Технология обмана

Технология обмана (технология обмана и противодействия) — категория механизмов защиты в области кибербезопасности, предназначенных для раннего оповещения о потенциальных кибератаках и обнаружения несанкционированной деятельности в организациях. Продукты, основанные на технологии обмана, позволяют выявлять, анализировать и противодействовать атакам нулевого дня и сложным угрозам, зачастую в режиме реального времени. Эти решения автоматизированы, обладают высокой точностью^[1] и обеспечивают дополнительную видимость вредоносной активности во внутренних сетях, часто остающейся незамеченной другими средствами защиты. Технология обмана ориентирована на обман злоумышленника, его детектирование и последующее блокирование.

Технология обмана учитывает образ действий человека-атакующего, а также приёмы проникновения, перемещения по сети и вывода данных (эксфильтрация). Она интегрируется с существующими средствами защиты для повышения прозрачности внутренней сетевой инфраструктуры, предоставляя достоверные оповещения и отчёты об угрозах для действующей инфраструктуры.

Технология обмана автоматизирует создание ловушек (приманок) и обманных элементов, которые стратегически размещаются среди реальных ИТ-ресурсов. Подобные приманки служат дополнительным уровнем защиты для противодействия злоумышленникам, проникшим во внутреннюю сеть. Ловушки могут представлять собой ИТ-активы с лицензионным программным обеспечением или эмулировать различные устройства — например, медицинское оборудование, банкоматы, торговые кассовые терминалы, коммутаторы, маршрутизаторы и проч. Приманки, как правило, состоят из настоящих ИТ-ресурсов: к примеру, файлов различных типов, размещённых на реальных рабочих станциях или серверах. Благодаря развитию в сфере кибербезопасности технологии обмана становятся всё более проактивными и генерируют меньше ложноположительных срабатываний. Главная задача — точно выявить намерения атаки и используемые зловредом тактики, техники и процедуры, что способствует своевременному реагированию и нейтрализации угроз^[2].

Проникнув во внутреннюю сеть, злоумышленники пытаются создать бэкдор и использовать его для поиска и кражи конфиденциальных данных и интеллектуальной собственности. Они перемещаются между различными виртуальными локальными сетями (VLAN), очень быстро сталкиваясь с одной из ловушек. Взаимодействие с подобной ловушкой сразу вызывает сигнал тревоги. Такие оповещения практически всегда свидетельствуют о реальной атаке. Обманные приманки специально спроектированы для привлечения злоумышленников: считая найденный объект ценным, атакующий может загрузить или внедрить вредоносное ПО. Технология обмана, как правило, позволяет в автоматическом режиме выполнять статический и динамический анализ размещённого в системе вредоносного кода и формировать автоматизированные отчёты для специалистов по информационной безопасности. Также возможно выявление подозрительных конечных точек по индикаторам компрометации, проведение анализа их памяти и последующее автоматическое изолирование заражённых узлов.

Устройства Интернета вещей (Internet of things, IoT) редко контролируются традиционными многослойными средствами защиты и часто становятся целью атак внутри корпоративной сети. Технологии обмана способны выявлять злоумышленников, перемещающихся между такими устройствами.

Комплексные специализированные устройства с встроенными операционными системами, защищёнными от сканирования или установки сторонних средств обнаружения вторжений, также могут быть надёжно защищены с помощью внедрения технологии обмана в ту же сеть. Среди примеров — системы управления технологическими процессами (SCADA), применяемые на промышленных предприятиях по всему миру. Технология обмана была связана с обнаружением угрозы Zombie Zero^[3], — одного из векторов атаки. С помощью подобных решений было выявлено вредоносное ПО в сканерах штрихкодов, произведённых за рубежом.

Медицинское оборудование особенно уязвимо для кибератак в контуре медицинских организаций. Подобные устройства часто сертифицированы FDA, функционируют в закрытых сетях и не поддерживают установку стандартных средств защиты. Технология обмана позволяет окружить и защитить такие устройства, вовремя выявляя злоумышленников, использующих бэкдоры и совершая утечку данных. Известны случаи атак на рентгеновские аппараты, томографы, МРТ, анализаторы газов крови, системы PACS и другие медицинские устройства. Сети, в которых используются подобные системы, могут быть защищены за счёт внедрения технологий обмана. Этот вектор атаки получил название захвата медицинских устройств (medjack), он считается распространённым и затронул множество больниц по всему миру^[4].

Современные решения на базе технологий обмана позволяют бороться с ростом числа атак программ-вымогателей (ransomware): вредоносное ПО провоцируется на атаку ложной цели, в то время как точки заражения изолируются, а команда кибербезопасности оперативно получает оповещение^[5].

Ханипоты (ловушки-приманки) можно считать одной из первых разновидностей технологий обмана. Такие системы выступали как незашищённые, но заманчивые ресурсы, привлекавшие внимание злоумышленников, уже проникших во внутреннюю сеть. Однако первые ханипоты часто страдали проблемами с функционалом, надёжностью и эффективностью реализации. Одной из ключевых сложностей была низкая степень автоматизации, что сдерживало массовое развёртывание: защищать тысячи VLAN вручную экономически нецелесообразно.

Различия между традиционными ханипотами и современными технологиями обмана с течением времени сокращаются. Современные ханипоты рассматриваются как «низший уровень» систем в сегменте технологий обмана.

Традиционные решения кибербезопасности, такие как межсетевые экраны и end-point security, в основном ориентированы на защиту периметра, но не могут обеспечивать стопроцентную гарантию обнаружения атак. Эвристика способна выявить присутствие злоумышленника, но генерирует множество срабатываний, что затрудняет обработку действительно важных сигналов. В крупных компаниях система мониторинга может формировать миллионы тревог в день, и сотрудники не способны оперативно их анализировать, тогда как одной успешной атаки достаточно для компрометации сети. В результате злоумышленники способны незаметно действовать во внутреннем контуре в течение месяцев, похищая данные и интеллектуальную собственность.

Технология обмана формирует оповещения, которые основываются на бинарном принципе: вероятность события, по сути, равна либо 0 %, либо 100 %. Любая попытка обнаружения, перебора, входа или взаимодействия с ловушкой/приманкой квалифицируется как враждебная, поскольку легитимные пользователи не имеют причин взаимодействовать с этими объектами. Эта определённость выгодно отличает обманные технологии от эвристических систем, создающих множество статистически вероятных срабатываний.

Практика показывает, что технологии обмана не должны быть единственной или изолированной стратегией — их целесообразно интегрировать в существующую многослойную архитектуру защиты (defense-in-depth), а наибольшую эффективность они демонстрируют при взаимодействии с другими системами безопасности. Главная задача — усиление защиты от наиболее сложных и профессиональных атакующих, способных обойти периметральные средства защиты.

↑ Lawrence Pingree в статье: Maria Korolov. Deception technology grows and evolves (англ.). CSO Online (29 августа 2016). Дата обращения: 13 августа 2023. Архивировано 30 июня 2018 года.
↑ Что такое технология обмана? Значение и преимущества (англ.). www.zscaler.com. Дата обращения: 15 марта 2024.
↑ Marko, Kurt How a Scanner Infected Corporate Systems and Stole Data: Beware Trojan Peripherals (англ.). Forbes. Дата обращения: 13 августа 2023. Архивировано 24 сентября 2022 года.
↑ The Dangerous State of Medical Cybersecurity (англ.) (13 июля 2016). Дата обращения: 2 ноября 2016. Архивировано 3 ноября 2016 года.
↑ TrapX launches ransomware deception tool, CryptoTrap (англ.) (25 августа 2016). Дата обращения: 2 ноября 2016. Архивировано 31 октября 2016 года.

Lance Spitzner. Honeypots tracking hackers : [англ.]. — Addison-Wesley, 2002. — ISBN 0-321-10895-7.
Sean Bodmer. Reverse Deception: Organized Cyber Threat Counter-Exploitation : [англ.] / Sean Bodmer, Max Kilger, Gregory Carpenter … [et al.]. — McGraw-Hill Education, 2012. — ISBN 978-0071772495.

[1] Lawrence Pingree в статье: Maria Korolov. Deception technology grows and evolves (англ.). CSO Online (29 августа 2016). Дата обращения: 13 августа 2023. Архивировано 30 июня 2018 года.

[2] Что такое технология обмана? Значение и преимущества (англ.). www.zscaler.com. Дата обращения: 15 марта 2024.

[3] Marko, Kurt How a Scanner Infected Corporate Systems and Stole Data: Beware Trojan Peripherals (англ.). Forbes. Дата обращения: 13 августа 2023. Архивировано 24 сентября 2022 года.

[4] The Dangerous State of Medical Cybersecurity (англ.) (13 июля 2016). Дата обращения: 2 ноября 2016. Архивировано 3 ноября 2016 года.

[5] TrapX launches ransomware deception tool, CryptoTrap (англ.) (25 августа 2016). Дата обращения: 2 ноября 2016. Архивировано 31 октября 2016 года.

[1]

[2]

[3]

[4]

[5]

Технология обмана

Технология: общий обзор

Узкоспециализированные применения

История

Отличия от других технологий

Примечания

Литература

Категории