Журнал "Information Security/ Информационная безопасность" #4, 2023

Эффективность работы системы Deception зависит от того, насколько правдо- подобной оказывается фор- мируемая ей ложная инфра- структура с точки зрения разработчиков зловредного программного обеспечения. Долгое время технология раз- вивалась в унисон с типовыми элементами инфраструктур, создавали которые на основе решений зарубежных произво- дителей. Теперь с учетом импортозамещения отечествен- ным разработчикам необходимо адаптироваться к новой реаль- ности: эмулировать российские операционные системы и при- кладные сервисы. Об особен- ностях и нюансах развития Deception в условиях масштаб- ного импортозамещения мы поговорили с менеджером по разработке продукта компании "Гарда Технологии" (входит в группу компаний "Гарда") Дмитрием Евдокимовым. – Насколько необходи- мой является подстройка приманок и ловушек Deception под новую рос- сийскую инфраструктуру? – Эффективность работы системы Deception зависит от того, насколько правдоподоб- ной оказывается формируемая ей ложная инфраструктура с точки зрения разработчиков зловредного программного обеспечения (ПО). Это ключе- вой аспект, который определяет способность Deception привлечь внимание злоумышленников, обмануть их и выявить их цели и методы. С учетом динамичного роста доли отечественных решений в ИТ-инфраструктуре российских компаний необходимость адап- тации Deception-ловушек под новую реальность становится первостепенной задачей. Такая подстройка позволяет обеспе- чить максимально реалистичное и эффективное введение зло- умышленника в заблуждение. Есть и другой важный аспект: ложная инфраструктура должна быть такой степени сложности, чтобы не только сбить с толку злоумышленников, но и позво- лить выявить их методы. То есть важно изучить предпринимае- мые попытки атаки, чтоб понять логику действий преступников, а затем определить способы защиты имитируемых россий- ских систем от подобных угроз в будущем с учетом полученной информации. – Сказывается ли необходимость использо- вания российских ОС на возможность сертифика- ции во ФСТЭК России? – Использование российских операционных систем играет важное значение для возмож- ности сертификации решения во ФСТЭК России. Использование отечественных ОС требует глу- бокого понимания их функцио- нала и особенностей работы. ФСТЭК России устанавливает строгие требования к безопас- ности и функциональности, и любое отклонение может нега- тивно повлиять на процесс и результат сертификации. Тен- денция в процессе сертификации сейчас такова, что продукт дол- жен работать на одной из серти- фицированных российских ОС. Применительно к Deception это требование в первую оче- редь касается серверной части, на которой развертывается сама платформа. Но в равной мере это застрагивает и ОС на рабо- чих станциях, если они будут включены в работу Deception. – В чем сложность сер- тификации систем класса Deception по сравнению с другими классами средств защиты? – Основная сложность серти- фикации отечественных систем этого класса заключается в том, что четкого его определения у регулятора не существует. Впро- чем, отсутствие нормативной базы не мешает сертифицировать продукт по техническим условиям и по уровню доверия, что нема- ловажно. Небольшие проблемы добавляет также требование о поддержке какой-либо сертифи- цированной операционной систе- мы, в том числе и в окружениях, создаваемых контейнерами внут- ри продукта. Поэтому при подго- товке к процедуре сертификации мы, например, провели масштаб- ную внутреннюю миграцию на ОС AstraLinux. – Каковы характерные особенности типовой оте- чественной инфраструк- туры, какой ее "слепок"", что в него входит? – Типовая отечественная инфраструктура по состоянию на середину 2023 г. включает в себя отечественные операционные 42 • ТЕХНОЛОГИИ Тернистый путь Deception эпохи импортозамещения в России ибератаки становятся все более изощренными, а традицион- ных мер для обеспечения безопасности организаций уже не хватает. В качестве одного из превентивных подходов к защите информационных ресурсов предприятий в мире стали применять концепцию нулевого доверия, а для повыше- ния эффективности – сочетать ее с новыми инструментами детектирования угроз. Один из таких инструментов – техно- логия Deception, которая представляет собой имитацию ИТ- инфраструктуры предприятия. Ее применение помогает обна- руживать кибератаки на ранней стадии, минимизируя нега- тивные последствия, а также позволяет собирать информацию о преступных тактиках и методах. Эти данные в дальнейшем используются для усиления защитных мер. К Дмитрий Евдокимов, менеджер по разработке продукта компании “Гарда Технологии” (входит в группу компаний “Гарда”)