Журнал "Information Security/ Информационная безопасность" #1, 2022

Защиты от уязвимости 0day 0day – это уязвимости, обнаруженные в ходе их эксплуатации либо в ходе исследования экспертами софта или оборудования. Они крайне опасны, поскольку некоторое, иногда весьма продолжительное, время остаются неизвестными для большинства средств защиты. Deception является эффективной тех- нологией защиты от уязвимости нуле- вого дня, выступая дополнительным эшелоном. Когда взломщик проникает через уязвимость на рабочее место или сервер, его задача – продвинуться по сети, получить доступ ко всем машинам, разобраться, где хранятся данные и их резервные копии. Deception состоит из ловушек и при- манок. Ловушки могут имитировать сер- веры, оборудование, рабочие места внут- ри сети, а приманки могут имитировать данные для доступа к этим ловушкам. Deception обнаруживает злоумышлен- ника, как только он попадает в ловушку, и продолжает дальше запутывать его в ложной инфраструктуре, параллельно производя анализ его действий. Эти данные можно собирать и использовать как индикаторы компрометации для защиты других сегментов сети, где может осуществиться аналогичная попытка проникновения. Поскольку доступна информация и об источнике атаки, есть возможность заблокировать злоумышленника как на самой ловушке, так и на той машине, откуда он подключился. И это при том, что другие системы безопасности пропустили атаку, посколь- ку злоумышленники, эксплуатируя 0day, зачастую используют совершенно леги- тимные инструменты. Например, это может быть обычное RDP-подключение от какой-то машины к серверу, и как с точки зрения антивирусного движка, так и с точки зрения EDR, который может работать на этой машине, ничего недоз- воленного не происходит. Но если под- ключение к ловушке все же произошло, это значит, что ни антивирус, ни EDR не обнаружили вредоносную программу. Поэтому тут Deception играет роль дополнительного эшелона защиты внут- ри сети организации, а с точки зрения такой опасной проблемы, как эксплуа- тация уязвимостей нулевого дня, это, по сути, единственное решение для обна- ружения. Барьер против шифровальщиков и вымогателей Задача шифровальщиков – получить доступ ко всей атакуемой инфраструк- туре, в том числе к резервной копии данных, чтобы зашифровать найденную информацию, потребовать выкуп, при этом лишив организацию возможности ее восстановить. Поэтому крайне важно обнаружить таких злоумышленников в сети как можно раньше, пока они осу- ществляют первые этапы атаки: прово- дят разведку, изучают инфраструктуру, определяют места хранения данных. В первую очередь вымогатели рассмат- ривают в качестве цели крупные компа- нии с большим оборотом, чтобы полу- чить максимальный выкуп. Deception может быть эффективен с точки зрения раннего обнаружения внутри сети зло- умышленников, если они смогли обойти другие средства защиты. Стоит помнить, что есть еще один источник угрозы – внутренние наруши- тели: подкупленные, увольняющиеся или обиженные сотрудники. Они могут запу- стить вредоносный продукт, управляе- мый извне, сразу внутри инфраструкту- ры, используя свой легитимный доступ. В деле противодействия атаке шиф- ровальщиков Deception отведена важная роль. Приманки и ловушки, которые работают внутри сети, помогают обна- ружить и заманить злоумышленника в ложную инфраструктуру. Притом ловуш- ки делаются так, чтобы они были макси- мально похожи на реальные устройства, на реальные рабочие места или серверы и злоумышленник не смог сразу понять, куда он попал. Кроме того, в качестве ловушек могут использоваться серверы резервного хра- нения данных. На этапе развертывания Deception в качестве приманки форми- рует набор ложных данных, которые вымогатель пытается забрать на свои серверы перед шифрованием. И эти ложные данные содержат в себе опре- деленные признаки, по которым впо- следствии можно выйти на след зло- умышленников. Эти признаки можно использовать при расследовании инци- дента, если через некоторое время в даркнете появляется продавец инфор- мации с заложенными с помощью Decep- tion признаками. В таком случае этого конкретного продавца можно связать с произошедшим инцидентом, с конкрет- ными данными, с конкретной ловушкой. Защита промышленного сегмента сети Технологии Deception в целом инвари- антны по отношению к сфере применения. Ловушки могут представлять из себя не только объекты ИТ-инфраструктуры, такие как рабочие места, серверы либо офисная оргтехника, но и создавать копии, аналоги объектов Интернета вещей и промышленного Интернета вещей. В качестве примера можно привести ip- телефоны, камеры, а также другие устрой- ства, которые в наше время подвергаются атакам с целью дальнейшего продвиже- ния по захватываемой инфраструктуре. Технология Deception также примени- ма и для промышленного сегмента сети, где могут быть созданы ловушки, ими- тирующие контроллеры, датчики, систе- мы управления. Отдельно стоит упомянуть и о меди- цинском оборудовании, от правильной работы которого зависят здоровье и жизни пациентов. В этом случае задача Deception – как можно более раннее детектирование любых атак на оборудование, обнаруже- ние злоумышленника в сети. Если ловуш- ка сработала, значит, в сети уже присут- ствует злоумышленник, который остался незамеченным другими системами без- опасности, как сетевыми, так и агентами на конечных точках. Выявление зловредов позволяет службе безопасности выиграть время при расследовании инцидента, пока злоумышленник работает с ловушками Deception и пытается продвигаться в обманной инфраструктуре. Расследование ИБ-инцидентов Обычно используются два основных вида ловушек, легкие и интерактивные. Легкие ловушки не требуют серьезных ресурсов для работы, но полностью под- держивают сетевые протоколы того обо- рудования, которое они имитируют. Их цель – просто фиксировать попытку про- никновения. Такие легкие ловушки могут быть быстро и массово развернуты в реальной инфраструктуре. Поэтому они 22 • СПЕЦПРОЕКТ 8 причин начать использование Deception Антон Чухнов, генеральный директор AV Soft