Журнал "Information Security/ Информационная безопасность" #1, 2022

Современные решения класса Deception – DDP (Distributed Deception Plat- form) сильно продвинулись за пределы обычных лову- шек для хакеров. Продвинутые межсе- тевые экраны становятся уязвимыми по мере того, как периметр компании размывает- ся из-за внедрения облачных технологий и организации уда- ленного доступа с устройств сотрудников. Мониторинг собы- тий безопасности оказывается менее эффективным, если инфраструктура предприятия включает в себя огромный мас- сив информационных активов, который генерирует большой поток ложных срабатываний. Этот метод требует финансовых затрат со стороны бизнеса и квалифицированных специа- листов для постоянного анализа и выявления реальных киберин- цидентов. Игра на опережение Принцип технологии обмана был заложен более двадцати лет назад в первой сети ханипотов (Honeynet Projects). Эти специ- альные компьютерные системы создавались для имитации веро- ятных целей злоумышленника. Первоначально они использова- лись для обнаружения новых вре- доносных программ и оценки их распространения, об этом уже написана не одна статья. Но современные решения класса Deception – DDP (Distri- buted Deception Platform) сильно продвинулись за пределы обыч- ных ловушек для хакеров. Команда Xello уже не первый год развивает собственную Deception-платформу. Интерес к этой технологии значительно вырос за последние пять лет, но до сих пор наблюдаем, как клиенты отождествляют DDP- платформы с ханипотами. У последних есть существенные ограничения: более узкая область применения, сложности с маскированием, необходи- мость в постоянной доработке. В отличие от ханипотов тех- нология обмана перенаправляет злоумышленника в контроли- руемую среду, которая изоли- рована от производственной. Новые возможности При разработке стратегии информационной безопасности необходимо учитывать сегодняш- нюю парадигму: если кто-то вас хочет взломать, он обязательно это сделает. У киберпреступников могут быть все финансовые и технологические ресурсы для реа- лизации атаки на вашу инфра- структуру или же достаточно вре- мени для того, чтобы изучить ее и найти уязвимости, позволяющие преодолеть периметр компании. К ключевым задачам команд информационной безопасности можно отнести: l сокращение среднего време- ни обнаружения и реагирования на инциденты (MTTD и MTTR); l минимизацию финансовых и репутационных издержек в результате инцидента без- опасности. Многие системы обнаружения угроз базируются на принципах моделирования зловредного поведения и поиска совпадений 20 • СПЕЦПРОЕКТ Deception: стратегическое решение для выявления инцидентов и реагирования на них огласно отчету M-Trends 2021 компании FireEye 1 , медианное время незаметного присутствия злоумышленника в инфраструктуре предприятия составляет 24 дня. Этого достаточно, чтобы выявить наиболее слабые места инфраструктуры и получить доступ к ней с правами администратора для дальнейшей эскалации атаки. Будет ошибкой сказать, что бизнес не принимает меры для защиты информационных активов и данных. В среднем компании внедряют 47 различных решений и технологий кибербезопасности, согласно данным Ponemon Institute 2 . Но насколько они эффективны в условиях цифровой трансформации бизнеса? С Александр Щетинин, генеральный директор Xello Корпоративная сеть до и после внедрения Deception 1 https://content.fireeye.com/m-trends/rpt-m-trends-2021 2 https://attackiq.com/lp/ponemon-study/