Журнал "Information Security/ Информационная безопасность" #1, 2022

28 • СПЕЦПРОЕКТ Deception: честно о технологии обмана Круглый стол заказчиков, вендоров и интеграторов Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем ЕВРАЗ Участники: Алексей Макаров, технический директор Xello Александра Савельева, координатор проектов АВ Софт Владимир Соловьев, руководитель направления внедрения средств защиты АО “ДиалогНаука” Ольга Чуприкова, технический специалист Fortis Антон Чухнов, генеральный директор АВ-Софт Иван Шаламов, менеджер продукта R-Vision Threat Deception Platform (TDP) Александр Щетинин, генеральный директор Xello Ты помнишь, как все начиналось... В свое время мы пришли к пониманию, что необходимы системы, оповещающие о том, что в сети происходит что-то подозрительное или присутствует посто- ронний. В качестве решения в первую очередь мы обратили внимание на хани- поты, изучили коммерческие решения, потом переключились на Open Source. Его мы для начала и решили попробо- вать, чтобы проверить наши гипотезы и вообще качественно посмотреть на полу- чаемые результаты. Мы развернули сеть ханипотов, и результат ее работы нам понравился. Основная решенная задача – это услов- ный колокольчик, который должен вовре- мя прозвенеть, если кто-то его потрогал. У нас стоит система SIEM, которая при- нимает сигнал от ханипота, а дальше срабатывают наши стандартные про- цедуры реагирования. При этом мы не ставили себе целью задержание зло- умышленника. Первое знакомство: сложности внедрения Deception Чуть позже мы познакомились с одной компанией, которая предложила моди- фицировать наш подход и применить платформу класса Deception. То есть теперь не нужно разворачивать фейко- вые хосты и сервисы, а ловушки разме- щаются на базе нашей существующей инфраструктуры. Идея нам показалась хорошей: разместить на хостах скрытых пользователей, скрытые папки и отсле- живать реакцию на них. Почти сразу возник первый вопрос: как развернуть эти фейковые учетные записи, папки на компьютерах наших пользователей и на серверах? Проблема заключалась в том, что в рассматривае- мом нами решении для размещения ловушек на все хосты требовались права доменного администратора либо локаль- ного, но одинакового на всех машинах. Но права доменного админа мы не предоставляем вообще никому, а от пользователей, которые имели бы доступ ко всем компьютерам, мы целенаправ- ленно отказались. Связано это с тем, что, найдя запись общего администра- тора на одной машине, потенциальный зловред получал в распоряжение все хосты. Поэтому для создания локальных администраторов у нас используется решение LAPS (Local Administrator Pass- word Solution). На каждом компьютере LAPS создает уникальный пароль локального администратора, прописы- вает их в домене, но больше никому не сообщает. И в этом состояла непреодо- лимая сложность во внедрении Decep- tion, поскольку в таких условиях рас- сматриваемое нами решение работать попросту не могло. Владимир Соловьев, ДиалогНаука: Одна из основных сложностей при внедрении решений класса Deception – необходимость наличия учетной записи с высокими привиле- гиями, которые требуются для размещения приманок. Причем, как правило, в основном речь идет об учетной записи локаль- ного администратора, расположенной на всех хостах. Для минимизации возможных рисков необходимо поставить учет- ную запись локального администратора на контроль исполь- зования вне системы. Дополнительно можно настроить сце- нарий блокировки данной учетной записи в связке со сторон- ними средствами защиты в случае обнаружения нелегитимного использования. Иван Шаламов, R-Vision: В случае R-Vision TDP при размещении приманок права локального администратора потребуются далеко не в каждом случае. Права доменного администратора могут пригодиться только для удобства мас- сового распространения приманок в инфраструктуре, а для размещения ловушек административные права не понадобятся вовсе. Алексей Макаров, Xello: При внедрении Xello Deception есть несколько вариантов распространения приманок. Первый способ не требует предоставления прав локального или доменного администратора и ориентирован на встроенные инструменты операционных систем или сторонних решений: групповые политики (Group Policy, GPO), диспетчер конфигу- рации системного центра (System Center Configuration Manager, SCCM), инструменты управления удаленных устройств (Mobile Device Management, MDM) или, например, с помощью агента стороннего решения. Второй вариант предполагает предо- ставление прав локального администратора на время рас- Комментарии экспертов

RkJQdWJsaXNoZXIy Mzk4NzYw