В РБК Компании вышла колонка руководителя направления pre-sale ARinteg Александра Учителева. В ней он рассказал о том, что сегодня ни одна организация не может быть гарантированно защищена от взлома, если только в дело не включится технология deception.
В последние годы Россия стала для хакеров тренировочной площадкой. Только в последние полгода от кибератак пострадало немало крупных компаний, но будет ошибкой думать, что киберпреступников интересуют лишь они. В половине случаев их целью становится малый и средний бизнес.
И дело не в том (или не только в том), что та или иная компания не сильно заботится о кибербезопасности. Вы можете внедрить все классические системы защиты, реализовать контроль удаленных пользователей, сегментировать сеть, выстроить процесс управления уязвимостями, потратить массу времени и сил, обучая сотрудников безопасному поведению в Сети и цифровой гигиене. Но этого все равно окажется недостаточно.
Что такое deception и как это работает
Deception — технология киберобмана. Она создает поддельную IT-инфраструктуру организации, максимально схожую с настоящей. Ее образуют ложные активы и данные по всей сети компании: фейковые серверы с «секретной» информацией, сервисы, учетки сотрудников, почтовые адреса, которые могут быть не видны обычному пользователю, поскольку зашиты в коде страниц.
Задача deception — сбить злоумышленника с толку и увести от реальных целей. Для этого она расставляет ловушки и приманки, предлагая хакеру то, что, скорее всего, сможет его заинтересовать.
Приманками, в частности, служат ложные артефакты на конечных устройствах реальных сотрудников компании, которые хакеры используют для повышения своих привилегий и развития кибератаки. Это могут быть, например, учетные записи, сохраненные пароли, конфигурационные файлы в памяти операционных систем, файловых систем или браузерах.
Задача deception — заставить взломщика поверить, что он и вправду проник в систему. И вот сейчас, например, проводит важный маневр с целью повышения привилегий до администратора сети. Хотя на самом деле он просто ходит вокруг да около, никаких дополнительных прав не имея и никакого воздействия на работу подлинной инфраструктуры компании не оказывая.
Но deception способна не только запутать киберпреступника. Интегрируя технологию киберобмана с SIEM, можно отследить действия хакера внутри фейковой системы. Используя ее вместе с IPS и IDS, — реагировать на них в реальном времени.
Технология создает для IT-инфраструктуры предприятия еще один слой защиты — уже не по периметру, а внутри нее.
Почему важны технологии киберобмана?
Сегодня deception считается одним из важных элементов кибербезопасности и обеспечивает ряд ключевых преимуществ.
- Позволяет вовремя обнаружить и устранить угрозу. Проникнув в систему, хакер может долго оставаться незамеченным, собирая данные и изучая систему, прежде чем нанести удар. Deception лишает его такой возможности: любое взаимодействие с подменной инфраструктурой дает сигнал о том, что периметр нарушен, враг внутри. Специалисты по кибербезопасности получают важное преимущество перед злоумышленником — время.
- Уменьшает число ложных срабатываний. Вряд ли сотрудники компании будут взаимодействовать с приманками.
- Позволяет изучить, как работают злоумышленники. Чтобы в дальнейшем более эффективно противостоять их атакам.
- Помогает выяснить, какие активы для киберпреступников наиболее интересны. Можно предположить, что это платежные данные пользователей, пароли к учетным записям ключевых фигур компании… Но, может быть, хакеры охотятся и за чем-то еще? Изучая их поведение, можно найти эти ключевые узлы и защитить их дополнительно.
- Сокращает пребывание взломщика внутри системы. Его могут выдворить специалисты по кибербезопасности. Или же он уйдет сам, обнаружив тщетность своих усилий.
- Выявляет слабые места инфраструктуры. «Обманка» практически идентична подлиннику. Так что и вероятные точки проникновения у них будут одни и те же.
- Позволяет уменьшить бюджет на кибербезопасность. Внедрение deception снижает необходимость в использовании ряда других механизмов обнаружения и защиты.
Deception-технологии в России в условиях санкций
Технологии киберобмана имеют довольно долгую историю. В том числе и в России. Я узнал о них в далеком 2015-ом году от молодой команды разработчиков, «пилившей» для российского рынка этот тогда еще принципиально новый продукт. Помню, подумал: «Вау! Это действительно круто и скоро станет мейнстримом».
Сегодня в сложившихся реалиях все меньше отечественных компаний стараются использовать зарубежное программное обеспечение из недружественных государств. Обновить его невозможно. А использовать без обновления может быть опасно: выпуская очередную «заплатку», разработчики как бы подсвечивают уязвимости ПО, которые могут взять на заметку хакеры.
По данным ЦСР, объем продаж ПО для кибербезопасности от иностранных вендоров в России уже существенно снизился, и к 2026-му году будет составлять не более 5%.
Системы управления ложными целями, в том числе технологии deception отечественных разработчиков оцениваются экспертами высоко.
Дополнительная вкладка, для размещения информации о статьях, доставке или любого другого важного контента. Поможет вам ответить на интересующие покупателя вопросы и развеять его сомнения в покупке. Используйте её по своему усмотрению.
Вы можете убрать её или вернуть обратно, изменив одну галочку в настройках компонента. Очень удобно.
