Журнал "Information Security/ Информационная безопасность" #5, 2024

образом, злоумышленник будет счи- тать, что ему удалось проникнуть в новую сеть, не подозревая, что он изолирован. Сейчас принудительное перемещение требует интеграции с сетевым оборудованием, но в буду- щем мы планируем упростить процесс, чтобы можно было управлять им без скриптов и сложных настроек. Расскажем SOC о приметах и методах злоумышленников В системе HoneyCorn существуют сле- дующие разновидности ловушек по раз- ным классификациям: l целевые исследовательские – соз- данные для сбора информации о при- метах злоумышленника и собирающие нормализованные данные, необходимые для повышения уровня безопасности (например словари с паролями, которы- ми нас атакуют); l интерактивные – предоставляющие злоумышленнику интерфейсы для дол- говременного взаимодействия; они соз- даны для задержки злоумышленника до принятия заказчиком решения по реа- гированию и изучению применяемых злоумышленником техник; l поиск аномалий – ловушки с высокой шумностью, выявляющие любую актив- ность в соответствии со своей специфи- кой; их задача – поиск потенциально опасных аномалий в ИС; l целевые инцидентные – ловушки без ложных сработок, нацеленные на экс- плуатацию злоумышленником конкрет- ных уязвимостей. Исследовательские и интерактивные ловушки предназначены для глубинного анализа действий злоумышленников, предоставляя возможность проводить всестороннее исследование атаки, чтобы затем внести улучшения в правила защи- ты. Злоумышленник может беспрепят- ственно взаимодействовать с ними, а вся информация о его действиях становится материалом для совершенствования системы безопасности. Существует точка зрения, что ловуш- ки неэффективны на периметре, но наша практика свидетельствует об обратном. Мы используем на периметре именно исследовательские ловушки. Например, они фиксируют попытки использования на скомпрометирован- ные учетные записи, обеспечивая ран- нее оповещение клиента о возможных компрометациях. Целевые исследовательские и интер- активные ловушки позволяют собирать важные индикаторы компрометации (IoC), такие как IP-адреса источников атак, вредоносные адреса e-mail и дан- ные о действиях, связанных с атаками нулевого дня. Для работы с собранными данными предусмотрен интерфейс, кото- рый автоматически выгружает IoC в SOC, где происходит оперативное бло- кирование угроз и запуск более глубо- кого анализа. Приманки Приманки – второй важный компонент Deception наряду с ловушками. Они выглядят как реальные и ценные ресур- сы, привлекая внимание атакующих и направляя их к взаимодействию с лож- ным слоем инфраструктуры, то есть с ловушками. Приманками могут быть файлы с учетными записями, базы дан- ных, ложные сетевые маршруты и т. п. HoneyCorn не ограничивает заказчиков стандартными приманками – помимо готовых решений предусмотрена воз- можность создания индивидуальных при- манок. Хотите сымитировать конфиден- циальный файл или логин-пароль? – Пожалуйста. Нужны приманки с учетными данными Active Directory? – Нет проблем. Благодаря безагентной интеграции с SIEM-системой, HoneyCorn отслежи- вает не только использование приманок, но и факт обращения к ним. Например, если злоумышленник взаимодействует с подложным конфиденциальным фай- лом, система зафиксирует это действие и отправит уведомление в SIEM. Особенно интересна функция деано- нимизации злоумышленника с помощью активных приманок. Эти файлы содержат псевдовирусное содержимое: если зло- умышленник скачивает и запускает их, начинается сбор данных о его местопо- ложении, маршрутах, IP-адресах и других характеристиках. Мы со своей стороны согласовываем с партнерами по рынку добавление сигнатур таких приманок в исключения исследовательских сетей. Интересен кейс, когда приманки имити- руют доступ к системам управления приви- легированным доступом (PAM), и получив- ший доступ злоумышленник будет отправ- лен в заранее подготовленные ловушки. Внутри сети система HoneyCorn умеет развертывать псевдосетевые ресурсы: подложные FTP-серверы или сетевые диски, где наряду с обычными файлами лежат приманки. Кроме того, мы – одни из немногих, кто интегрировал ловушки с инфодиодами, что позволяет исполь- зовать Deception в полностью изолиро- ванных сетях. В этом режиме ловушки устанавливаются вручную, а данные передаются в одностороннем порядке на сервер без обратного управления. Для крупных SIEM-систем нами под- готовлены полные пакеты нормализации и корреляции событий, которые упро- щают анализ и позволяют эффективно отслеживать все события, связанные с приманками. Заглянем в будущее Deception уже сейчас демонстрирует высокую эффективность, хотя остается узкоспециализированным инструментом. Несмотря на усилия по раз- работке новых типов лову- шек и приманок, повыше- нию точности и ускорению реакции, принципиально расширить возможности технологии не так просто. Поэтому мы обращаем внимание на смежные направ- ления, которые повышают ценность Deception, в особенности на улучшение взаимодействия и интеграции с SOC. Мы подготавливаем данные из ловушек для SOC, создавая отдельные конверто- ры, нормализаторы и плагины. События структурируются следующим образом: инциденты, требующие немедленного реа- гирования, IoC, на которые должны обра- щать внимание операторы SOC, а также данные для обогащения, используемые для доработки правил и аналитики. Индикаторы компрометации – еще одна важная область работы. Они быстро уста- ревают, и их актуальность необходимо поддерживать. Мы используем глобаль- ные инсталляции ловушек HoneyCorn в разных частях Всемирной Сети, чтобы оперативно обогащать инсталляции заказ- чиков свежими IoC, а также внедряем нейросети для оценки релевантности получаемых таким образом данных для минимизации ложных срабатываний. Еще одно перспективное направле- ние – автоматическое развертывание ловушек, внедрение встроенного скане- ра, который изучает сетевые сервисы и предлагает оптимальные адресные про- странства для ловушек. Но для того, чтобы добиться полной аутентичности для таких систем, требуются серьезные усилия со стороны разработчиков. Заключение Задачи, которые ставились перед классом HoneyPot и технологиями Decep- tion лет десять назад, на сегодняшний день еще нельзя назвать полностью решенными, особенно если говорить о российских продуктах. Например, одной из важных областей, требующих доработки, является полная интеграция с SOAR, что связано с автоматизацией и повышением удобства работы. Кроме того, требуется улучшение неко- торых удобных, но не приоритетных тех- нологий, таких как создание ложных VLAN и симуляция сетевых сред, предлагаемых некоторыми иностранными вендорами. В будущем искусственный интеллект и глубокая интеграция с системами управ- ления уязвимостями помогут автоматиче- ски разворачивать новые ловушки, адап- тируясь к текущему киберландшафту. Это позволило бы заказчикам не задумываться о постоянной подстройке Deception – систе- ма делала бы это сама, реагируя на акту- альные угрозы. l • 37 DECEPTION www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ HONEYCORN см. стр. 70 NM Реклама