Технология обмана — это категория технологий обнаружения и реагирования, которая помогает группам безопасности обнаруживать, анализировать и бороться с современными угрозами, побуждая злоумышленников взаимодействовать с ложными ИТ-активами, развернутыми в вашей сети.
Подход обмана может предоставить вам очень точные оповещения о конкретных вредоносных действиях, которые часто трудно выявить с помощью анализа журналов или только с помощью инструмента SIEM.
Ваше преимущество: вы можете обнаружить подозрительную активность на ранних стадиях атаки, сбить с толку и ввести в заблуждение противника в вашей внутренней сети. На этой странице представлен обзор технологии обмана и более подробно рассматриваются три примера: приманки, пользователи Honey и учетные данные Honey.
Обзор технологии обмана
Если вы хотите думать о технологии обмана как о червяке на рыболовном крючке, о куске сыра в мышеловке или о песне сирен, заманивающих моряков на смерть, результат один и тот же: технология обмана — это приманка. Устанавливая непреодолимые ловушки, которые действуют как законные ИТ-активы, вы заманиваете злоумышленников в свою внутреннюю сеть и приглашаете их к взаимодействию, вызывая оповещение и предоставляя вашей команде время, понимание и контекст, необходимые для эффективного реагирования.
Поскольку никто в вашей организации не несет ответственности за использование технологий обмана, любая деятельность автоматически регистрируется как подозрительная. Таким образом, основным преимуществом технологии обмана являются высокоточные оповещения, которые выявляют очень конкретное вредоносное поведение.
Технология обмана может сократить время пребывания злоумышленников в вашей сети и ускорить среднее время обнаружения и устранения угроз, снизить утомляемость оповещениями и предоставить важную информацию об индикаторах компрометации (IOC), а также тактиках, методах и процедурах (TTP).
Технология обмана также может помочь обнаружить следующие типы угроз:
- Кража данных доступа
- Распространение в сети
- Атаки на системы каталогов
- Атаки типа «человек посередине» (MitM)
- Несанкционированный доступ к конфиденциальным данным
- Гео фехтование
Чтобы технология обмана была успешной, она должна выглядеть достаточно законной, чтобы обмануть искушенного злоумышленника, но в то же время идеально вписываться в ваши существующие усилия по реагированию на угрозы. В идеале, технология обмана проста в реализации, автоматически обновляется по мере необходимости и может передавать выдаваемые оповещения непосредственно в вашу платформу информации о безопасности и управления инцидентами (SIEM).
Вот несколько примеров технологий обмана:
Приманки
Приманки (Honeypots) — это системы-ловушки или серверы, которые развертываются вместе с производственными системами в вашей сети. Они могут выглядеть как любой другой компьютер в сети или быть развернуты таким образом, что сделает их привлекательными для злоумышленника.
Honeypots имеют множество приложений и вариантов использования, предназначенных для предотвращения проникновения вредоносного трафика в критические системы, выявления аномальных сканирований сети и предоставления информации о злоумышленниках и их методах.
Для этих целей существует два типа приманок. Исследовательские приманки собирают информацию об атаках и используются специально для расследования широкого вредоносного поведения. Они собирают информацию как из вашей среды, так и по всему миру о тенденциях атак, версиях вредоносного ПО и уязвимостях, на которые активно нацелены хакеры. Вы можете использовать это для информирования о своей защите, определении приоритетов исправлений и будущих инвестициях.
Производственные приманки, развернутые в вашей сети, помогают обнаружить внутренние уязвимости в вашей среде и дают вашей команде больше времени для реагирования. Сбор разведывательной информации по-прежнему остается приоритетом, поскольку приманки создают для вас дополнительные возможности мониторинга и заполняют общие пробелы в обнаружении при выявлении сканирования сети и распространении в сети.
Honeypots легко управляемы и не требуют особого обслуживания. Они помогают вам прервать последовательность атак и помешать хакерам с помощью высокоточных предупреждений и контекстной информации. Хотите узнать больше о приманках? Взгляните на нашу страницу, посвященную технологии Honeypot.
Пользователи Honey
Пользователи Honey — это поддельные учетные записи пользователей, обычно развернутые в Active Directory, которые обнаруживают и сообщают о попытках злоумышленников угадать пароли. Как только злоумышленник получит внутренний доступ к вашей сети, он, скорее всего, начнет вертикальную атаку методом перебора.
Он запрашивает в Active Directory учетные записи сотрудников, а затем пытается взломать учетные записи, используя небольшое количество часто используемых паролей. Определив и отслеживая пользователя Honey, учетную запись, не имеющую каких-либо коммерческих целей, вы можете легко определить методологию подбора пароля злоумышленником.
Злоумышленники, скорее всего, будут нацелены на учетные записи с привлекательными (но все же заслуживающими доверия) описаниями, поэтому в целях заманивания рекомендуется использовать такие имена, как «PatchAdmin» или подобные. Обратите внимание, что эта фальшивая учетная запись ни при каких обстоятельствах не должна быть связана с реальным человеком в вашей компании и никогда не должна использоваться для целей аутентификации.
Учетные данные (полномочия) Honey
Как только злоумышленник скомпрометировал конечную точку, он обычно получает пароли от этого ресурса и использует их в другом месте для доступа к дополнительным ресурсам в сети. Учетные данные Honey помогут вам бороться с этим, проецируя на устройство поддельные учетные данные.
Если будет предпринята попытка аутентификации с использованием учетных данных Honey, будет выдано предупреждающее сообщение. Независимо от того, пытается ли пользователь войти на одно устройство, используя учетные данные Honey, или пытается использовать учетные данные Honey для переключения на другое устройство, эти учетные данные не дают ему доступа к системам и, следовательно, очень безопасны.
Учетные данные Honey также четко отображают путь злоумышленника при его перемещении по сети. Это сравнимо с тем, как банки добавляют взрывающиеся пакеты с чернилами к наличным в пути, чтобы пометить деньги и идентифицировать их позже.
Использование технологии обмана в дополнение к другим мерам безопасности поможет вам укрепить свою защиту и обнаружить угрозы на ранней стадии. Хотя любой тип технологии обмана полезен, использование правильного типа для устранения существующих пробелов в обнаружении создает наиболее эффективный и углубленный подход к противодействию атакам.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.