Журнал "Information Security/ Информационная безопасность" #5, 2024

Александр Щетинин, Xello: Основная задача систем киберобма- на – выявлять сложные угрозы. Но оче- видно, что в текущих реалиях компании используют не одно и не два решения, чтобы выявлять их. В рамках этих про- цессов есть множество метрик – MTTR, MTTD, MTTI, False Negative Rate – и внед- ряемые решения должны их улучшать. Максим Прокопов, HoneyCorn: Если говорить о метриках, которые можно измерить численными показате- лями: 1. Покрытие ловушками, приманками и иллюзиями максимального количества тех- ник MITRE (количество техник покрытия). 2. Возможность аутентично использо- вать ловушки и приманки в любом внут- реннем сегменте сети предприятия и необходимых внешних (типы сегментов сетей). 3. Наличие ловушек под разные зада- чи – исследовательские, интерактивные, с отсутствием ложных сработок и т.д. 4. Эффективная система оповещения и реагирования (перечень методов опо- вещения и возможности реагирования). 5. Производительность, достаточная для работы в промышленных масштабах (количество обрабатываемых событий в секунду). Но есть и метрики, которые являются субъективными, однако не менее важ- ными: 6. Выявление активных действий при тестировании на проникновение или реальной атаке. 7. Повышение эффективности SOC и системы защиты. Екатерина Харитонова, ГК Гарда: 1. Правдоподобность эмуляции реаль- ных сетевых активов. 2. Скрытность работы. 3. Защищенность самой системы. 4. Нетребовательность к вычислитель- ным ресурсам. Александра Савельева, АВ Софт: 1. Количество выявленных атак. 2. Соответствие ловушек реальным устройствам. 3. Масштабируемость и отказоустой- чивость системы. Петр Куценко, BI.ZONE: Для реальной эксплуатации важно обращать внимание на полноту покрытия различных сегментов. Эта метрика также будет работать на скорость обнаружения угроз и количество ложных срабатыва- ний. Кроме того, важно обращать вни- мание на используемые типы ловушек и приманок для конкретной инфраструк- туры, чтобы повышать уровень их при- влекательности для злоумышленников. Владимир Соловьев, ДиалогНаука: Основными метриками эффективно- сти являются количество реальных инци- дентов ИБ, выявленных в рамках функ- ционирования системы, и скрытность – приманки и ловушки должны выглядеть настолько реалистичными и похожими на инфраструктуру заказчика, чтобы злоумышленник, обнаруживший и использующий приманку, не заподо- зрил, что его хотят обмануть. Александр Щетинин, Xello: Системы киберобмана работают внут- ри периметра организации, поэтому наи- большую эффективность они показы- вают при выявлении атак на стадиях, когда злоумышленник исследует сеть или перемещается по ней. Очевидно, что они будут малоэффективны для выявления угроз на периметре, напри- мер, атак типа "отказ в обслуживании" (DDoS) и др. Петр Куценко, BI.ZONE: Сложно обнаружить атаки, в ходе которых используются скомпрометиро- ванные легитимные учетные записи, ведь в таком случае злоумышленник не будет взаимодействовать с ложной инфраструктурой. Deception также не защищает от атак инсайдеров, поскольку они могут обладать знаниями о реальной инфраструктуре и избегать взаимодей- ствия с обманными активами. Екатерина Харитонова, ГК Гарда: Действительно, сложно обнаружить внутреннего злоумышленника со зна- нием структуры сети и правами адми- нистратора в ключевых системах. Системы контроля доступа, поведенче- ского анализа и анализа сетевого тра- фика могут пропустить аномалии, свя- занные с таким сотрудником. Но стра- тегия ИБ должна увязывать работу всех СЗИ и концепцию Human-Centric Secu- rity. А при появлении подозрений эффективным решением могут стать файлы-приманки с критической инфор- мацией и контролем за использованием таких файлов. Владимир Соловьев, ДиалогНаука: Сложнее всего с помощью систем класса Deception обнаруживать атаки, которые не связаны с использованием ложных учетных данных и сканирований сети, например, эксплуатация уязвимо- Какие метрики эффективности Deception вы считаете наиболее значимыми в реальной эксплуатации? Какие виды атак невозможно или сложнее всего обнаружить с помощью Deception? 42 • СПЕЦПРОЕКТ Обмануть, чтобы не быть обманутым. Эксперты о развитии технологии Deception на общемировом, и на российском рынках ИБ заметна тенденция на превращение Deception в важный инструмент защиты, способный не только обнаруживать угрозы, но и активно влиять на стратегии кибербезопасности. Редакция журнала "Информационная безопасность" поинтересовалась у экспертов о практике применения этой технологии и перспективах ее развития в ближайшие годы. И Петр Куценко, руководитель BI.ZONE EDR Алексей Макаров, технический директор Xello Максим Прокопов, основатель HoneyCorn Александра Савельева, исполнительный директор “АВ Софт” Владимир Соловьев, руководитель группы внедрения систем защиты от атак, АО “ДиалогНаука” Екатерина Харитонова, руководитель продукта “Гарда Deception” Александр Щетинин, генеральный директор Xello