В современных кибератаках социальная инженерия сочетается с мастерским использованием легитимных системных инструментов. В результате даже самые продвинутые системы защиты на базе машинного обучения могут пропустить хакеров внутрь сетевого периметра. Дополнительным барьером на пути к ценным активам может стать технология киберобмана. Поговорим о том, как устроены deception-системы и как они помогают крупному банку защищать деньги и данные клиентов.
ПРОБЛЕМАТИКА
Финансовые учреждения традиционно вкладывают значительные средства в защиту сетевого периметра. Причина такого подхода в том, что наличие подробных сведений о клиентах, а также возможность похитить крупные суммы превращают банки в желанную цель для злоумышленников. Успешные атаки на инфраструктуру кредитных учреждений практически всегда имеют масштабные последствия в виде репутационных издержек, финансового ущерба, негативного влияния на экономику страны. По оценкам западных аналитиков, после инцидентов безопасности 60% малых и средних банков не в состоянии продолжать работу.
При обеспечении информационной безопасности чаще всего встречается два подхода: превентивный — предупреждение киберугроз, и детективный — выявление и нейтрализация инцидентов безопасности. В первом случае внедряются различные системы кибербезопасности: межсетевые экраны, антивирусы, песочницы и другие. Они используют известную информацию об объекте защиты или угрозе: сигнатуры, репутационные списки, базы уязвимостей. Это отлично срабатывает с типовыми атаками, изученными разработчиками средств защиты, но не позволяет эффективно предупреждать целенаправленные атаки, где, как правило, профессиональные хакерские группировки разрабатывают различные вредоносные утилиты и ПО под конкретную организацию. Между тем, по данным Лаборатории Касперского, каждую минуту в мире создается четыре новых варианта вредоносного ПО. Таким образом, при использовании превентивного подхода вероятность пропустить «свежую» атаку очень высока.
Снизить риск помогает совмещение превентивного и детективного подходов. В этом случае детективная часть обнаруживает аномалии с применением алгоритмов машинного обучения, математической статистики и моделирования. Но и этот подход не защищен от ошибок: машинное обучение базируется на ограниченном наборе входных данных, а модель, как правило, представляет собой сильно упрощённое представление о защищаемом объекте, поэтому аномалии обнаруживаются только если идеальное и наблюдаемое состояние значительно отличаются.
Получается, что когда злоумышленник обойдёт все средства защиты и сумеет закрепиться в сети, выявить его действия на этапе горизонтального перемещения будет крайне сложно. Тем более что в большинстве актуальных атак злоумышленники используют стандартные системные утилиты, установленные на компьютерах корпоративной сети.
Ликвидировать слепые зоны существующих системы ИБ и обеспечить покрытие всей инфраструктуры компании помогает технология киберобмана (deception).
ОБ ЭВОЛЮЦИИ ОБМАННЫХ ТЕХНОЛОГИЙ
Технология киберобмана представляет собой развитие концепции ловушек или ханипотов (honeypot). Так называют заведомо уязвимый ресурс, который привлекает внимание хакеров, а затем собирает данные об их действиях и различные метрики. Ханипот может имитировать сетевое оборудование (роутер, маршрутизатор), сервер в сети компании или веб-ресурс. В процессе взлома установленные на ханипоте средства слежения регистрируют действия злоумышленников.
Постепенно ловушки становились всё сложнее и функциональнее. Появились такие их разновидности, как honeyclients, honeytokens и tarpits. Но для создания даже небольшой сети из различных ложных ресурсов и уязвимых сервисов (honeynet) потребуется значительное время и услуги подготовленных специалистов. В среднем на установку и подготовку к эксплуатации одного ханипота может уйти до 20 человеко-дней в зависимости от квалификации сотрудников.
Со временем количественные изменения превратились в качественные. Ханинеты и ханипоты эволюционировали до новой технологии на рынке информационной безопасности — технологии киберобмана. Новый класс решений получил название DDP (Distributed Deception Platform — распределенная платформа киберобмана). Ключевое отличие систем DDP от обычных ловушек — наличие дополнительных компонентов-приманок. Это могут быть ложные учетные записи, конфигурационные файлы, сохраненные пароли в браузерах и операционных системах, SSH-ключи, которые раскладываются на реальные хосты пользователей и сервера организации. При взаимодействии с любой приманкой deception-система оповестит специалиста кибербезопасности о киберинциденте, а злоумышленника перенаправит на ловушку, сместив фокус его внимания с ценных активов компании на фальшивую мишень. Ловушки в составе DDP представляют собой отдельные серверы со специализированной ОС или ПО. Они умеют имитировать реальные элементы ИТ-инфраструктуры — сервисы, приложения, базы данных, операционные системы или специфичные для отрасли устройства. Таким образом, злоумышленник попадает в изолированную ложную среду, которая способна имитировать реальную инфраструктуру предприятия. Современные deception-системы предоставляют централизованное управление приманками и ловушками, их адаптивную генерацию и их распространение по сети компании.
Взаимосвязанная система ложных активов по всей сети компании, которая легко масштабируется и не требует значительных ресурсов от бизнеса, позволяет эффективно выявлять сложные атаки как на ранних этапах, так и на самых поздних, когда злоумышленник атакует критические сегменты сети.
ОПЫТ ИСПОЛЬЗОВАНИЯ DECEPTION-СИСТЕМЫ В БАНКЕ
Обратимся к реальному кейсу. DDP-решение было внедрено в крупном банке. В составе сети более 100 000 хостов, используется инфраструктура виртуальных рабочих столов (VDI), средства контейнеризации и оркестрации (Kubernetes, OpenShift), облачные службы (Yandex.Cloud, AWS, Microsoft Azure).
В банке выстроена эшелонированная защита, в составе которой имеется большинство классических решений, реализован технический контроль удаленных пользователей, произведена сегментация сети. Укомплектован и работает Центр мониторинга инцидентов безопасности и реагирования на них (SOC, Security Operation Center). ИБ-команда проводит регулярные тестирования на проникновение и проактивный поиск угроз (Threat Hunting). В организации выстроен процесс управления уязвимостями (Vulnerability Management). Для противодействия угрозам, связанным с человеческим фактором, сотрудников регулярно обучают безопасному поведению и цифровой гигиене.
Несмотря на все реализованные меры, риск целенаправленных атак (Advanced Persistent Threat, APT) является критическим для банка. Потенциальные вектора для профессиональных хакерских группировок — корпоративные устройства, которые используются сотрудниками в личных целях, уязвимые open-source компоненты в составе разработанных программистами банка приложений и сервисов, и по-прежнему фишинг. Для минимизации рисков проникновения в инфраструктуру банк успешно использует решение класса DDP.
Ключевые причины внедрения deception-системы:
РЕЗУЛЬТАТЫ
Deception-платформа позволила приоритизировать события в процессе обработки киберинцидентов и автоматизировать некоторые задачи по реагированию. Например, при выявлении инцидента заражённый хост автоматически изолируется при помощи SOAR.
Собранные DDP-системой данные по инциденту направляются в SOC для агрегации и последующего анализа. Специалисты могут дополнять имеющуюся TI-платформу новыми индикаторами компрометации — названиями веток и ключей реестра, именами и хэш-суммами файлов.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)