Алексей Кузовкин обращает внимание специалистов IT-сферы на технологию киберобмана

Москва, 15:01, 26 Дек 2022, редакция FTimes.ru, автор Мила Якобссон.

Кузовкин Алексей Викторович – генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада». Алексей Викторович обладает колоссальным опытом управления инновационными и IT-проектами.

На сегодняшний день с учетом обильного потока данных специалисты-аналитики, работающие в центрах мониторинга и реагирования на всевозможные киберинциденты, вынуждены взаимодействовать с внушительным числом реакций, сравнивать ряд параметров и данных, зачастую разрозненных, определять и подтверждать конкретные киберугрозы. Чтобы ощутимо повысить уровень эффективности таких процессов и вместе с тем сменить статическую модель выявления на упреждающую, стоит прибегнуть к помощи технологии киберобмана или Deception. 

На текущем этапе в сфере реагирования на кибератаки фиксируется склонность к повышению числа правил корреляции и подписок на параметры компрометаций/атак (речь идет об IoC/IoA). Ориентируясь на технологический потенциал и специфику конкретной корпоративной сети, каждая организация по-своему исполняет функции мониторинга и реагирования на киберугрозы, применяя при этом инструменты, отличающиеся и по типу производителя, и по классу решения. Практика показывает, что самым эффективным инструментом, который может способствовать оптимизации процессов мониторинга и реагирования, значительно увеличить их эффективность, считается Deception, современная технология киберобмана.

Первичная идентификация киберинцидентов 

Наиболее популярные и известные тактики по идентификации случаев нарушения безопасности допустимо свести к двум важным моментам:

  • допустимые правила корреляции;
  • IoC.

В первом случае речь идет о применении особых поведенческих паттернов и фиксированной последовательности событий, во втором – об использовании артефактов технических инструментов. По сути, правила корреляции можно воспринимать как наиболее универсальное решение, применимое с целью идентификации злоумышленников. Тем не менее зачастую инструменты защиты «догоняют» инструменты нападения. Современные злоумышленники слишком умны и проворны. Они обладают обширным полем возможностей, в котором всячески пытаются обходить корреляционные правила. Характер их действий и используемые инструменты обладают рядом специфических особенностей, позволяющих выявлять те или иные нелегитимные действия. Эти параметры можно корректировать либо делать их мало узнаваемыми. Например, вполне очевидна взаимосвязь, существующая между действиями мошенников и техниками, тактиками и процедурами.

Суть Deception-систем 

Всякая Deception-система подразумевает под собой сочетание хитрых приманок, методик обмана мошенников и вынуждения их взаимодействовать с серверами, представляющими собой замаскированные ловушки. Обычно такие серверы четко детектируют любое их посещение злоумышленником. Такой метод «подталкивания» к посещению сервера считается основной характерной чертой всевозможных Deception-систем, отличающей их от популярных и раскрученных honeypot-систем (так называемых ханипотов). Тактики киберобмана не предполагают применение каких-либо предварительных сведений об определенном мошеннике или фиксированной кибератаке. Их базовая цель заключается в привлечении мошенников в ограниченное пространство, среду, применяя логично распределенные между IT-активами организации приманки и ловушки, способные играть роль ширмы, имитировать якобы реальную инфраструктуру.

Такая псевдоинфраструктура заполняется неправдоподобными сведениями, которые, по сути, не вредят обычным посетителям, но привлекают мошенников. Такой подход дает системе возможность демонстрировать порядка 0% ложных реагирований. Когда фиксируется взаимодействие с определенной приманкой или псевдосервером, чаще всего речь идет об активности вредоносного характера.

Важно отметить, что Deception-системы функционируют отлично от традиционных инструментов защиты данных, к которым привыкло большинство специалистов IT-сферы. Ключевая их задача – способствовать скорой и точной идентификации мошенников посредством привлечения их заведомо ложными целями.