Как технологии обмана помогают защититься от кибератак
В последние годы Россия стала для хакеров тренировочной площадкой. Сотрудничества с Интерполом больше нет, а значит злоумышленники, скорее всего, наказаны не будут.
Только в последние полгода от кибератак пострадали: МТС, онлайн-сервисы ВГТРК, сеть магазинов «Верный»… И будет ошибкой думать, что киберпреступников интересуют лишь такие гиганты. В половине случаев их целью становится малый и средний бизнес.
Вот пример агропромышленного комплекса «Кабош» в Великих Луках. 3 июля 2024 года из-за атаки хакеров предприятие встало. «Мы месяц жили при голубых экранах, у нас было остановлено все производство, мы не могли грузить товар, выкладывать накладные, мы ничего не могли. С нас вымогали деньги», — рассказывает генеральный директор комплекса Дмитрий Матвеев в интервью ПЛН FM.
И дело не в том (или не только в том), что та или иная компания не сильно заботится о кибербезопасности. Вы можете внедрить все классические системы защиты, реализовать контроль удаленных пользователей, сегментировать сеть, выстроить процесс управления уязвимостями, потратить массу времени и сил, обучая сотрудников безопасному поведению в Сети и цифровой гигиене… Но этого все равно окажется недостаточно.
Сегодня ни одна организация не может быть гарантированно защищена от взлома. А если хакер проник в инфраструктуру, могу с уверенностью сказать: он почти наверняка достигнет цели. Если только в дело не включится технология deception.
Что такое deception и как это работает
Deception — технология киберобмана. Она создает поддельную IT-инфраструктуру организации, максимально схожую с настоящей. Ее образуют ложные активы и данные по всей сети компании: фейковые серверы с «секретной» информацией, сервисы, учетки сотрудников, почтовые адреса, которые могут быть не видны обычному пользователю, поскольку зашиты в коде страниц.
Задача deception — сбить злоумышленника с толку и увести от реальных целей. Для этого она расставляет ловушки и приманки, предлагая хакеру то, что, скорее всего, сможет его заинтересовать.
Приманками, в частности, служат ложные артефакты на конечных устройствах реальных сотрудников компании, которые хакеры используют для повышения своих привилегий и развития кибератаки. Это могут быть, например, учетные записи, сохраненные пароли, конфигурационные файлы в памяти операционных систем, файловых систем или браузерах.
Задача deception — заставить взломщика поверить, что он и вправду проник в систему. И вот сейчас, например, проводит важный маневр с целью повышения привилегий до администратора сети. Хотя на самом деле он просто ходит вокруг да около, никаких дополнительных прав не имея и никакого воздействия на работу подлинной инфраструктуры компании не оказывая.
Но deception способна не только запутать киберпреступника. Интегрируя технологию киберобмана с SIEM, можно отследить действия хакера внутри фейковой системы. Используя ее вместе с IPS и IDS, — реагировать на них в реальном времени. Технология создает для IT-инфраструктуры предприятия еще один слой защиты — уже не по периметру, а внутри нее.
Почему важны технологии киберобмана?
Сегодня deception считается одним из важных элементов кибербезопасности и обеспечивает ряд ключевых преимуществ.
- Позволяет вовремя обнаружить и устранить угрозу. Проникнув в систему, хакер может долго оставаться незамеченным, собирая данные и изучая систему, прежде чем нанести удар. Deception лишает его такой возможности: любое взаимодействие с подменной инфраструктурой дает сигнал о том, что периметр нарушен, враг внутри. Специалисты по кибербезопасности получают важное преимущество перед злоумышленником — время.
- Уменьшает число ложных срабатываний. Вряд ли сотрудники компании будут взаимодействовать с приманками.
- Позволяет изучить, как работают злоумышленники. Чтобы в дальнейшем более эффективно противостоять их атакам.
- Помогает выяснить, какие активы для киберпреступников наиболее интересны. Можно предположить, что это платежные данные пользователей, пароли к учетным записям ключевых фигур компании… Но, может быть, хакеры охотятся и за чем-то еще? Изучая их поведение, можно найти эти ключевые узлы и защитить их дополнительно.
- Сокращает пребывание взломщика внутри системы. Его могут выдворить специалисты по кибербезопасности. Или же он уйдет сам, обнаружив тщетность своих усилий.
- Выявляет слабые места инфраструктуры. «Обманка» практически идентична подлиннику. Так что и вероятные точки проникновения у них будут одни и те же.
- Позволяет уменьшить бюджет на кибербезопасность. Внедрение deception снижает необходимость в использовании ряда других механизмов обнаружения и защиты.
Deception-технологии в России в условиях санкций
Технологии киберобмана имеют довольно долгую историю. В том числе и в России. Я узнал о них в далеком 2015-ом году от молодой команды разработчиков, «пилившей» для российского рынка этот тогда еще принципиально новый продукт. Помню, подумал: «Вау! Это действительно круто и скоро станет мейнстримом». Сегодня в сложившихся реалиях все меньше отечественных компаний стараются использовать зарубежное программное обеспечение из недружественных государств. Обновить его невозможно. А использовать без обновления может быть опасно: выпуская очередную «заплатку», разработчики как бы подсвечивают уязвимости ПО, которые могут взять на заметку хакеры. По данным ЦСР, объем продаж ПО для кибербезопасности от иностранных вендоров в России уже существенно снизился, и к 2026-му году будет составлять не более 5%.
Не все отечественные разработки дотягивают до зарубежных. Но системы управления ложными целями, в том числе технологии deception оцениваются экспертами высоко.
Опубликовано 23.10.2024