Журнал "Information Security/ Информационная безопасность" #5, 2024

Разнообразие приманок и ловушек Современные системы киберобмана должны предоставлять возможности для генерации различных типов ловушек и приманок. В платформе Xello Deception есть несколько модулей, которые отвечают за генерацию ловушек. Модуль Xello RealOS позволяет эмулировать ложные сервисы и системы, которые работают в среде реальной операционной систе- мы. Это дает возможность из любой продакшн-системы сделать ловушку, а также установить на нее различные ложные сервисы или уязвимости. Модуль Xello Decoy Traps – это полно- ценная платформа, в рамках которой реализован целый набор специализиро- ванных ловушек: от финансовых до про- мышленных устройств (см. рис. 3). Важ- ная особенность – эмулируемые активы отвечают цифровому отпечатку конкрет- ных устройств. Архитектура модуля поз- воляет добавлять их по запросу при наличии такого отпечатка у заказчика. В рамках платформы реализованы специализированные ловушки для выявления MITM-атак. Агенты (развер- нутые серверы-ловушки RealOS или Decoy Traps) рассылают по сети ложный трафик в рамках конкретного протокола и выявляют узлы, которые отвечают на него. При получении ответа на сообще- ния платформа будет считать эти узлы зараженными, поскольку с них осуществ- ляется нелегитимная активность. В рамках конфигурирования веб-лову- шек реализована собственная техноло- гия эмуляции веб-сервисов устройств различных производителей (например Cisco, HP, Hikvision и др.). Отдельно платформа позволяет соз- давать ложные уязвимости в ловушках, чтобы сделать информационные активы более привлекательными для злоумыш- ленника. Для гибкого масштабирования лож- ного слоя платформа Xello Deception поддерживает из консоли: l распространение приманок в различ- ные сегменты сети: в инфраструктуру виртуальных рабочих столов (VDI) и RDS-серверы, технологический сегмент; l мультидоменность – отдельные сер- веры-сателлиты, которые устанавли- ваются в филиалах и обеспечивают интеграцию с сервером управления, что позволяет оптимизировать открытие сетевых портов и передачу данных между распределенными площадками. Современные системы киберобмана создают ложный слой на конечных устрой- ствах, усложняя злоумышленникам обна- ружение реальных активов, а на уровне сети – ложные активы, скрывающие реальные хосты от злоумышленников. Возможности для реагирования на инциденты безопасности и их расследования После того как злоумышленник попыта- ется использовать приманку или ловушку в ходе кибератаки, система оповестит специалистов ИБ о потенциальном кибе- ринциденте. Чтобы оперативно отреаги- ровать на него, платформа Xello Deception фиксирует все действия, связанные с лож- ными данными и активами, в режиме реального действия, а также предостав- ляет необходимую информацию для детектирования атаки (рис. 4). Для расследования киберинцидентов платформа записывает сетевой трафик в pcap- файл, что позволяет полу- чать все данные о коман- дах и действиях хакера (выполнение команд, запросы, запуск утилит и т.п.) при его взаимодействии с ловушкой. Выводы Эпоха статичных ловушек давно про- шла. Им на смену пришли современные системы киберобмана, решения класса Distributed Deception Platform, как ответ на развитие ландшафта киберугроз (появление новых инструментов кибер- преступников и методов получения доступа к инфраструктуре). В отличие от классических средств защиты подобные системы влияют на психологию злоумышленников. Научно доказано, что у тех из них, кто знает о наличии ловушек и приманок в инфра- структуре организации, снижается эффективность, поскольку они начинают действовать более осторожно и мед- ленно, выверяя каждый свой шаг. Это повышает их шансы на ошибку. И даже если они не подозревают о наличии таких систем в инфраструктуре, то их путь к реальным активам бизнеса сильно усложняется. Системы киберобмана ввиду их без- болезненного внедрения позволяют орга- низовать мониторинг киберинцидентов в сжатые сроки, а также усилить этот процесс, закрывая слепые зоны класси- ческих средств защиты и систем без- опасности. l • 33 DECEPTION www.itsec.ru Рис. 2. Ложный слой данных и активов Рис. 4. Карточка инцидента в Xello Deception Рис 3. Модуль Xello Decoy Traps АДРЕСА И ТЕЛЕФОНЫ XELLO см. стр. 70 NM Реклама