Журнал "Information Security/ Информационная безопасность" #4, 2023

Успешное применение систем Deception подразу- мевает, что атаки и попытки несанкционированного доступа будут обнаружены на самых ранних стадиях и позволят службе ИБ быстро и эффективно реаги- ровать на обнаруженные угрозы. Эффективная экосисте- ма для Deception включает в себя хорошо настроенные системы мониторинга, современные инструменты реагирования на инциденты, а также интеграцию с други- ми системами безопасности, такими как SIEM, TI и пр. Сильная система Decep- tion себя не обнаруживает. Например, ловушки типа "сетевое устройство" реали- зуются с помощью спуф- финга на реальном устрой- стве. системы, российские СУБД (в основном на базе PostgreSQL), серверные решения, а также при- кладное программное обеспече- ние. Парк операционных систем может включать в себя системы типа AstraLinux, "Эльбрус", "Базальт" и др. Что касается ИБ- решений, отечественные продук- ты в нашей стране были популяр- ны среди заказчиков еще до того, как импортозамещение стало мейнстримом и регулятор- ным требованием. Поэтому если еще пару лет назад решения для имитации инфраструктуры строились на разработках зарубежных вендо- ров и в соответствии с зарубеж- ными же реалиями, то сейчас отечественным производителям необходимо развивать Deception в соответствии с особенностями построения ИТ-инфраструктуры в нашей стране: не стараться вслепую копировать то, что было. – Как Deception выгля- дит со стороны клиента? Какой зрелости должны достичь ИБ-процессы, чтобы целесообразность использования Deception стала очевидной? – Для заказчика Deception выглядит как дополнительный слой защиты, который предо- ставляет возможность опера- тивно обнаруживать и анали- зировать кибератаки. По своей сути Deception можно сравнить с диспансеризацией в медици- не, которая позволяет среаги- ровать на ранней стадии на опасные заболевания в орга- низме, которые еще не нанесли серьезного вреда. Чтобы понимать и принимать целесообразность использова- ния Deception, компания должна иметь уже устоявшиеся процес- сы управления информационной безопасностью, опыт реагиро- вания на инциденты и понимание сложности современных угроз. Успешное применение систем Deception подразумевает, что атаки и попытки несанкциони- рованного доступа будут обна- ружены на самых ранних ста- диях и позволят службе ИБ быстро и эффективно реагиро- вать на обнаруженные угрозы, включая изоляцию атакующих, анализ методов атаки и устра- нение слабых мест в защите инфраструктуры. Deception, кроме прочего, пре- доставляет ценную информа- цию о тактике и методах зло- умышленников. Анализ этой информации может помочь лучше понять сильные и слабые стороны системы безопасности, а также подготовить более эффективные меры защиты. – Какой должна быть экосистема, в которой эффективно работает Deception? – Эффективная экосистема для Deception включает в себя хорошо настроенные системы мониторинга, современные инструменты реагирования на инциденты, а также интеграцию с другими системами безопас- ности, такими как SIEM, TI и пр. Интеграция с доменом добавляет ряд возможностей для выявле- ния действий злоумышленника в инфраструктуре с помощью целого слоя доменных ловушек. Ими могут быть ложные учетные данные, попытки использования которых сообщают о том, что злоумышленник получил доступ к контроллеру домена. Никакие другие системы ИБ такой инфор- мации не сообщат. Эффективная работа Deception начинается с создания ложного слоя инфраструктуры, макси- мально релевантного настоящей, которая включает в себя сетевые компоненты, серверы, рабочие станции и другие устройства. Интеграция с SIEM позволяет обрабатывать и анализировать данные о действиях злоумыш- ленников, обнаруженных внутри имитируемой инфраструктуры. Это помогает оперативно реа- гировать на атаки и улучшает общий обзор защищенности. Совместное использование с системами IPS и IDS позволяет реагировать на обнаруженные атаки в реальном времени. Такой комбинированный подход обеспечивает дополнительный уровень защиты. Интеграция с системами управления уязвимостями помо- гает выявлять и устранять сла- бые места в инфраструктуре, что повышает эффективность системы Deception. Успешность применения подобных систем зависит от сте- пени квалификации ИБ-коман- ды, которая и будет обнаружи- вать атаки и реагировать на них, используя результаты работы имитируемой инфраструктуры. – Какие возможности должен реализовывать сильный Deception? – Сильная система Deception должна предоставлять гибкую настройку ловушек, позволяю- щую создавать релевантный слой ложной инфраструктуры любого масштаба минимальны- ми усилиями пользователя. Необходимы также возможность интеграции с различными систе- мами, быстрое реагирование на угрозы, а также аналитические инструменты для анализа пове- дения злоумышленника, что поз- волят реагировать на угрозы на самых ранних стадиях. Кроме того, сильная система Deception себя не обнаруживает. Например, ловушки типа "сете- вое устройство" реализуются с помощью спуффинга на реаль- ном устройстве. Причем ловуш- ки назначают mac-адреса из списка mac-адресов вендора. Согласитесь, при таком подходе злоумышленнику довольно сложно распознать подмену. – Как посчитать экономи- ческую эффективность от использования Deception? – Одним из ключевых показа- телей эффективности использо- вания Deception является сниже- ние потерь, связанных с кибе- ратаками. Путем сравнения стои- мости потерянных данных, нару- шения бизнес-процессов, штра- фов за нарушение регулирова- ний и других негативных послед- ствий с расходами на внедрение и поддержку технологии Decep- tion можно оценить экономиче- скую эффективность. Если затра- ты на Deception сравнимы или меньше потенциальных убытков, то это может свидетельствовать о выгодности внедрения. Другим важным фактором эффективности является сокра- щение времени, которое требу- ется для обнаружения и реаги- рования на кибератаки. Техно- логия Deception может обеспечи- вать более оперативное обна- ружение и предотвращение атак, что позволяет сократить потен- циальные убытки и минимизи- ровать простой в работе систем. Эффективное использование технологии Deception также поз- волит оптимизировать расходы на безопасность. Внедрение систем этого класса может ниве- лировать необходимость в других инструментах обнаружения и защиты, что уменьшит общий бюд- жет на кибербезопасность. l • 43 ЗАЩИТА СЕТЕЙ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ГРУППА КОМПАНИЙ "ГАРДА" см. стр. 70 NM Реклама