Журнал "Information Security/ Информационная безопасность" #5, 2024

Не менее красноречивой является ста- тистика, отражающая среднее время скрытого присутствия злоумышленников в сетях. Если в 2020 г. этот показатель составлял несколько десятков дней, то уже в 2023 г. среднее время сократилось до десяти дней. Многие эксперты связы- вают эту положительную тенденцию с широким внедрением Deception-реше- ний в корпоративные сети. Почему могут не срабатывать периметровые средства защиты? Причин уязвимости современных систем множество. Прежде всего, это угрозы "нулевого дня". Когда появляется новая уязвимость, системе, основанной на сигнатурах, требуется время для выпус- ка патча, и в этот период инфраструктура остается беззащитной перед неизвестной угрозой. Более того, злоумышленнику вовсе не обязательно взламывать периметр защиты. У него может быть доступ к логи- ну и паролю, полученному, например, через фишинговую рассылку. Нарушитель может оказаться внутрен- ним. Иногда сотрудника компании пере- купают конкуренты или он решает ото- мстить работодателю из-за обиды. В таких случаях внутренние мотивы могут стать основой для деструктивных действий. Этот фактор представляет особую угрозу для безопасности, так как инсайдеры имеют доступ к ключевой информации и знают слабые места системы изнутри. Как работает Deception Deception организует так называемый ложный слой инфраструктуры, состоя- щий из ловушек – двойников реальных сетевых активов. Главная сила этой тех- нологии в том, что она основывается на уверенности: в ложном слое не может быть легальных пользователей. Если кто-либо проявился в этом пространстве, это всегда сигнал к тревоге. Каждый инцидент в ложном слое нужно детально анализировать. Возмож- но, человек просто допустил опечатку, введя не ту цифру в IP-адресе, что можно объяснить случайностью. Но если кто-то начинает систематически скани- ровать сеть в рабочее время, это уже предупреждение о потенциальной опас- ности: зачем он это делает? Приманки содержат логин и пароль ложного пользователя, и это отдельный элемент, который активно функциони- рует для обнаружения угроз. Например, можно использовать доменную приман- ку: она размещается в контроллере домена, и затем отслеживается, кто ее украл и где с ее помощью пытался авто- ризоваться. Этот механизм позволяет не только детектировать взаимодействие с ловушками в реальном времени, но и раскрывать планы злоумышленников, делая защиту проактивной. Рекомендуется 50-процентное дубли- рование внутренних сетевых активов сервисами ловушек: если у компании есть, например, две базы данных, то необходимо создать как минимум одну аналогичную эмулированную базу дан- ных в ложном слое. Это же правило касается и сетевых устройств: если в сети 50 устройств, то как минимум 25 из них стоит воссоздать в виде ловушек. Каждая машина с ловушками требует уникального IP-адреса, это нужно учи- тывать при планировании. Обнаружение скрытого присутствия в сети Скрытое присутствие злоумышленни- ка – это не просто его бездействие. Полу- чив доступ к сетевому устройству, ата- кующий начинает активную разведку, стремясь выяснить, с какими другими элементами сети связано это устройство. Он пытается повысить свои привилегии, начиная, к примеру, с учетных данных обычного системного администратора, но преследуя цель получить права супер- пользователя на сервере, где хранятся ценные данные или другие критически важные для компании активы. Усредненные десять дней, в течение которых злоумышленник остается неза- меченным, являются важным ресурсом как для сотрудников компании, так и для самого нарушителя. Для компании это шанс изолировать непрошеного гостя, закрыть ему доступ в сеть и устранить все следы его присутствия, включая вре- доносные файлы, которые он успел оста- вить. Для злоумышленника это критиче- ское время, в течение которого он мед- ленно и осторожно повышает свою осве- домленность о сети и продвигается по ней, что в MITRE ATT&CK называется "горизонтальным перемещением". Одной из ключевых особенностей "Гарда Deception" является возможность визуализации векторов атаки. Когда про- исходит инцидент, система позволяет увидеть его полную картину: на какой хост (в данном случае, ловушку) и с какого IP-адреса была осуществлена атака, какие логины и пароли вводились в ловушке, какие команды выполнялись, какие файлы злоумышленник скопировал в ловушку. При настроенной интеграции с системой "Гарда Threat Intelligence" можно сразу получить данные об уровне опасности загруженного в ловушку файла. Кроме того, "Гарда Deception" предо- ставляет возможность ретроспективного анализа. Можно отмотать время назад и проследить активность злоумышлен- ника, чтобы обнаружить возможные упу- щенные аспекты атаки. Дай атаке развиваться, фиксируй реагирование Если в Deception появляется инцидент, необходимо немедленно реагировать – 34 • СПЕЦПРОЕКТ В ложном слое не может быть легальных пользователей eception нередко называют последней линией обороны, однако есть и другое мнение, что это первый шаг активной защиты, отправная точка для проактивных действий в кибербезопасности. На самом деле Deception стоит рассматривать как наступательную стратегию. Можно заметить, что этой технологии мировые СМИ и аналитики уделяют все больше внимания. Так, с 2020 г. компания Gartner активно подчеркивает значимость Deception, называя технологию одной из самых важных из новых, а рост рынка составляет в среднем 13% в год. D Екатерина Харитонова, руководитель продукта “Гарда Deception”, группа компаний “Гарда” Фото: ГК "Гарда"