Обманные системы (Deception)
В настоящее время становится всё сложнее обнаруживать и предотвращать современные кибер-атаки, когда атака в основном состоит из легитимных действий, которые по отдельности никакой опасности в себе не несут. Большинство подобных атак пропускаются современными решениями, направленными на защиту от них. Атака будет обнаружена или нейтрализована только в том случае, если установленные в организации решения умеют находить в отдельных легитимных действиях пользователей цепочки составных атак с использованием продвинутых техник.
Большинство отчётов, связанных с расследованием реальных инцидентов, показывают, что злоумышленники обходят современные средства защиты информации и могут находиться во внутреннем контуре своей жертвы от нескольких месяцев до нескольких лет.
На помощь приходит технология Deception (обманные системы), главная задача которой– сбить злоумышленника с толку и заставить его ошибиться при горизонтальном продвижении (фаза Lateral Movement) во внутреннем контуре жертвы до намеченной цели. Данная технология позволяет распространить на конечные узлы организации «ложные» объекты – приманки – в виде закэшированных учетных записей, записей в реестре, скрытых файлов в директориях либо истории поиска браузера и т. д.
Злоумышленник, у которого получилось обойти периметровые средства защиты и закрепиться во внутреннем контуре жертвы, в большинстве случае даже не подозревает, что наряду с реальной инфраструктурой рядом могут находиться «ложные» объекты, использование которых приводит к появлению инцидента в системе и сбору форензики с конечного узла, где был обнаружен злоумышленник. Кроме того, что выявление злоумышленника происходит с помощью приманок, также любое сетевое взаимодействие с компонентами системы (например, сетевое сканирование) приводит к появлению инцидента в системе.
Системы класса Deception – это системы обнаружения, а не предотвращения. С помощью данного класса систем уменьшится время нахождения злоумышленника в реальной сети и ускорится среднее время обнаружения и устранения угроз.
Благодаря интеграции с другими решениями (например, SIEM), можно проводить полноценный анализ инцидентов, централизованно хранить и реагировать на угрозы.
Компания «ДиалогНаука» предлагает следующие решения, связанные с подобными проблемами:
- Illusive Networks;
- XELLO (отечественный вендор).