КиберБезОскара
КиберБезОскара
Читать в Telegram

Deception и подход ХардкорИТ: влияние на TTA/TTR

КиберБезОскара

Я - Оскар, эксперт в ИБ. Пишу о рынке кибербезопасности с техническими деталями, средствах защиты и управлении командой в ИБ. Более 15 лет опыта, MBA CSO. Канал отражает личное мнение. Для связи @goscars

Открыть в TelegramДругие публикации
deceptionttattr

Решения класса Deception (технологии киберобмана), описание приводил в этом посте, являются одним из современных и технически интересных средств, но на практике их польза для информационной безопасности не так очевидна по сравнению с классическими средствами защиты, поэтому они достаточно сложно обосновываются для покупки.

Взглянуть на Deception с новой стороны мне помог подход ХардкорИТ вендора Positive Technologies. Методология основана на соотношении времени, необходимого на обнаружение и реагирование на атаку (time to response, TTR; time to contain, TTC), к времени реализации атаки (time to attack, TTA).

  • *️⃣TTA рассчитывается как время от первоначального доступа в систему до реализации цели хакера.
  • *️⃣TTR определяется как время от начала локализации инцидента до его полного устранения.

Основная идея — время атаки должно превышать время на реагирование.

Добиваться этого предлагается двумя встречными путями: усложняя путь хакера за счёт харденинга ИТ-инфраструктуры и конфигурации Best Practice встроенных средств, а также делая его продвижение более заметным, и сокращая время обнаружения атаки путём внедрения средств защиты.

Решения класса Deception, хотя и не входят в портфель продуктов Positive, могут дополнить данный подход и помочь в решении поставленных задач.

  1. 1️⃣Замедлить продвижение атакующего внутри сети и увеличить время атаки (TTA), заставив тратить время на ложный след приманок и разбирательство с эмулированным слоем инфраструктуры. Даже если хакер распознает применение ловушек, ему придётся быть более осмотрительным и тратить больше ресурсов.
  2. 2️⃣Распределённые по ИТ-инфраструктуре компании приманки и ловушки также делают действия хакера более «шумными», позволяют заметить его присутствие как можно раньше и уменьшить время обнаружения (Time to Detect, TTD).
  3. 3️⃣Приманки и ловушки скрыты и не используются в работе обычных пользователей, поэтому сработка от Deception с высокой долей вероятности будет считаться инцидентом безопасности, а не ложным срабатыванием, снижая время на идентификацию (Time to Identify, TTI).

#решенияИБ@oscar_cybersec