Технологія Deception: сучасний метод захисту від атак

У сучасному світі кіберзагроз традиційні методи захисту даних стають менш ефективними. Однією з інноваційних технологій, яка набуває популярності, є Deception, що перекладається як «обман».

Що таке Deception?

Deception є методикою, що використовується для введення в оману кіберзлочинців шляхом створення ілюзії реальних систем, таких як сервери, бази даних, облікові записи користувачів і навіть мережеві сегменти. Метою є спровокувати зловмисників атакувати ці фіктивні ресурси, дозволяючи при цьому захисним системам виявити спроби вторгнення та реагувати на них.

Ці пастки можуть бути активними або пасивними. Активні пастки взаємодіють зі зловмисниками, збираючи інформацію про їхні методи і наміри. Пасивні ж лише сповіщають захисні системи про спроби доступу до фіктивних ресурсів.

Як працює Deception?

Створення ресурсів: першим кроком є створення хибних активів, які виглядають як справжні, але не мають реальної цінності. Ці активи можуть бути розміщені на різних рівнях мережі та імітувати справжні ресурси.

Підписуйтеся на наші соцмережі

Розміщення пасток: хибні активи розміщуються таким чином, щоб зловмисники мали до них доступ. Це може включати підставні файли, папки, облікові записи користувачів та інші ресурси, які зазвичай є цікавими для атакуючих. Також різноманіття типів розповсюджених мережевих приманок суттєво збільшує вірогідність зацікавити атакуючого та збільшити витрати його часу на збір та аналіз інформації про інфраструктуру.

Моніторинг і реагування: після розміщення пасток системи кібербезпеки активно моніторять їх на предмет спроб доступу. У разі виявлення підозрілої активності захисні системи можуть автоматично реагувати, блокуючи зловмисників та збираючи інформацію про їхні дії.

Аналіз і вдосконалення: зібрані дані аналізуються для виявлення нових методів атак та вдосконалення захисних механізмів. Це дозволяє постійно покращувати рівень безпеки та ефективніше протидіяти новим загрозам.

Переваги Deception:

Виявлення прихованих загроз. Одна з головних переваг Deception полягає у здатності виявляти загрози, які можуть залишатися непоміченими традиційними методами захисту. Завдяки хибним активам можна виявити зловмисників, які вже проникли у мережу та перебувають у фазі розвідки.

Зменшення кількості хибнопозитивних сповіщень. Деякі системи захисту генерують велику кількість хибнопозитивних сповіщень, що може ускладнювати роботу кібербезпекових команд. Deception допомагає зменшити кількість таких сповіщень, оскільки хибні активи є спеціально створеними для виявлення зловмисників, а не звичайної активності користувачів.

Захист критично важливих активів. Завдяки використанню Deception можна спрямовувати зловмисників на хибні цілі, відволікаючи їх від критично важливих активів. Це дозволяє виграти час для виявлення та нейтралізації загроз до того, як вони зможуть завдати шкоди.

Збір інформації про методи атак. Deception дозволяє збирати цінну інформацію про методи та інструменти, які використовують зловмисники. Це дає можливість краще розуміти їхні дії та вдосконалювати захисні механізми для протидії новим загрозам.

Підвищення загальної безпеки. Впровадження Deception допомагає створити багаторівневу систему захисту, яка включає різноманітні методи виявлення та реагування на загрози. Це робить загальну систему кібербезпеки більш стійкою та ефективною.

Одним з продуктів, який на практиці надає всі вищезгадані переваги використання Deception інструментів, є Labyrinth Deception Platform. Рішення, побудоване на віртуальних машинах, швидко впроваджується і легко масштабується. Широкий набір різноманітних пасток «з коробки» включає не тільки імітації ІТ систем, а й IoT та OT/SCADA пастки. Більшість імітацій є активними, що дозволяє не тільки отримувати сповіщення про спроби нелегітимних дій в мережі, а ще й суттєво збільшує час та зусилля, які  зловмисники витрачають на збір та аналіз інформації про ІТ інфраструктуру. Також присутня можливість кастомізації та створення власних типів пасток для найкращого їх маскування.

Також можна окремо виділити тип пасток Universal Web Point – активну імітацію веб ресурсів з додаванням вразливостей. Фіктивні веб інтерфейси Universal Web Point створюються за лічені хвилини, нічим не відрізняються від справжніх та містять додаткові вразливості що заманюють зловмисників у пастку.

Інтерфейс платформи простий та зрозумілий, інформація про події подається як в табличному вигляді, так і у вигляді мапи взаємодій, що суттєво спрощує розслідування інцидентів. Вбудовані можливості взаємодії з SIEM, EDR та NGFW інструментами дозволяють легко інтегрувати Deception в існуючу систему кібербезпеки підприємства.