ТЕХНОЛОГІЯ ОБМАНУ: пастки для хакерів.

     Якщо кілька десятиліть тому класичного антивірусу було достатньо для забезпечення кібербезпеки, то сьогодні використовуються не лише засоби захисту на основі мережі та хосту, а й низка інших систем, які допомагають ідентифікувати зловмисників.

     До складу цих систем входять нові рішення класу DDP (Distributed Deception Platform), метою яких є створення фальшивої інфраструктури, з якою буде взаємодіяти хакер. Завдання платформи DDP полягає не тільки у створенні розподіленої інфраструктури фальшивих цілей для відволікання уваги зловмисника, але й у сигналі співробітника інформаційної безпеки про проникнення периметра та початок шкідливої ​​діяльності.

     Коли система розгортається, створюються приманки, які міститимуть підроблені облікові записи з правами адміністратора в різних системах і службах, від Active Directory (AD) до браузерів. Також можна налаштувати пастки, які будуть імітувати інформаційні системи, де нібито обробляються конфіденційні дані. Це допоможе дезорієнтувати зловмисника та визначити його дії, коли він намагається використати фальшиві засоби для розвитку атаки.

     Мета розміщення пасток — привернути увагу зловмисника, відвернути його від реальних ресурсів підприємства і затримати його на деякий час, одночасно збираючи інформацію про місцезнаходження зловмисника, інструменти та методи атаки — іншими словами, все необхідне для виявлення та зупинки пропущена атака. Складність пасток варіюється від імітації простих мережевих служб, таких як SMB, RDP, SSH, HTTP(S), MySQL та інших, до імітації пристроїв, таких як комутатори, банкомати, POS-термінали, пристрої Інтернету речей (IoT), медичне обладнання та SCADA системи. А кількість пасток, розміщених у корпоративній мережі, може досягати кількох тисяч. Таким чином, зловмисник неминуче зіткнеться з пастками під час розвідки мережі або слідування за приманками. Приманки, або навігаційні крихти, — це фальшиві дані, розміщені на реальних мережевих пристроях, наприклад облікові дані RDP у диспетчері облікових даних Windows, облікові дані SSH в історії команд, облікові дані веб-додатків у файлах cookie тощо. Іншим прикладом можуть бути фальшиві набори даних, такі як конфіденційні документи, бази даних, які можуть зацікавити зловмисників. Методи обману зловмисників найбільш ефективні на ранніх стадіях атаки, коли зловмисники збирають дані інфраструктури, аналізують їх і використовують для горизонтального переміщення по мережі. Водночас використання методів обману потенційно можливе на всіх етапах атаки за допомогою моделі Cyber ​​Kill Chain. Фальшивий рівень інфраструктури, створений за допомогою пасток і приманок, дозволяє використовувати тактику зловмисників проти них.

     Слід зазначити, що цей клас захисту призначений для останньої лінії захисту для підприємств, коли зловмисник отримав доступ до ресурсів підприємства, подолавши всі ешелони захисту.

Завантажте файл, якщо хочете дізнатися більше.