Журнал "Information Security/ Информационная безопасность" #5, 2024

стей, направленных на выполнение про- извольного кода на хосте, так как это уже выходит за рамки мониторинга систем класса Deception. То же самое с сетевыми атаками без аутентифика- ции – без анализа полной копии трафика сложно определить действия злоумыш- ленника. Здесь важно понимать, с каки- ми данными работает Deception. Александра Савельева, АВ Софт: С помощью Deception сложно обнару- житься атаки, направленные непосред- ственно на пользователя, такие как спам, фишинг, вейлинг и др. Стоит также отметить, что гарантированно Deception не защищает ни от каких угроз, но помогает защититься от атак, связанных с горизонтальным переме- щением. Максим Прокопов, HoneyCorn: Нет таких атак в информационной среде, которые нельзя было бы выявлять с помощью Deception. Однако, для закрытия специфических и редких атак растет стоимость настройки и обслужи- вания системы. В связи с этим необхо- димо оценивать целесообразность использования Deception в таких слу- чаях. Петр Куценко, BI.ZONE: l SIEM позволит обрабатывать большое количество событий и коррелировать события из Deception с данными из дру- гих источников. l EDR упростит распространение при- манок и ловушек, а также произведет активное реагирование. l UEBA зафиксирует аномалии, если пользователь внезапно начинает взаимодействовать с обманными ресурсами. l SOAR ускорит расследование и реа- гирование путем обработки информации в одном месте. Александра Савельева, АВ Софт: Интеграция технологии Deception с песочницами для более детального исследования артефактов атаки дает возможность эффективно расследовать инциденты и безопасно изучать поведе- ние вирусов. Максим Прокопов, HoneyCorn: Системы ловушек и приманок часто работают в коллаборации с другими решениями для повышения совместной эффективности работы: 1. С SIEM для повышения эффектив- ности мониторинга. 2. С PAM для блокировки привилеги- рованных сессий в скомпрометирован- ных сегментах. 3. С диодами для размещения агентов в закрытых сегментах сети. 4. С LDAP и МЭ для блокировки ском- прометированных объектов (учетных записей, IP-адресов). Алексей Макаров, Xello: Основное преимущество систем кибе- робмана заключается в предоставлении высокодоверенного источника компро- метации, поскольку приманки и ловушки направлены исключительно на злоумыш- ленника. Поэтому при интеграции с систе- мой мониторинга событий ИБ или SOC, уведомления от системы киберобмана необходимо рассматривать в первую оче- редь, и это также позволяет автоматизи- ровать реагирование на киберинциденты при интеграции SOAR-системой или IRP. Екатерина Харитонова, ГК Гарда: Важно отслеживать и своевременно реагировать на генерируемые системой инциденты ИБ, важна и интеграция с SIEM. Следующая в приоритете – интеграция с системами, которые могут обогатить инцидент ИБ дополнительной информацией, – например, TI или Sand- box дополнят уровнем угрозы разме- щенного в ловушку файла и изолируют файл. Важна интеграция с системами, которые могут автоматизировать реак- тивные действия на инциденты, – напри- мер, EDR может изолировать АРМ, с которого утекла приманка. Владимир Соловьев, ДиалогНаука: Исходя из опыта проведения пилотов и внедрений у наших заказчиков, могу однозначно сказать, что основной интег- рацией систем класса Deception является интеграция с SIEM, которые в свою оче- редь могут быть интегрированы с SOAR- и EDR-решениями для оперативного реагирования на выявленные угрозы. Ведь мало обнаружить злоумышленника, нужно вовремя и правильно пресечь его зловредную активность. Алексей Макаров, Xello: Xello Deception совмещает в себе мно- жество подплатформ собственной раз- работки, которые позволяют добавлять новые типы приманок и ловушек в каж- дый релиз. Например, модуль Xello Decoy Traps позволяет технологически быстро добавлять отраслевые ловушки (устрой- ства) при наличии цифрового отпечатка. В этом году мы разработали собственную технологию кастомизации веб-сервисов различных сетевых устройств. И таких возможностей внутри платформы мно- жество, что делает решение гибким, быстро масштабируемым. И самое глав- ное – все это собственная разработка. Что касается правдоподобности, то самое главное – добавлять актуальные типы приманок и ловушек (для этого мы анализируем APT-/DFIR-отчеты для поиска актуальных целей злоумыш- ленников) и добавлять механизмы для обновления, ранжирования и актуали- зации, чтобы они были динамичными. Екатерина Харитонова, ГК Гарда: Мы активно работаем с обратной свя- зью от заказчиков и от команд пенте- стеров, чтобы совершенствовать разно- образие и правдоподобность приманок и ловушек в составе нашего решения. Владимир Соловьев, ДиалогНаука: Во-первых, учет текущей инфраструк- туры: приманки должны выглядеть как реальные активы заказчика. Во-вторых, эмулируемые сервисы и устройства на серверах-ловушках должны соответство- вать окружению, где они размещаются. В-третьих, для каждой подсети, где раз- мещаются ловушки, создается свой уни- кальный набор учетных записей, чтобы в момент появления инцидента ИБ, свя- занного с использованием ложных учет- Интеграция Deception с какими другими СЗИ даст наибольшую пользу? Какие интересные подходы вы применяете для создания правдоподобных приманок и ловушек? • 43 Deception www.itsec.ru Фото: Гротек