Журнал "Information Security/ Информационная безопасность" #5, 2024

Deception позволяет не просто фиксировать факт вторжения, но и дает воз- можность активного проти- водействия, обеспечивая при этом глубокий анализ действий злоумышленника. Специалисты SOC полу- чают возможность собрать данные (узнать адрес, порт источника, сделать предпо- ложения о целях атаки, выявить протокол взаимо- действия, время срабатыва- ния, способ проникновения в инфраструктуру), проана- лизировать действия нару- шителя, постараться вовре- мя ограничить его воздей- ствие и развитие атаки. активность, то это может помочь создать полную картину атаки, проследив ее развитие от начального проникновения до попыток эксплуатировать конкретные уязвимости. Если выявлено, что злоумыш- ленник пытается получить доступ к критическим ресурсам, SOC может незамедлительно принять меры для изоляции этих ресурсов, для блокировки подо- зрительной активности и даже провести мероприятия по эму- ляции дальнейших действий зло- умышленника, чтобы отвлечь его от настоящих целей. Другими словами, Deception позволяет не просто фиксиро- вать факт вторжения, но и дает возможность активного проти- водействия, обеспечивая при этом глубокий анализ действий злоумышленника. Deception в изолированных сегментах сети Одним из направлений при- менения технологии Deception является ее использование в физически изолированных сетях, относящихся к значимым объектам критической инфор- мационной инфраструктуры (ЗОКИИ) и опасным производ- ственным объектам (ОПО). Необходимость физической изо- ляции данных объектов от внеш- ней сети связана с тем, что последствия реализации угрозы несанкционированного доступа как со стороны стороннего зло- умышленника, так и внутренне- го, оказываются для данных объектов наиболее разруши- тельными. Физическая изоляция (применение воздушного зазо- ра) на объектах ЗОКИИ и ОПО нивелирует любую угрозу со стороны стороннего злоумыш- ленника, однако внутренний нарушитель при этом все еще остается в игре. Задачу пред- отвратить или хотя бы купиро- вать развитие атаки внутри закрытой сети данных объектов берет на себя в том числе и система обнаружения втор- жений Deception. Несмотря на то, что полная физическая изоляция (примене- ние воздушного зазора) более доверенного сегмента сети спо- собна исключить любое несанк- ционированное воздействие сто- роннего злоумышленника, она замедляет или делает невозмож- ным протекание ряда рабочих и технологических процессов. К числу таких процессов отно- сится и передача соответствую- щей информации об инцидентах ИБ, выявляемых той же систе- мой Deception, в центры SOC, находящиеся в менее доверен- ных сетевых сегментах. В таких случаях решением может выступать использова- ние однонаправленной переда- чи данных, в частности устройств класса "диод", кото- рые способны не просто физи- чески изолировать защищае- мый сегмент, но и организовать однонаправленный канал пере- дачи, адресованный в менее доверенные сегменты сети. То есть применение такого решения, при котором совмест- но используются комплекс одно- направленной передачи данных InfoDiode и система обнаруже- ния вторжений Deception, поз- воляет физически изолировать доверенный сетевой сегмент и передавать данные c ловушек в центры SOC, которые тради- ционно находятся за перимет- ром защищаемого объекта. Таким образом специалисты SOC получают возможность собрать данные (узнать адрес, порт источника, сделать пред- положения о целях атаки, выявить протокол взаимодей- ствия, время срабатывания, спо- соб проникновения в инфра- структуру), проанализировать действия нарушителя, поста- раться вовремя ограничить его воздействие и развитие атаки. На практике архитектура совместного использования подобных решений предпола- гает применение комплекса InfoDiode между ПО Deception, выступающим в роли ловушки в закрытом сегменте и ПО Deception, выступающим в роли сервера в открытом сегменте. Построение такой архитектуры обеспечивает своевременную передачу оповещений безопас- ности из закрытого сегмента в центры SOC, а также исклю- чает любое воздействие через этот же канал связи на защи- щенный сегмент сети. Примеры таких архитектур уже протести- рованы и существуют на рынке. В заключение Построение надежной совре- менной системы защиты, спо- собной противостоять злоумыш- леннику и всему его богатому, активно пополняющемуся инструментарию, зависит от двух факторов. 1. Использование новых, инновационных СЗИ, способных быть на шаг впереди инстру- ментов злоумышленника. 2. Использование высоко- эффективных проверенных средств. Применение комплексного решения, основанного на совместном использовании комплекса InfoDiode и СОВ Deception сегодня объединяет в себе оба этих фактора. Со временем вариативность сценариев совместного приме- нения технологии Deception и комплекса InfoDiode лишь увеличится – это будет харак- терно и для сценариев, когда выстраиваются многоуровне- вые (иерархические) системы сбора информации, при кото- рых ПО сервера Deception рас- полагается внутри защищае- мого сегмента, а SOC все так же остается снаружи. l • 39 DECEPTION www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АМТ-ГРУП см. стр. 70 NM Реклама