РБК Компании
РБК Компании
Телеканал
Pro
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
Спорт
РБК Компании
РБК Вино
РБК Life
Тренды
Визионеры
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
Экономика образования
Здоровье
ARinteg 28 октября 2024

Как технологии обмана помогают защититься от кибератак

Как технология deception помогает компаниям защититься от кибератак и, минимизировать ущерб от них

Александр Учителев
Руководитель направления presale по информационной безопасности ARinteg

В сфере ИТ — c 2003 го, в информационной безопасности с 2013-го. В ARinteg курирует направления SIEM, antiAPT, PAM, AppSec, пентеста, аудита ИБ. Спикер Код ИБ, Skolkovo startup tour, FIS

В последние годы Россия стала для хакеров тренировочной площадкой. Только в последние полгода от кибератак пострадало немало крупных компаний, но будет ошибкой думать, что киберпреступников интересуют лишь они. В половине случаев их целью становится малый и средний бизнес.

И дело не в том (или не только в том), что та или иная компания не сильно заботится о кибербезопасности. Вы можете внедрить все классические системы защиты, реализовать контроль удаленных пользователей, сегментировать сеть, выстроить процесс управления уязвимостями, потратить массу времени и сил, обучая сотрудников безопасному поведению в Сети и цифровой гигиене. Но этого все равно окажется недостаточно.

Сегодня ни одна организация не может быть гарантированно защищена от взлома. А если хакер проник в инфраструктуру, то он почти наверняка достигнет цели.

Если только в дело не включится технология deception.

Что такое deception и как это работает

Deception — технология киберобмана. Она создает поддельную IT-инфраструктуру организации, максимально схожую с настоящей. Ее образуют ложные активы и данные по всей сети компании: фейковые серверы с «секретной» информацией, сервисы, учетки сотрудников, почтовые адреса, которые могут быть не видны обычному пользователю, поскольку зашиты в коде страниц.

Задача deception — сбить злоумышленника с толку и увести от реальных целей. Для этого она расставляет ловушки и приманки, предлагая хакеру то, что, скорее всего, сможет его заинтересовать.

Приманками, в частности, служат ложные артефакты на конечных устройствах реальных сотрудников компании, которые хакеры используют для повышения своих привилегий и развития кибератаки. Это могут быть, например, учетные записи, сохраненные пароли, конфигурационные файлы в памяти операционных систем, файловых систем или браузерах.

Задача deception — заставить взломщика поверить, что он и вправду проник в систему. И вот сейчас, например, проводит важный маневр с целью повышения привилегий до администратора сети. Хотя на самом деле он просто ходит вокруг да около, никаких дополнительных прав не имея и никакого воздействия на работу подлинной инфраструктуры компании не оказывая.

Но deception способна не только запутать киберпреступника. Интегрируя технологию киберобмана с SIEM, можно отследить действия хакера внутри фейковой системы. Используя ее вместе с IPS и IDS, — реагировать на них в реальном времени.

Технология создает для IT-инфраструктуры предприятия еще один слой защиты — уже не по периметру, а внутри нее.

Почему важны технологии киберобмана?

Сегодня deception считается одним из важных элементов кибербезопасности и обеспечивает ряд ключевых преимуществ.

  1. Позволяет вовремя обнаружить и устранить угрозу. Проникнув в систему, хакер может долго оставаться незамеченным, собирая данные и изучая систему, прежде чем нанести удар. Deception лишает его такой возможности: любое взаимодействие с подменной инфраструктурой дает сигнал о том, что периметр нарушен, враг внутри. Специалисты по кибербезопасности получают важное преимущество перед злоумышленником — время.
  2. Уменьшает число ложных срабатываний. Вряд ли сотрудники компании будут взаимодействовать с приманками.
  3. Позволяет изучить, как работают злоумышленники. Чтобы в дальнейшем более эффективно противостоять их атакам.
  4. Помогает выяснить, какие активы для киберпреступников наиболее интересны. Можно предположить, что это платежные данные пользователей, пароли к учетным записям ключевых фигур компании… Но, может быть, хакеры охотятся и за чем-то еще? Изучая их поведение, можно найти эти ключевые узлы и защитить их дополнительно.
  5. Сокращает пребывание взломщика внутри системы. Его могут выдворить специалисты по кибербезопасности. Или же он уйдет сам, обнаружив тщетность своих усилий.
  6. Выявляет слабые места инфраструктуры. «Обманка» практически идентична подлиннику. Так что и вероятные точки проникновения у них будут одни и те же.
  7. Позволяет уменьшить бюджет на кибербезопасность. Внедрение deception снижает необходимость в использовании ряда других механизмов обнаружения и защиты.

Deception-технологии в России в условиях санкций

Технологии киберобмана имеют довольно долгую историю. В том числе и в России. Я узнал о них в далеком 2015-ом году от молодой команды разработчиков, «пилившей» для российского рынка этот тогда еще принципиально новый продукт. Помню, подумал: «Вау! Это действительно круто и скоро станет мейнстримом».

Сегодня в сложившихся реалиях все меньше отечественных компаний стараются использовать зарубежное программное обеспечение из недружественных государств. Обновить его невозможно. А использовать без обновления может быть опасно: выпуская очередную «заплатку», разработчики как бы подсвечивают уязвимости ПО, которые могут взять на заметку хакеры.

По данным ЦСР, объем продаж ПО для кибербезопасности от иностранных вендоров в России уже существенно снизился, и к 2026-му году будет составлять не более 5%.

Системы управления ложными целями, в том числе технологии deception отечественных разработчиков оцениваются экспертами высоко.