Журнал "Information Security/ Информационная безопасность" #5, 2024

ных записей, можно было однозначно понять, откуда действовал злоумыш- ленник. Это упрощает процесс рассле- дования инцидентов ИБ. Александра Савельева, АВ Софт: Конструкторы кастомизации и резуль- таты работы сетевых сканеров позво- ляют повышать правдоподобность лову- шек и приманок в системе LOKI. Максим Прокопов, HoneyCorn: Мы используем множество подходов, которые позволили получать ловушки и приманки не отличимые от реальной среды, и эта история является одним из приоритетов для нашего решения. l Использование полноценных ОС для имитации сервисов, не отличимых от реальных. l Построение имитации взаимодействия между ловушками. l Безагентская технология выявления обращений к приманкам и использова- ния приманок для аутентификации. l Интеграции фронтенда ловушки в реальный работающий сервис заказ- чика с трансляцией эксплуатации в наш бэкенд. Петр Куценко, BI.ZONE: Сейчас мы используем приманки в виде адаптированных под инфраструк- туру заказчика учетных записей. Раз- мещая их в памяти хоста и в веб-брау- зере, мы достигаем достаточно высокой степени привлекательности. Кроме того, мы разрабатываем и готовимся к запуску новой функциональности EDR, которая сможет повысить правдоподобность ловушек путем контролируемого обще- ния агента и ловушек. Александра Савельева, "АВ Софт": 1. Файлы приманки с привлекатель- ными названиями размещаются на сер- верах и сервисах, если кто-то забрал себе этот файл на рабочее место, то идет оповещение службы ИБ. 2. Графические карты этажей здания, подсетей и отдельных групп пользова- телей. 3. Ловушки-ресурсы организаций. 4. Ретроспективный анализ. Алексей Макаров, Xello: 1. Новый тип приманок "канарейки" (документы разного формата pdf, word, xlsx; директории; zip-архивы; vpn-/kuber- netes-конфигурации), которые позволят выявлять инциденты безопасности без использования ловушек. 2. Значительно расширим функционал модуля Xello Identity Protection, который позволяет сокращать поверхность атаки, удаляя различные артефакты работы пользователей на конечных устройствах (сохраненные учетные записи, SSH- соединения, открытые RDP-сессии). А также другие возможности. Петр Куценко, BI.ZONE: 1. Новые типы приманок, такие как файлы дампов БД, сохраненные сессии SSH/FTP, файлы подключения к раз- личным системам. 2. Полноценные ловушки, в том числе интерактивные: эмуляция сервисов 1С, SQL-базы данных, файловые хранили- ща. Владимир Соловьев, ДиалогНаука: В результате эксплуатации внедрен- ных Deception-систем нашими заказчи- ками абсолютно всегда возникают запро- сы на доработку функционала. 1. Контроль полноты покрытия защи- щаемых хостов приманками. 2. Контроль использования техниче- ских привилегированных учетных запи- сей вне системы. 3. Возможность указания путей/про- филей для размещения приманок на защищаемых хостах. Максим Прокопов, HoneyCorn: l Полноценная поддержка сред контей- неризации для распространения ловушек и приманок. l Более плотная интеграции с инстру- ментами SOC. l Доведение поддержки эмулируемых техник MITRE до 90%. l Различные механизмы аналитики инфраструктуры и автоматизации раз- вертывания. Екатерина Харитонова, ГК Гарда: На развитие систем будут активно влиять внешние факторы как техниче- ские (общее развитие ИТ-систем будет диктовать план развития ловушек и при- манок; для повышения продуктивности систем добавятся ML и AI), так и эконо- мические (слияния и партнерства ком- паний будут привносить специфику для решения одной-двух конкретных задач; например. поглощение одного из лиде- ров рынка Deception, компании TrapX, лидером рынка СРК компанией Com- mvault). Александра Савельева, АВ Софт: Активное влияние на технологию Deception будет оказывать машинное обучение, а также интеграция с TI-систе- мами. Владимир Соловьев, ДиалогНаука: Технологии Deception в течении 2–3 лет будут развиваться в части расшире- ния списка эмулируемых сервисов и устройств, а также разнообразия типов приманок. Наиболее интересный вектор развития – это добавление ложных учет- ных записей в установленное ПО на защищаемых хостах. Отмечу, что систе- мы данного класса с легкостью обманы- вают автоматизированные системы про- ведения тестирований на проникновение. Тем самым Deception становится еще лучше благодаря отечественным вендо- рам, которые готовы улучшать и разви- вать свои продукты. Максим Прокопов, HoneyCorn: l Повышение качества разработанных решений. l Автоматизации самодиагностики. l Автоматизация развертывания. l Использовании ИИ для механизмов взаимодействия с SOC. l Применения ресурсоемкого функцио- нала используемого в западных разра- ботках. Петр Куценко, BI.ZONE: В ближайшие 2–3 года технологии Deception будут развиваться за счет интеграции с ИИ и машинным обучением для создания более адаптивных и интел- лектуальных ловушек, способных дина- мически подстраиваться под поведение атакующих. Такая интеграция может положительно влиять на количество лож- ных срабатываний и снижать их количе- ство. Возрастет также роль автоматиза- ции и оркестрации в управлении ловуш- ками, так как качественное покрытие и управление инфраструктурой часто бывают не самыми простыми. Алексей Макаров, Xello: В современных системах киберобмана уже сейчас применяются алгоритмы машинного обучения для создания реа- листичного ложного слоя данных и акти- вов. В ближайшее время их применение только расширится. Алгоритмы ML могут анализировать огромные объемы данных для выявления закономерностей и ано- малий, указывающих на вредоносную деятельность. Изучая эти данные, плат- формы киберобмана на базе ИИ могут динамически корректировать свою стра- тегию, чтобы определять потенциальные векторы кибератак, динамически созда- вать и обновлять ложные данные и информационные активы. l Какие возможности вы планируете добавить в ваше решение Deception в ближайший год? Как технология Deception будет развиваться в перспективе 2–3 лет? Какие технологии или концепции могут оказать наибольшее влияние на это развитие? 44 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru