрощают интеграционные вопросы, но все равно требуют заметных ресурсов для настройки и админи- стрирования. В случае отсутствия у заказчика вышеупомя- нутых решений можно написать ряд скриптов, выполняющих похожий функционал, например, на языке программирования Python. Ольга Чуприкова, Fortis: В TrapX DeceptionGrid доступны интеграции с большим количеством ИБ-систем. Подобные связи позволяют оперативно влиять на развитие атаки: добавить запрещающее правило на NGFW, легко или мгновенно отрезать хост от сети с помощью NAC-систем. Из коробки доступно множество подобных интеграций (Sandbox, NGFW, NAC, EDR, SIEM и т.д.), для других систем существует специальный API. Уже на данный момент решение позволяет эффективно делить- ся информацией и продолжает совершенствовать этот аспект. Александра Савельева, АВ Софт: Для нас очевидна важ- ность работы Deception как дополнительного эшелона системы защиты, поэтому LOKI может удобно интегрироваться с другими вендорами и системами, такими как песочницы, SIEM, IRP и SOAR. Алексей Макаров, Xello: В Xello Deception есть встроенный модуль для сбора и обработки событий со всех источников платформы, а также смежных систем для реагирования на инциденты безопасности. При возникновении нелегитимной активности решение собирает с зараженного хоста большое количество данных о состоянии системы: активные сетевые подключения, запущенные сервисы и службы, активные поль- зователи и др. Эти данные могут повысить эффективность SOC, а также помочь в расследовании киберинцидентов. Кроме того, открытый API предоставляет широкие возможности для интеграции со сторонними средствами защиты, обогащая их. Комментарии экспертов Владимир Соловьев, ДиалогНаука: Увы, некоторые разработчики действительно, как говорится, "скрещивают ужа и гадюку", но сказать это про разработчиков Deception- решений, c которыми мы работаем, нельзя! Весь дополни- тельный функционал, например в виде высокоинтеллекту- альных ханипотов, с помощью которых можно наблюдать за действиями злоумышленника, попавшего на этот хост, либо функционал зачистки инфраструктуры от закешированных или сохраненных привилегированных учетных записей, – все это является отличным дополнением к стандартному функ- ционалу Deception. Александра Савельева, АВ Софт: LOKI имеет гибкую функциональную структуру и разработана с учетом возможных ресурсных ограничений на реальной инфраструктуре. Поэтому системные требования к оборудованию у нее весьма низкие, что позволяет рабочим станциям и серверам продуктивно работать, не особо замечая нагрузку от Deception. Иван Шаламов, R-Vision: Мы понимаем ширину спектра задач, стоящих перед ИБ-специалистами, и солидарны в том, что добавлять функционал других классов решений в продукт не всегда уместно. Именно поэтому мы развиваем экосистему продуктов R-Vision с различным функционалом и возможно- стями, за счет чего при разработке R-Vision TDP сосредотачи- ваемся на основных задачах этого класса решений. При этом все продукты R-Vision легко адаптируются под специфику заказчика, а также интегрируются друг с другом. В результате заказчик получает от продуктов ровно тот функционал, который ему необходим. Ольга Чуприкова, Fortis: Основная цель Deception – ввести злоумышленника в заблуждение и заставить его выдать себя. Понятной аналогией будет именно охранная сигнализация, а не, к примеру, противоугонная система. Стоит ожидать уве- личения покрытия большего количества атакуемых систем, развития активного Defence и покрытия популярных технологий. TrapX DeceptionGrid, например, теперь поддерживает ловушки в Kubernetes. Брать на себя функции других систем действи- тельно нет смысла, и для этого решения развиваются в сторону интеграций с профильными системами. Комментарии экспертов