IT-дистриб'ютори BAKOTECH Філіп Хмельов і Дмитро Долинний поділилися саме таким сценарієм. Вони розповіли про Deception на прикладі рішення від Attivo Networks, на якому спеціалізуються, а ми упакували це в зручний матеріал.
Не пропустіть Більше половини компаній потребують комплексної стратегії з кібербезпеки: дослідження Microsoft
Як зазвичай побудована архітектура інформаційної безпеки?
Під "больовими точками" вище ми мали на увазі вразливості: на рівні пристроїв користувачів, пошти, серверної частини та інших аспектів. Все це – точки проникнення в інфраструктуру для подальшого впливу. Відповідно, рішення для кібербезпеки пропонують нам різні можливості прикрити ці вразливості, це називається захист периметру.
Якщо провести аналогію, то захист інфраструктури як захист житла – уявіть собі, що злодій вривається в будинок, обходить сигналізацію, замки та броньовані двері, і, входячи в квартиру, бачить, що гроші, прикраси та все цінне лежить прямо на тумбочці. Погодьтеся, так не робить ніхто, але ось в кібербезпеки цей сценарій – буденність.
Як слід будувати архітектуру інформаційної безпеки?
Ся стаття — не гайдлайн з побудови системи кібербезпеки з ефективністю over9000. Але дамо важливу пораду і ключ до її реалізації: безпека повинна бути комплексною і багатошаровою.
Тобто нам потрібно додати ще щось, що дозволить виявити зловмисника у мережі вже тоді, коли все інше він обійшов. Одним з варіантів захисту від зловмисників, що вже проникли всередину інфраструктури, є Deception.
Deception – це клас рішень кібербезпеки, який дозволяє створювати всередині мережі фейкові вразливі пристрої або дані, зреагувавши на які хакер одразу ж сповістить про свою присутність. В реальності на виявлення хакера потрібен час – професійний зловмисник не залишає слідів. За цей час можна "винести" з системи що завгодно і не "спалитись".
Deception – це важлививй елемент захисту від хакерів / Фото Unsplash
Як це працює
Експерти з BAKOTECH розповіли докладніше про роботу рішень Deception і наголосили на основних "фішках" рішень цього класу. Для цього ми коротко розповімо, як відбувається атака, а потім розкриємо можливості Deception для її припинення.
Хакер зламує пристрій і опиняється всередині мережі. Далі йому потрібно або підвищити рівень доступу, або зламати акаунт якогось топ-менеджера. У будь-якому випадку, для цього потрібен адмінських доступ і якесь переміщення у мережі. Щоб він нічого не зламав і не вкрав, Deception має відповідні функції для обману зловмисника.
Корисно Гроші у сейфі, документи в хмарі: як безпечно зберігати інформацію – рекомендації для бізнесу
Виділимо три, на наш погляд, найголовніші аспекти:
Створення пристроїв-пасток. Скануючи вашу інфраструктуру, хакер побачить вразливі пристрої, яких насправді не існує. Підміну не розпізнати: фейковому пристрою можна присвоїти реальні характеристики існуючих машин, назвати їх так само, як називаються комп'ютери у вашій мережі і так далі. Перед зловмисником буде, наприклад, п'ять пристроїв у мережі, з яких тільки два – справжні.
Зламати саме пастки його підштовхнуть вразливості: пастка зовні захищена не так, як реальні пристрої, відповідно – це легка здобич. Так подумає хакер і захоче просканувати цей пристрій або запустити якийсь інший злочинний софт. Як тільки він якимось чином торкнеться пастки, система тут же вишле сповіщення відділу інформаційної безпеки і хакера буде скомпрометовано.
Спіймати хакера на гарячому можливо / Фото Unsplash
Захист Active Directory. AD – це ресурс всередині мережі, на який роблять запити користувачі. Там зберігаються, наприклад, облікові дані. Коли ви логінитесь в систему, то насправді відправляєте запит на AD, де вже "вирішується", можна вас впустити чи ні.
Фішка у тому, що немає рішень, які блокують запити до AD – інакше це загальмує роботу всієї компанії і адмінів. Ніхто просто не зможе нормально працювати, отримувати доступ до робочих інструментів та інших важливих елементів інфраструктури.
Deception вміє зберігати фейкові облікові дані разом зі справжніми, видаючи вам і адмінам дозволи на доступ і правильні дані. А зловмисник отримає фейковий логіни і паролі, скориставшись якими він тут же буде скомпрометований, а відділ ІБ отримає сповіщення.
Створення пасток у файловій системі. Хакер може скачати якісь доступні файли і відкрити їх десь в іншому місці, за межами вашої системи. В такому випадку, впіймати його буде складно – він увійшов в систему, вкрав щось і вийшов, скориставшись краденим вже за межами інфраструктури. Фейковий файл – це "нитка Аріадни", по якій його можна помітити в будь-який час, в будь-якому місці.
Здогадайтесь, що станеться, коли він відкриє цей файл.
Особливості Deception
Ще кілька важливих аспектів, які ви повинні знати про Deception
1. Deception не використовується як єдиний засіб захисту. Не варто пускати в систему всіх зловмисників, захист периметру обов'язково має бути присутнім. Не тільки для того, щоб спокійніше спати, а ще й через наступну особливість, яка випливає з цієї.
2. Deception відмінно інтегрується з встановленими рішеннями захисту. Рішення вміє не тільки виявляти зловмисника, а й сповіщати про це інші системи. Наприклад, повідомити про підозрілу активність ваш файрвол, який вжиє заходів по блокуванню дій хакера.
3. Deception не оминути хакерським софтом. Є ризик, що хакер не проковтне наживку, але на цьому все – немає хакерських програм, здатних засікти, наприклад, фейковий пристрій і при цьому не "спалити" самого хакера. Йому ж практично неможливо здогадатися про те, який пристрій або файл не справжні – просто немає зовнішніх ознак для таких висновків.
Цікаво Дев'ять небезпечних додатків на вашому смартфоні, які крадуть паролі до Facebook
Можна підсумувати, що Deception – ваша друга лінія оборони і засіб виявлення зловмисника, який вже потрапив в інфраструктуру. Пам'ятайте про те, що проектуючи архітектуру інформацыйної безпеки, ви ніколи не гарантуєте собі 100% безпеки, але зменшите вірогідність злому системи і крадіжки даних. Тому чим різнобічнішим і багатовимірнішим є захист, тим менше в світі людей, досить розумних і технічно підкованих для того, щоб завдати шкоди вашій інфраструктурі.