Нет технологий, которые могли бы обеспечить стопроцентный уровень защиты от Киберугроз. В постоянной борьбе нападающих и защищающихся всегда появляются бреши в системах информационной безопасности, даже самых продвинутых:
-
Антивирус - Обфускация
-
EDR - Применение низкоуровневых захватов
-
Межсетевой экран - Инкапсуляция атакующего трафика
-
Классическое шифрование - Квантовые технологии
-
Появление новых уязвимостей
-
Наличие человеческого фактора
Рано или поздно Компания будет подвергаться более эффективным атакам, ведущим к достижению целей злоумышленников.
В данном случае нам необходимо выявить атаку, задержать продвижение злоумышленника, проанализировать его техники и остановить. Для этого и предназначен класс решений HoneyPot и Deception.
Системы HoneyPot имитируют реальные сервисы и объекты инфраструктуры, провоцируя злоумышленника на взаимодействие с целью изучения его деятельности с задержкой продвижения и последующей остановкой.
На данный момент системы класса HoneyPot обзавелись широким спектром применяемых технологий:
-
Сервисные ловушки
-
Ложные формы аутентификации
-
Антифишинговые ловушки
-
Конструкторы ловушек под уязвимости
-
Web – ловушки
-
Поддельные токены доступа
-
Документы с маячками
По сути, при грамотном использовании данных технологий, вся сеть и информационные системы превращаются в ловушку для злоумышленника.
На примере решения разберём возможный дизайн системы ловушек и иллюзий для крупной корпоративной сети. Для этого опишем различные сетевые зоны в разрезе используемых в них типовых ловушек:
- Интернет
Для данной локации используются ловушки, нацеленные исключительно на изучение техник и обогащение SOC центра новыми данными о возможных угрозах. Ложные формы аутентификации собирают словари логинов и паролей, с которыми атакуют в данным момент, для формирования исключений и оповещения пользователей. Ловушки типа антифишинг позволяют выявлять целенаправленные кампании по таргетированным и фишинговым рассылкам.
- Периметр
Для периметра характерны ловушки с «низким уровнем чувствительности» - это двухступенчатые ловушки, например, на основе уязвимости Proxylogon (CVE-2021-2685), когда злоумышленник для эффективной эксплуатации должен вначале увести учётку либо использование поддельных Web страниц, встраиваемых в реальные проекты.
- DMZ
В данном сегменте хорошо работают ложные сети, построенные на основании ловушки в виде сетевого оборудования. В данном случае злоумышленник с лёгкостью получает доступ к межсетевому экрану внутри DMZ с последующим доступом в ложную сеть.
- Локальная сеть
Эффективные техники для локальной сети — это анализаторы сетевой активности, антиботнет ловушки и высоко интерактивные ловушки по типу ложного контроллера домена с критической уязвимостью, например, Zerologon (CVE-2020-1472).
- Специализированные сети
Основной типов ловушек в специализированных сетях – это имитация специализированных объектов (Scada систем, банкоматов, АРМ КБРН, конфиденциальных объектов и т.д.). Так же могут использоваться анализаторы сетевой активности, антиботнет ловушки и ложное сетевое оборудование.
- Конечные точки
Для конечных точек используются поддельные токены доступа, ведущие на ловушки и/или передаваемые в SIEM для обогащения правил корреляции.
Несмотря на эффективность технологий HoneyPot и широкий диапазон применяемых ловушек, при внедрении данного типа систем необходимо проверять работоспособность методов и иметь готовый план реагирования на сработки.
Работоспособность проверяется двумя способами: проверкой жизнеспособности (сетевая доступность, активность сервисов и доменов, проверка поступаемых событий) и проверкой правильности настроек (имитация реальных атак для проверки реагирования).
По итогам внедрения системы проводятся Киберучения. Кроме проверки реакции системы на атаки проходит обучение службы информационной безопасности корректному реагированию на инциденты. В рамках учений команда анализирует атаки и принимает решения по блокированию действий злоумышленника и резервации скомпрометированных сетей и объектов инфраструктуры.
Системы HoneyPot и Deception являются эффективным инструментом для выявления как автоматизированных, так и сложных и нетиповых атак на компанию. Продукт собирает необходимые данные для обогащения SOC центров без ложноположительных инцидентов. Однако при внедрении технологии необходимо быть готовым к выявлению сетевых атак на разных типах ловушек и разрабатывать планы эффективного реагирования.
