Deception – технология киберобмана – способна значительно повысить уровень эффективности выявления и подтверждения киберугроз специалистами-аналитиками. Генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада» Алексей Викторович Кузовкин подробно рассказал об инструменте, который может оптимизировать процессы мониторинга и реагирования на кибератаки.
Самые популярные и известные тактики по идентификации случаев нарушения безопасности можно свести к двум важным моментам – это допустимые правила корреляции и IoC. В первом случае используются особые поведенческие паттерны и фиксированная последовательность событий. Во втором – артефакты технических инструментов.
Алексей Кузовкин отмечает: часто правила корреляции считают универсальным решением для идентификации злоумышленников. Но достаточно часто инструменты защиты «догоняют» инструменты нападения. Современные кибермошенники действуют очень умно и проворно, всеми способами стараясь обходить корреляционные правила, обладая при этом широким полем возможностей. Используемые ими инструменты и характер действий имеют специфические особенности, позволяющие выявлять какие-либо нелигитимные действия. Эти параметры можно корректировать либо делать их мало узнаваемыми.
Любая Deception-система – это комплекс методик обмана и хитрых приманок, который вынуждает мошенников взаимодействовать с серверами, представляющими собой замаскированные ловушки. Как правило, такие серверы четко фиксируют любое их посещение злоумышленником. Именно метод «подталкивания» к посещению сервера является основной отличительной чертой Deception-систем от раскрученных и популярных honeypot-систем (так называемых ханипотов). Главная цель технологии киберобмана – привлечь мошенников в ограниченное пространство, среду, применяя способные играть роль ширмы, имитировать якобы реальную инфраструктуру ловушки и приманки, логично распределенные между IT-активами организации.
Созданная псевдоинфраструктура привлекает мошенников неправдоподобными сведениями, которыми она заполняется, при этом не нанося вред обычным посетителям. Подобный подход позволяет системе демонстрировать порядка 0% ложных реагирований. Когда обнаруживается взаимодействие с определенной приманкой или псевдосервером, чаще всего это активность вредоносного характера.