Rambler's Top100
Статьи ИКС № 1 2023
Иван ШАЛАМОВ  07 декабря 2022

Технологии обмана на службе кибербезопасности

Риск увеличения количества и сложности кибератак сегодня достаточно высок. Справиться с ними могут помочь относительно новые для России технологии Deception, или киберобмана, которые создают ложные объекты ИТ-инфраструктуры, чтобы привлечь злоумышленника и заставить себя обнаружить. 

С начала текущего года количество кибератак в России увеличилось многократно. По данным «Лаборатории Касперского», только за первый квартал 2022 г. в российских компаниях произошло в четыре раза больше киберинцидентов, чем за аналогичный период прошлого года. Во многом рост числа атак на российскую инфраструктуру обусловлен обострением геополитической обстановки. События минувших месяцев заставили задуматься об информационной безопасности и государственные корпорации, и компании из различных отраслей.

Под шквалом атак

С конца февраля хакерские группировки проводят таргетированные атаки на ключевые российские организации. Чаще всего атакуют порталы государственных органов, промышленные предприятия, ИТ и финансовые организации. Подверглись взлому и сайты крупнейших российских СМИ. 

Большая часть угроз исходит от так называемых хактивистов (хакеров-активистов). Ответственность за некоторые атаки, например на правительственные сайты, ряд СМИ и другие организации, взяла на себя хакерская группировка Anonymous, которая через деструктивную деятельность (взлом веб-ресурсов, выкладывание в публичный доступ или шифрование данных и т.д.) выражает свою политическую позицию. 

Последствия таких атак зачастую дорого обходятся организациям: простой инфраструктуры, нарушение бизнес-процессов, хищение или шифрование корпоративных данных, которые к тому же не всегда удается восстановить. Все это приводит к ощутимым финансовым потерям, наносит ущерб деятельности и репутации компании. Особенно, если информация о взломе попадает в средства массовой информации. А за последние несколько месяцев подобных сообщений в прессе было немало. 

APT-атаки

В текущей ситуации даже у самых крупных и продвинутых компаний есть риск не справиться с хорошо спланированной целенаправленной атакой. Например, пострадал российский видеохостинг RuTube. В ночь на 9 мая видеосервис подвергся мощной APT-атаке (Advanced Persistent Threat, продолжительная целевая атака повышенной сложности, совершаемая организованными хакерскими группировками). Инцидент вызвал потерю доступа к платформе. Восстановительные работы продолжались трое суток. Основная сложность, по мнению технических специалистов, заключалась в восстановлении инфраструктуры, состоящей из сотни серверов. Каждый из них приходилось «поднимать» в ручном режиме. По предварительным данным, в результате атаки было поражено более 75% баз и инфраструктуры основной версии, а также 90% резервных копий и кластеров, используемых для восстановления баз данных. 

APT-атаки считаются одними из самых серьезных целевых атак. При осуществлении таких атак хакеры тратят много времени на подготовку к проникновению в инфраструктуру компании, после чего закрепляются в ней, получая доступ к корпоративной сети. При этом они могут месяцами оставаться незамеченными как стандартными средствами обнаружения, так и специалистами по информационной безопасности. 

Как это происходит? При проведении APT-атаки обычно используется тактика замедленного действия. Атака сильно растянута по времени, и злоумышленники, проникнув во внутреннюю сеть компании, долгое время ничем себя не проявляют. Это позволяет киберпреступникам максимально долго иметь доступ к необходимым им корпоративным ресурсам, оставаясь «невидимыми».

Мотивы у APT-группировок разные: от прямого хищения денежных средств, кражи персональных данных и интеллектуальной собственности до остановки деятельности конкурентов (в случае заказной атаки), нарушения работы городской инфраструктуры или попытки привлечь внимание к политической ситуации.

Как показывает практика, жертвами APT-атак становятся не только крупные компании, но и предприятия малого и среднего бизнеса. Небольшая компания может оказаться под ударом APT-атаки потому, что она обладает менее серьезной защитой.

Технологии киберобмана

Последние исследования в области кибербезопасности говорят о том, что в России риск усиления атак сегодня довольно высок. В частности, можно ожидать и новых резонансных инцидентов с участием APT-группировок. Поэтому каждой компании стоит задуматься о дополнительной защите своих информационных ресурсов. 

Поиск эффективных методов защиты не так прост, ведь APT – это технически сложная кибератака. И если злоумышленнику удалось обойти средства защиты периметра организации и закрепиться в сети в обход систем защиты конечных узлов (процессов, бизнес-данных и конфиденциальных сведений, которые хранятся или передаются через устройства, подключенные к сети), то обнаружить его без специализированных систем уже практически невозможно.

Решением может стать создание дополнительного ложного слоя защиты инфраструктуры, который собьет злоумышленника с толку. Сделать это можно благодаря относительно новым для России технологиям Deception, или киберобмана.

Что такое Deception?

Deception – это централизованная система управления ложными сетевыми объектами (ловушками). Иными словами, это цифровая имитация элементов корпоративной инфраструктуры, позволяющая ввести злоумышленника в заблуждение и заставить думать, что он получил доступ к необходимым ему данным, которые на самом деле являются фейковыми. 

Системы класса Deception рассчитаны на ситуации, когда киберпреступник уже обошел все существующие рубежи защиты инфраструктуры и находится внутри охраняемого периметра компании. Если при этом в организации не используются классические средства обнаружения и мониторинга либо они не справляются со своей задачей, то преступник остается незамеченным. И неважно, будет это опытный хакер из профессиональной группировки или же хакер-любитель, который случайно проник внутрь периметра ради собственного интереса. Deception позволит на ранних этапах обнаружить злоумышленника, замедлить его перемещение по корпоративной сети и в итоге предотвратить нанесение ущерба компании.

Технологии киберобмана используют принципиально новый подход к обнаружению вторжений хакеров, позволяя выявлять не только APT-атаки, но и атаки с использованием угроз «нулевого дня» – уязвимостей, против которых защитные меры еще не разработаны.

Как работает Deception?

Deception-платформа расставляет по реальной корпоративной сети приманки – данные, потенциально интересные для киберпреступников. Это могут быть фиктивные учетные записи пользователей, ценные корпоративные данные или «случайно» забытый файл с паролем к системе. То есть то, на что хакер с высокой степенью вероятности обратит внимание и захочет использовать для дальнейшего продвижения по инфраструктуре. Однако приманки ведут не к настоящим объектам инфраструктуры, а к ловушкам – ложным узлам сети, которые имитируют реальную корпоративную систему с характерной деятельностью ее пользователей. Если в процессе разведки хакер начнет взаимодействовать с ловушкой, специалист по информационной безопасности сразу получит оповещение. При этом злоумышленник может и не догадаться, что его уже рассекретили. 

Важно, что ловушки и приманки не используются в типовых рабочих процессах, а предназначены только для привлечения внимания хакеров, т.е. обычный пользователь не может случайно на них наткнуться. Поэтому любое взаимодействие с ловушкой будет свидетельствовать о том, что в корпоративной сети действует злоумышленник, который может быть не только внешним, но и внутренним. Ведь сотрудник организации тоже может попытаться завладеть корпоративными данными в корыстных интересах. Сегодня действия злоумышленников-инсайдеров – одна из основных причин утечек конфиденциальной корпоративной информации. 

В то время как классические средства обнаружения не всегда учитывают особенности инфраструктуры компании, Deception-платформы позволяют создать ловушки и приманки, которые выглядят как единое целое с инфраструктурой. Создание реалистичных систем, не зависящих от настоящей инфраструктуры, дает возможность обнаружить активность злоумышленников раньше, чем те нанесут серьезный ущерб организации. Решения класса Deception помогут компаниям, в которых у сотрудников есть прямой доступ к высококритичным ресурсам, используются специфические активы, а также есть риск присутствия в периметре внешнего или внутреннего нарушителя. Одно из ключевых преимуществ технологии Deception – ее незаметность для злоумышленника, а значит, само применение технологий киберобмана в корпоративной инфраструктуре скомпрометировать практически невозможно. 

Курс на импортозамещение

Уход с российского рынка зарубежных производителей в области кибербезопасности поставил в уязвимое положение многие государственные и бизнес-структуры. Компании, использовавшие решение иностранных ИБ-вендоров, в том числе производителей Deception-платформ, столкнулись с серьезными киберрисками.

Российские организации уже начали переходить на отечественные продукты. Отметим, что рынок информационной безопасности в России много лет активно работал в направлении импортозамещения. Развивался и сегмент отечественных Deception-платформ. И сегодня существует ряд успешных коммерческих продуктов от российских разработчиков, которые способны заменить аналогичные системы зарубежных вендоров. Среди них есть не только единичные решения, а целые экосистемы взаимодействующих между собой продуктов, на базе которых можно построить работу центров мониторинга информационной безопасности (Security Operation Center). Такие центры мониторинга помогают экономить время благодаря автоматизации, дают возможность выявлять сложные атаки, реагировать на ИБ-инциденты, а также предоставляют инструменты, позволяющие анализировать в целом эффективность принимаемых мер.

Иван Шаламов, менеджер продукта R-Vision TDP, R-Vision
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!