Журнал "Information Security/ Информационная безопасность" #1, 2022

32 • СПЕЦПРОЕКТ Александра Савельева, АВ Софт: Система LOKI при- меняется нами не только для корпоративной сети, но и успешно адаптируется под любые типы устройств в технологи- ческом сегменте. Причем работа Deception не сказывается негативно на работе промышленного оборудования. Ольга Чуприкова, Fortis: Для использования TrapX DeceptionGrid не обязательно лезть внутрь промышленных систем, продукт обладает возможностью сканирования техно- логической сети, создавая максимально реалистичные сетевые ловушки. В системе присутствуют шаблоны ловушек для разных контроллеров, SCADA-устройств, SAP и т.д. При необхо- димости можно сэмулировать любое сетевое устройство, для этого предусмотрен встроенный функционал, который сканирует выбранный хост по открытым портам, смотрит отпечаток ОС и создает на базе найденных данных новый шаблон ловушки. Иван Шаламов, R-Vision: Варианты внедрения Deception для АСУ ТП могут разными: размещение ловушек возможно как в технологическом сегменте, так и в КСПД на входе в тех- нологический сегмент. Обычно в случае, если имеется сетевая связность между корпоративным и технологическим сегмента- ми, заказчики рассматривают гибридное размещение ловушек и приманок. Владимир Соловьев, ДиалогНаука: Внедряя Decep- tion-решения у наших заказчиков, в том числе и на хосты тех- нологического сегмента сети, мы не увидели каких-либо про- блем, связанных с воздействием решения на повседневное функционирование серверов. Чаще всего проблемы возникают после сетевого взаимодействия: например, поставили новый шлюз и не прописали правило или кто-то удалил сетевой проход просто потому, что не было оставлено соответствующих комментариев при настройке. В любом случае размещение ханипотов по соседству с высокозначимыми серверами не только поможет обмануть злоумышленника, но и предоставит возможность увидеть в реальном времени все его действия, направленные на достижение своей цели. Предупрежден – значит вооружен. Комментарии экспертов Deception для технологического сегмента сети Идея применить ловушки для техно- логической сети соблазнительна, но внедрение новых технологий в этом сег- менте сети всегда происходит достаточ- но сложно. Страшновато влезать внутрь промышленных систем, ведь они могут повести себя непредсказуемо и нару- шить непрерывность производственных процессов предприятия. Все-таки если в корпоративной сети что-то сломается и пользователь, к при- меру, не получит почту, эта ситуация не станет критичной. Но выход из строя компьютера в технологической сети может привести буквально к катастрофе. Поэтому с инфраструктурой технологи- ческого сегмента приходится обращать- ся очень аккуратно. Может быть, стоит в качестве первого шага разместить там ханипоты, то есть просто виртуальные машины, которые впрямую не затрагивают инфраструкту- ру, но уже создают определенный эффект. Очевидно, что надо будет их настраивать именно на промышленные порты, протоколы, чтобы ханипот обо- значал себя именно как промышленный компьютер, а не "десятка" из корпора- тивной части. А уже после ханипотов можно перехо- дить и к внедрению в промышленном сегменте Deception. Конечно, готовая компетенция вендора в области техно- логической сети, а также опыт успешных внедрений на предприятиях схожей спе- цифики сильно упростили бы принятие решения. Развитие Deception Я думаю, что решения Deception будут развиваться и трансформироваться при- мерно так же, как антивирусы или DLP. Наверняка будет совершенствоваться незаметность ловушек с точки зрения атакующих, будет появляться новый функционал в агентских модулях. Есть ощущение, что со временем Deception сможет заменить собой антивирусы и EDR на хостах, а может быть и вклю- читься в состав этих решений. Мы, к слову, изучаем возможность миг- рации с нашего нынешнего антивируса на более современное и интересное реше- ние. Хороший вопрос: можно ли уже сей- час рассматривать Deception как замену EDR? То есть не разворачивать EDR, а установить простейший антивирус, может быть даже встроенный в операционную систему, и добавить Deception. Первый будет защищать от известных зловредов, а второй будет обеспечивать прикрытие от новых угроз и собирать дополнитель- ную информацию для расследования. Конечно, мне как заказчику не очень нравится, когда на эндпойнте функцио- нируют несколько разных агентов. Гораз- до удобнее, если работает один агент, который более рационально тратит ресурсы и которым проще управлять с единой консоли. Проблема усугубляется тем, что у многих до сих работают много старых и относительно слабых компью- теров, которые по тем или иным причи- нам заменить не получается, а обновле- ние для установленных на них опера- ционных систем уже не выпускают. И нам как раз важно защитить именно эти машины, нуждающиеся в наложенных средствах, для обеспечения нужного уровня безопасности. У нас активно также используется и развивается микросервисная архитек- тура для приложений. Нам интересно, как и для этой сферы можно применить ханипоты и Deception. В завершение расскажу, как мне на глаза не так давно попалась система, похожая по функциональности на ловуш- ки. Она работает на хостах и на все подозрительные проверочные запросы, которые к ней попадают, всегда отвечает "да". То есть когда зловред спрашивает: "Я в песочнице?" – "Да, ты в песочнице!" "А русская раскладка установлена?" – "Да, установлена!" – "А антивирус здесь есть?" – "Да, целых два!" Расчет на то, что, ориентируясь только на описание, зловред поймет бесперспективность атаки на хост. Возможно, такая функ- циональность была бы востребована в Deception уже сейчас. Иван Шаламов, R-Vision: При разработке продуктов R-Vision мы учитываем необходимость интеграции с решениями других вендоров. В R-Vision TDP реализована передача данных по стандартным протоколам в такие внешние системы как IRP, SOAR, SIEM, TIP и др. Кроме того, R-Vision TDP поддерживает тесную интеграцию с платформами R-Vision IRP и R-Vision TIP, в которые также возможно передать данные для настройки сценариев реагирования на инциденты и информацию по индикаторам компрометации для дальнейшей передачи на СЗИ.