Журнал "Information Security/ Информационная безопасность" #1, 2022

• 33 Deception www.itsec.ru Владимир Соловьев, ДиалогНаука: Говорить про взаимозаменяемость разных решений, на мой взгляд, некорректно. Как раз очень хороший пример – антивирус (EPP) и EDR. Оба класса решений защищают конечные точки от злоумышленников и прекрасно дополняют друг друга. Также и в случае с использованием Deception было бы неправильно отказаться от антивирусов и EDR. Да, Deception выявит злоумышленника в сети, но обнару- жить вредоносное программное обеспечение или составную целенаправленную атаку, скорее всего, не сможет. На мой взгляд, лучший подход – комплексный. А подход с положительными ответами на все поступаю- щие проверочные запросы выглядит интересным, только, на мой взгляд, это, наоборот, заставит злоумышленника насторожиться и дважды продумывать каждый шаг атаки. Иван Шаламов, R-Vision: Технологии Deception актив- но развиваются, и мы предполагаем, что в дальнейшем они смогут стать заменой решений класса IDS. За счет учета специфики отрасли и особенностей инфраструктуры заказчиков R-Vision TDP более эффективен, чем стан- дартные средства обнаружения. Мы уверены, что в будущем каждая компания станет использовать Deception. Алексей Макаров, Xello: Решения класса Deception будут впитывать в себя подходы из смежных областей. Будут развиваться формы обмана злоумышленника, а также методы защиты данных, которые позволят услож- нить технологически путь к ним. DDP-платформы уже сейчас предоставляют командам информационной без- опасности полноценные инструменты не только для ран- него обнаружения и реагирования на киберинциденты, но и для исследования техник и тактик злоумышленника. Эти аналитические данные позволят компаниям адаптировать свою стратегию к новым угрозам и обеспечить автомати- зацию ответных действий. Александра Савельева, АВ Софт: Наше видение: будущее у Deception радужное. Будут совершенствоваться аналитические возможности платформы, функциональность дополнится и сопутствующими модулями, например ска- нированием устройств на уязвимости. Ольга Чуприкова, Fortis: Мы не заменяем, а допол- няем экосистему организации. Deception вступает в бой, когда периметральная защита не справилась и атакующий уже находится в сети. Для DDP-систем важно затруднить и снизить скорость передвижения злоумышленника внутри корпоративной сети, а также своевременно уведомить об этом, чтобы было максимум времени на анализ происхо- дящего и своевременного принятия мер по локализации атаки. Deception в скором времени станут такой же неотъемлемой частью комплексных систем информацион- ной безопасности, какими в свое время стали IPS, NGFW, SIEM, Sandbox и EDR. l Комментарии экспертов В первом квартале 2022 г. эксперты компании расследовали в четыре раза больше таких инцидентов, чем за ана- логичный период 2021 г. Такой рост связан в первую очередь с постоянным усложнением ландшаф- та угроз и расширением поверхности атак: злоумышленники используют разные тактики и техники, в том числе комбинированные, и стремятся про- никнуть в инфраструктуру компании- жертвы через разные точки входа. Кроме того, сегодня компании стал- киваются с приостановкой деятельно- сти ряда иностранных вендоров на рынке. В ситуации неопределенности, в частности, когда организации лиши- лись отдельных защитных решений, риски пропустить сложную кибератаку значительно повышаются. Стоит добавить, что начиная с середи- ны марта 2022 г. в России существенно увеличилось количество атак программ- шифровальщиков после спада, который наблюдался в конце зимы. Пик пришелся на двадцатые числа марта, когда этот показатель был в четыре раза выше, чем в последние дни февраля. Основными мишенями злоумышлен- ников стали корпорации и государст- венные организации. Большинство атак начинались с письма сотруднику с вредоносным вложением или ссыл- кой. После проникновения в систему и проведения исследования инфра- структуры компании зловреды шиф- ровали данные и блокировали нор- мальную работу устройств. Характер- ной особенностью мартовских атак стало то, что злоумышленники часто не требовали выкуп, стремясь просто помешать работе бизнеса. Для обеспечения безопасности и устойчивости бизнеса в условиях повышенных киберрисков компаниям стоит использовать комплексные решения класса XDR (Extended Detec- tion and Response) – расширенные системы обнаружения и реагирования на сложные кибератаки. Эти системы позволяют контролировать все потен- циальные точки входа киберпреступ- ников в инфраструктуру: рабочие места и серверы, сеть, почту, Интер- нет, в том числе проникновение с использованием инструментов соци- альной инженерии. Они также предо- ставляют экспертам по информацион- ной безопасности возможность цент- рализованно отражать сложные кибе- ратаки, целевые и APT-угрозы в рам- ках всей инфраструктуры. Важную роль играют встроенные технологии мониторинга, обнаружения, расследо- вания, проактивного поиска угроз, обогащения данными о киберугрозах (Threat Intelligence) и набором действий для реагирования. Усложнение ландшафта угроз и новые реалии рынка требуют от российских компаний комплексного подхода к кибербезопасности, вклю- чающего расширенные системы обна- ружения и реагирования на сложные кибератаки. Большое значение в современных условиях имеет наличие у экспертов по информационной без- опасности оперативных данных об актуальных угрозах, схемах и тактиках злоумышленников. Вкупе с фунда- ментальными надежными защитными инструментами это сокращает время обнаружения и реагирования на угрозу и, как следствие, минимизирует последствия киберинцидентов. l Ваше мнение и вопросы присылайте по адресу is@groteck.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Лаборатория Касперского: количество киберинцидентов в российских компаниях увеличилось в 4 раза

RkJQdWJsaXNoZXIy Mzk4NzYw