Журнал "Information Security/ Информационная безопасность" #5, 2024

Внедрениерешений Deceptionспособнообеспе- читьдополнительныйрубеж обороныотнесанкциониро- ванноговоздействия на защищаемыйобъект и предоставитьдополни- тельныеинструментыконт- ролязаразвитиематаки и действиямизлоумышлен- никав защищаемойинфра- структуре. Deceptionпозволяет точнозафиксироватьвремя срабатыванияловушек и каждоевзаимодействие с эмулированнойинфра- структурой,позволяяотсле- живатьшагизлоумышлен- никаисопоставлятьих с другимисобытиямивсети.­ РазработчикиСЗИ с каждымгодомпредла- гаютзаказчикамновые, всеболеепродвинутые средстваиинструменты защиты.Однимизтакихинстру- ментовявляетсятехнология Deception,появившаясяна рынкеотносительнонедавно, ноужеуспевшаявызватьинте- ресуспециалистоввобласти информационнойбезопасности. ТехнологияDeceptionпред- ставляетсобойрешение,объ- единяющеесредствомонито- рингазадействиямизлоумыш- ленникаиинструментреагиро- ваниянаних.Внедрениереше- нийDeceptionспособнообеспе- читьещеодинрубежобороны отнесанкционированноговоз- действияназащищаемыйобъ- ектипредоставитьдополни- тельныеинструментыконтроля заразвитиематакии действия- мизлоумышленникавзащи- щаемойинфраструктуре. Два слоя инфраструктуры СутьработыDeceptionзаклю- чаетсявимитацииИТ-инфра- структурыобъектадлядезин- формациизлоумышленника о наличии,структуреитипеата- куемыхобъектов.Послевнед- рениясистемыDeceptionИТ- инфраструктураорганизации будетсостоятьиздвухслоев. Первыйслой–реальная инфраструктуракомпании, а второй–эмулированная среда,состоящаяизловушек и приманок,расположенныхна реальныхфизическихустрой- ствах.Привзаимодействии с нимизлоумышленник,про- никшийвсеть,сразужерас- секречиваетсебя,оповещая специалистовИБосвоемпри- сутствии. Ловушкииэмулируемыена нихсервисыподдерживают постоянноесоединениессерве- ромиприлюбойпопыткевзаи- модействияснимиотправляют сообщение(аларм)насервер. Решенияэтогоклассаспо- собныобнаружитьзлоумыш- ленникакакнасамыхранних стадияхразвитияатаки,так и наболеепозднихэтапах, когдазлоумышленникужепроч- нозакрепилсявсетиидей- ствуетвней(причемсточки зрениялогикиработыкласси- ческихсредствзащиты–леги- тимно).Вэтомслучаетехноло- гияDeceptionоказывается последнимрубежом,способным предотвратитьразвитиеатаки донанесенияущерба. Сценарии интеграции Несмотрянаотносительную новизну,решенияDeceptionуже начинаютобрастатьвозможны- мисценариямиинтеграции с существующейинфраструк- турой,атакжепервымиреали- зованнымипроектами,успешно внедренныминаобъектахзаказ- чиков.Приприменениилюбой новойтехнологииприсутствует резонноежеланиеобеспечить непрерывностьпротеканияуже существующихрабочихибиз- нес-процессовиустойчивое функционированиеобъекта.То естьвнедрениерешенийдолжно максимальнобесшовновписы- ватьсявужесуществующий ландшафтИТ-иИБ-инфра- структуры.Вчастности,пред- полагается,чтовнедрение решенийDeceptionвсвязке с другимиСЗИпозволитопера- тивновыстроитьвзаимодей- ствиеикоординациюобъекта защитысцентрамимониторинга информационнойбезопасности SOC.Отметимрядособенно- стей,которыеважныдляреше- нияэтойкомплекснойзадачи. Deception и SOC Благодаряиспользованию технологийDeceptionспециа- листыцентровSOCполучают доступкважнойинформации, котораяпомогаетнетолько своевременнообнаружитьпро- никновениезлоумышленника в сеть,ноиглубжепонятьего действия,методыицели. Важно,чтоспециалистыSOC могутпроанализироватьспособ проникновениявинфраструкту- ру,аименно:какиемерызащиты былипройденыикакиеуязви- мостииспользовалзлоумыш- ленник.Deceptionфиксирует каждоевзаимодействиеслож- нымслоеминфраструктуры,что даетвозможностьпроанализи- ровать,какимименнообразом злоумышленникполучилдоступ, например,черезслабыепароли, уязвимостивПОилиспомощью социальнойинженерии. Deceptionпозволяетточно зафиксироватьвремясрабаты- ванияловушекикаждоевзаи- модействиесэмулированной инфраструктурой,позволяя отслеживатьшагизлоумыш- ленникаисопоставлятьих с другимисобытиямивсети. Например,еслисрабатывание ловушкипроизошловмомент, когдадругиезащитныесистемы фиксировалианомальную 38 • СПЕЦПРОЕКТ Применение систем класса Deception и InfoDiode как пример комплексной системы защиты овременные ИТ-инфраструктуры сталкиваются со все более изощренными атаками, которые часто остаются незамеченными традиционными средствами защиты. Злоумышленники могут длительное время скрытно действовать в сети, имитируя легитимную активность и постепенно подготавливая атаку. Возникает необходимость в новых подходах, способных не только обнаруживать такие угрозы на ранних стадиях, но и предотвращать их развитие, не нарушая работы инфраструктуры. С Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП Фото:АМТ-ГРУП