КиберБезОскара
КиберБезОскара
Читать в Telegram

Технологии Deception: приманки и ловушки в ИБ

КиберБезОскара

Я - Оскар, эксперт в ИБ. Пишу о рынке кибербезопасности с техническими деталями, средствах защиты и управлении командой в ИБ. Более 15 лет опыта, MBA CSO. Канал отражает личное мнение. Для связи @goscars

Открыть в TelegramДругие публикации
deceptionкиберобманприманки

Платформа автоматически распространяет по сети два типа сущностей.

  • ⭐️ Приманки — это ложные артефакты "внутри" реальной инфраструктуры: учётные записи, DNS-записи, сохранённые SSH-сессии, записи реестра, документы и т.д.
  • ⭐️ Ловушки - виртуальные элементы инфраструктуры "рядом" с существующими сервисами: сетевые устройства, МСЭ, сервера приложений, ПЛК, принтеры и т.д. Приманки связаны и указывают на ловушки, причём имитируется даже постоянное сетевое взаимодействие между ними. Основная задача, чтобы злоумышленник не догадался, что перед ним ложная инфраструктура.

🎯 Цель Deception - обнаружение злоумышленников, проникших в корпоративную сеть на самых ранних этапах атаки и в самый сложный для обнаружения момент при горизонтальном передвижении (lateral movement). Внутри сети хакер маскируется под легитимную активность, использует скомпрометированные существующие учетные записи и повторяет поведение сотрудников, поэтому его сложно определить обычными средствами NTA и SIEM.

Для обнаружения хакеру не обязательно дойти до ловушки, сам факт обращения к приманке тоже является признаком атаки, так как они не используются в обычном бизнес-процессе.

Дополнительная цель - замедление продвижения атакующего внутри сети. Приманки заставляют злоумышленника тратить время на ложный след, запутывая среди виртуальных объектов.

❗️Преимущество Deception перед другими технологиями заключается в обнаружении APT, 0-day атак, которые сложно детектировать другими средствами. Отсутствует необходимость писать правила корреляции, сигнатуры, собирать IoC - т.е. заранее продумывать от каких атак и векторов мы защищаемся.

Это позволяет внедрить Deception на начальных этапах построения системы защиты, но классически считается, что в организации уже должен быть SIEM, NTA, EDR, SOAR и отличным дополнением 🧩 станет Deception. Технически нет ограничений на внедрение без данных продуктов, но я считаю, что их наличие в первую очередь показывает зрелось команды информационной безопасности в организации. С результатами форензики, собранными ловушками, нужно работать, проводить расследование и реагировать. Без должного уровня подготовки персонала, применение ловушек может стать бессмысленным.

Российские решения класса Deception, представленные на рынке:

🔹 Xello Deception
🔹 R‑Vision TDP
🔹 Гарда Лабиринт (Bastion Security Platform)
🔹 AVSOFT LOKI
🔹 HoneyCorn
🔹 Infrasec Deception

На что влияют решения класса Deception в построении информационной безопасности продолжил размышлять в этом посте.

#решенияИБ@oscar_cybersec