В ложном слое не может быть легальных пользователей

На самом деле Deception стоит рассматривать как наступательную стратегию. Можно заметить, что этой технологии мировые СМИ и аналитики уделяют все больше внимания. Так, с 2020 г. компания Gartner активно подчеркивает значимость Deception, называя технологию одной из самых важных из новых, а рост рынка составляет в среднем 13% в год. Не менее красноречивой является статистика, отражающая среднее время скрытого присутствия злоумышленников в сетях. Если в 2020 г. этот показатель составлял несколько десятков дней, то уже в 2023 г. среднее время сократилось до десяти дней. Многие эксперты связывают эту положительную тенденцию с широким внедрением Deception-решений в корпоративные сети.

Причин уязвимости современных систем множество. Прежде всего, это угрозы «нулевого дня». Когда появляется новая уязвимость, системе, основанной на сигнатурах, требуется время для выпуска патча, и в этот период инфраструктура остается беззащитной перед неизвестной угрозой.

Более того, злоумышленнику вовсе не обязательно взламывать периметр защиты. У него может быть доступ к логину и паролю, полученному, например, через фишинговую рассылку.

Нарушитель может оказаться внутренним. Иногда сотрудника компании перекупают конкуренты или он решает отомстить работодателю из-за обиды. В таких случаях внутренние мотивы могут стать основой для деструктивных действий. Этот фактор представляет особую угрозу для безопасности, так как инсайдеры имеют доступ к ключевой информации и знают слабые места системы изнутри.

Deception организует так называемый ложный слой инфраструктуры, состоящий из ловушек — двойников реальных сетевых активов. Главная сила этой технологии в том, что она основывается на уверенности: в ложном слое не может быть легальных пользователей. Если кто-либо проявился в этом пространстве, это всегда сигнал к тревоге.

Каждый инцидент в ложном слое нужно детально анализировать. Возможно, человек просто допустил опечатку, введя не ту цифру в IP-адресе, что можно объяснить случайностью. Но если кто-то начинает систематически сканировать сеть в рабочее время, это уже предупреждение о потенциальной опасности: зачем он это делает?

Приманки содержат логин и пароль ложного пользователя, и это отдельный элемент, который активно функционирует для обнаружения угроз. Например, можно использовать доменную приманку: она размещается в контроллере домена, и затем отслеживается, кто ее украл и где с ее помощью пытался авторизоваться. Этот механизм позволяет не только детектировать взаимодействие с ловушками в реальном времени, но и раскрывать планы злоумышленников, делая защиту проактивной.

Рекомендуется 50-процентное дублирование внутренних сетевых активов сервисами ловушек: если у компании есть, например, две базы данных, то необходимо создать как минимум одну аналогичную эмулированную базу данных в ложном слое. Это же правило касается и сетевых устройств: если в сети 50 устройств, то как минимум 25 из них стоит воссоздать в виде ловушек. Каждая машина с ловушками требует уникального IP-адреса, это нужно учитывать при планировании.

Скрытое присутствие злоумышленника — это не просто его бездействие. Получив доступ к сетевому устройству, атакующий начинает активную разведку, стремясь выяснить, с какими другими элементами сети связано это устройство.

Он пытается повысить свои привилегии, начиная, к примеру, с учетных данных обычного системного администратора, но преследуя цель получить права суперпользователя на сервере, где хранятся ценные данные или другие критически важные для компании активы.

Усредненные десять дней, в течение которых злоумышленник остается незамеченным, являются важным ресурсом как для сотрудников компании, так и для самого нарушителя. Для компании это шанс изолировать непрошеного гостя, закрыть ему доступ в сеть и устранить все следы его присутствия, включая вредоносные файлы, которые он успел оставить. Для злоумышленника это критическое время, в течение которого он медленно и осторожно повышает свою осведомленность о сети и продвигается по ней, что в MITRE ATT&CK называется «горизонтальным перемещением».

Одной из ключевых особенностей «Гарда Deception» является возможность визуализации векторов атаки. Когда происходит инцидент, система позволяет увидеть его полную картину: на какой хост (в данном случае, ловушку) и с какого IP-адреса была осуществлена атака, какие логины и пароли вводились в ловушке, какие команды выполнялись, какие файлы злоумышленник скопировал в ловушку. При настроенной интеграции с системой «Гарда Threat Intelligence» можно сразу получить данные об уровне опасности загруженного в ловушку файла.

Кроме того, «Гарда Deception» предоставляет возможность ретроспективного анализа. Можно отмотать время назад и проследить активность злоумышленника, чтобы обнаружить возможные упущенные аспекты атаки.

Если в Deception появляется инцидент, необходимо немедленно реагировать — вероятность ложных срабатываний невелика.

Следует отметить, что основная задача системы заключается в защите реальной сети путем отвлечения внимания злоумышленника на ложную инфраструктуру. Чем раньше выявляется присутствие злоумышленника, тем больше времени остается у специалистов по информационной безопасности для реагирования на инцидент.

Сама система Deception не блокирует злоумышленника, а только предоставляет важную информацию о его присутствии и всех его действиях.

Ключевым моментом в реализации системы «Гарда Deception» является то, что взаимодействие с ложной инфраструктурой не дает злоумышленнику никаких реальных возможностей для дальнейших действий и развития атаки. Эмуляция сервисов происходит в докер-контейнерах, и, попав внутрь, злоумышленник оказывается в ограниченной среде, где не может нанести вред сети компании. При этом в SIEM будут фиксироваться все «красные» события, отражающие действия злоумышленника в ловушках.

Deception может передавать собранную информацию не только в SIEM, но и в другие системы, такие как песочницы или EDR. Например, если с определенного рабочего хоста осуществляется подозрительное взаимодействие, система EDR может решить поместить этот хост в карантин для дальнейшего анализа.

Даже если злоумышленник поймет, что попался, и решит отключиться от всех корпоративных ресурсов, его присутствие будет замечено, и по нему начнется расследование со стороны службы безопасности. Будут проверены логи всех систем и сами системы на предмет присутствия вредоносного ПО, будут изменены пароли, закрыты доступы, а рабочую станцию, с которой злоумышленник использовал приманку, изолируют. Меры по контрдействию неизбежны.

Случается, что заказчики ограничиваются лишь установкой ловушек, забывая о важности приманок. Но стоит помнить, что оба этих компонента дополняют друг друга, хотя и могут работать независимо.

Приманки действуют как катализатор, способствуя привлечению злоумышленника к ловушкам. Например, если использована приманка с рабочего места сотрудника, это однозначно указывает на то, что злоумышленник имел доступ именно к этому АРМ. В таком случае крайне важно проверить конкретное рабочее место, чтобы понять какие следы (файлы, утилиты) оставил на нем злоумышленник и какие действия с него выполнял, — скорее всего ловушка окажется не единственной системой, с которой происходило взаимодействие.

Кроме того, особую роль играют доменные приманки. Если из домена утекли учетные данные, можно отслеживать, кто пытается войти в систему с этими данными на реальных сетевых устройствах. В таком случае ловушки не задействованы — работают только приманки, что подчеркивает их значимость в комплексной системе безопасности.

Настройка «Гарда Deception» осуществляется предельно просто и интуитивно понятно. Система максимально автоматизирована, что позволяет быстро разворачивать ловушки, в том числе по шаблонам. Пользовательский интерфейс продуман до мелочей, что делает его доступным даже для тех, кто не обладает глубокими техническими знаниями.

Совершенствование настроек Deception — это важный и необходимый процесс. Если, к примеру, приманка находится на хосте полтора года, возникает вопрос: кого она сможет привлечь? Старый файл вряд ли вызовет интерес, поэтому приманки должны оставаться актуальными и обновляться.

Сеть компании тоже развивается, появляются новые системы и сервисы, особенно в условиях активного импортозамещения в России, поэтому рекомендуется проводить аудит и актуализацию ложного слоя хотя бы раз в квартал.

В систему «Гарда Deception» встроен сканер, который можно использовать для поиска активных сервисов и систем в подсетях, для которых эмулируется ложный слой. Такой аудит позволит сопоставить результаты свежего сканирования с тем, что настроено в ложном слое. Значительные расхождения сигнализируют о необходимости корректировки настроек для поддержания высокой эффективности системы.

Deception можно рассматривать как неотъемлемый инструмент SOC, поскольку это мощная система, способная предоставить максимально полное представление о том, что происходит внутри компании в случае реализации угроз. Она позволяет отслеживать действия злоумышленника как в реальном времени, так и в ретроспективе: что он делал несколько минут или дней назад.

Однако отсутствие SOC не является блокирующим фактором для внедрения Deception. Даже если в компании нет выделенной службы ИБ, можно наладить мониторинг на базе ИТ-отдела. Deception можно интегрировать в существующую систему мониторинга СЗИ, позволяя ИТ-специалистам видеть, что происходит внутри инфраструктуры, за которую они несут ответственность.

По состоянию на 2024 г. «Гарда Deception» является единственной системой в данном классе решений, присутствующей в государственном реестре сертифицированных средств защиты информации (сертификат ФСТЭК России № 4797 от 08.04.2024).

Сертификат подтверждает безопасность разработки, безопасность использованных инструментов и безопасность применения системы, становясь своего рода знаком качества.

Система «Гарда Deception» легка в использовании и быстра в развертывании. Базовую установку можно осуществить всего за несколько часов, включая загрузку и установку программного обеспечения. Более длительное время уходит на настройку, но это связано не с развертыванием ложного слоя, который занимает всего час-полтора, а с отладкой и поиском исключений для IP-адресов, взаимодействующих с ложной инфраструктурой.

В планах развития продукта — активная работа над импортозамещением вендоров, покинувших российский рынок, с целью максимального соответствия новому ландшафту угроз и возможности эмулировать системы и сервисы производителей на сетях компания. В частности, в «Гарда Deception» недавно появились две новые ловушки: PostgreSQL и Kubernetes. Это серьезный шаг вперед на рынке отечественных систем Deception.

Deception становится неотъемлемой частью стратегии безопасности компаний. Эта технология предоставляет мощные инструменты для раннего обнаружения угроз, выявления инсайдеров, снижения времени реагирования на инциденты и обогащения данных о поведении злоумышленников. Благодаря своей способности минимизировать ложные срабатывания и интегрироваться с другими системами безопасности, Deception не только усиливает защиту информационной инфраструктуры, но и способствует повышению общего уровня зрелости информационной безопасности в компании.

Внедрение Deception формирует проактивную культуру безопасности среди сотрудников служб ИБ, побуждая их быть более внимательными к потенциальным угрозам. Системы Deception обеспечивают не только защиту, но и важный опыт, который позволяет командам безопасности адаптироваться к постоянно меняющемуся ландшафту угроз.

При этом Deception-системы остаются достаточно бюджетными. Часто такие проекты появляются на орбите внедрения других решений. Для «Гарда Deception» предлагаются как постоянные лицензии, так и схема работы по подписке, что позволяет максимально гибко подходить к выбору.

Автор: Екатерина Харитонова, руководитель продукта «Гарда Deception», группа компаний «Гарда»

Источник: «Информационная безопасность»