Журнал "Information Security/ Информационная безопасность" #5, 2024

В 2020 г. Gartner выделил технологию киберобмана как наиболее перспектив- ную для детектирования кибератак 1 , MITRE Engage называет ее важнейшим элементом активной киберзащиты 2 , а российские компании используют ее как стратегическое решение по повы- шению эффективности процесса мони- торинга инцидентов информационной безопасности 3 . Что должны уметь современные системы киберобмана для эффективного выявления кибератак? Система киберобмана – это наиболее эффективное решение для обнаружения целевых атак, так как она использует против атакующих их собственную тактику. Она создает ложный слой данных и акти- вов (с помощью приманок и ловушек) по всей сети компании (данные на конечных устройствах пользователей, сетевые или промышленные информационные активы, трафик, артефакты работы пользовате- лей) и мониторят их использование. Таким образом проведение атаки для злоумыш- ленника усложняется, а в арсенале защит- ников появляются новые возможности для ее детектирования. Чтобы решения класса DDP помогали в работе, а не отнимали время специа- листов, они должны поддерживать раз- личные типы приманок и ловушек, спо- собы их конфигурирования и быть гиб- кими, масштабируемыми. Связанность приманок и ловушек, отсутствие агента на хостах Для начала разберемся с понятиями. Lures, Breadcrumbs, Decoys, Traps, Honeypots – сколько вендоров, столько и терминов, которые используются для обозначения двух ключевых компонен- тов системы киберобмана. Приманки (Lures, Breadcrumbs) – циф- ровые артефакты, которые ведут к ловушкам и придают им более досто- верный вид. Например, ложная учетная запись от якобы критической базы дан- ных. Приманки размещаются на реаль- ных конечных устройствах (компьютерах реальных пользователей или серверах) в различных местах операционной систе- мы. И это один из важных компонентов DDP, потому что именно с конечного устройства начинается большинство кибератак: фишинг, эксплуатация уязви- мостей в компонентах Open Source, ком- прометация веб-ресурсов компании. Попадая на хост, злоумышленник ищет способы повысить свои привилегии путем поиска различных артефактов и учетных записей пользователей. Приманки могут быть независимыми от ловушек, например, ложные доку- менты разного формата (pdf, word, xlsx), директории, zip-архивы, VPN- и Kuber- netes-конфигурации. Ловушки (Honeypots, Decoys, Traps) – заведомо уязвимые информационные активы. Раньше они размещались на периметре, сегодня же используются в рамках систем киберобмана для выявле- ния нелегитимных действий внутри сети. Необходимо глубокое понимание инфраструктуры организации, чтобы соз- дать максимально реалистичный ложный слой данных и активов по всей сети ком- пании. Например, система должна знать специфику наименования записей DNS, чтобы сгенерировать ложные цели, кото- рые ведут на серверы-ловушки (ложные средства защиты и резервного копиро- вания), или же знать специфику наиме- нования учетных данных в организации и понимать, в каких системах они функ- ционируют (Active Directory, LDAP, Fre- eIPA, менеджеры учетных записей и др.). Приманки и ловушки охватывают несколько сценариев реагирования (см. рис. 1). Первый сценарий: зло- умышленник в рамках скомпрометиро- ванного хоста попадается на приманку, и система перенаправляет его в ловушку, которая была с ней связана. Второй сценарий: злоумышленник в рамках горизонтального перемещения попада- ется в ловушку – ложную базу данных, систему, сетевое устройство. Третий сценарий: злоумышленник пытается экс- плуатировать приманки-"канарейки", которые уведомляют специалистов по ИБ о потенциальных инцидентах при попытках их использования. 32 • СПЕЦПРОЕКТ Современные системы киберобмана: от статичных ловушек до гибких платформ с широкими возможностями онцепция обмана хакеров появилась еще в конце 90-x гг. прошлого века и прошла путь от статичных ловушек (ханипотов) и ханитокенов до современных систем киберобмана (Distributed Deception Platform, DDP). К Алексей Макаров, технический директор Xello Рис. 1. Сценарии реагирования Фото: Xello 1 Радар новейших технологий и тенденций. Безопасность. https://www.gartner.com/en/documents/3975191 2 MITRE Engage: фреймворк и комьюнити. https://www.mitre.org/news-insights/impact-story/mitre-engage-framework-and- community-cyber-deception 3 Deception: стратегическое решение для выявления инцидентов и реагирования на них. https://www.itsec.ru/articles/decep- tion-strategicheskoe-reshenie-dlya-vyyavleniya-incidentov-i-reagirovaniya-na-nih