Журнал "Information Security/ Информационная безопасность" #1, 2022

• 29 Deception www.itsec.ru Фиксированная стоимость или подписка? Второй вопрос, который возник к раз- работчикам Deception, заключался в схеме тарификации: нам продавали под- писку. И я как заказчик не совсем пони- маю, что в эту подписку включено. Ска- жем, когда я подписываюсь на антиви- рус, то понимаю, что периодически при- ходят обновления, сигнатуры, правила, и здесь применение подписной модели выглядит оправданным. Но при исполь- зовании ловушек предмет для подписки совсем не очевиден. Ведь если один раз распространить ловушки по инфраструктуре, то дальше система живет, не требуя вмешатель- ства извне. В моем представлении это повод оплатить лицензию и стоимость поддержки на случай, если что-то сло- малось и требуется дополнительная экс- пертиза. Deception и другие агенты Еще один вопрос: как будет реагиро- вать установленное на серверах и рабо- чих станциях антивирусное ПО на то, что некий процесс пытается инжектиро- вать в систему пользователей и файлы? Например, DLP тоже иногда конфлик- тует с антивирусом, и необходимо добав- лять агент DLP в исключения, чтобы антивирус не считал его зловредом с удаленным управлением. Пока непонят- но, нужно ли для Deception настраивать такое исключение и в каком объеме. Не получится ли так, что потребуется исклю- чать из рассмотрения антивируса целый диск, что само по себе неприемлемо. Отдельный вопрос касается вычисли- тельных ресурсов, ведь кроме собст- венно рабочего ПО на компьютерах есть EDR, антивирусы, DLP, UBA. При это создается заметная дополни- тельная нагрузка на рабочее место, ведь часто агенты требуют достаточно серьезных ресурсов, постоянно или вре- менно. Нужно учитывать, что у нас до сих пор еще есть в регионах компьюте- ры, для которых норма – 4 Гбайт памяти. Не получится ли в результате безопасное рабочее место, на котором невозможно работать? пространения. По итогам реализации данной задачи права можно отозвать. Третий вариант подразумевает интеграцию с решениями класса LAPS (Local Administrator Password Solu- tion). Ольга Чуприкова, Fortis: DDP включают несколько слоев: сетевые ловушки, данные и приманки на АРМ (сессии RDP/SSH, сетевые диски, фейковые учетные данные, ведущие на сетевые ловушки). Идеально, когда задействованы все слои. Для распространения токенов на АРМ могут использо- ваться способы, не требующие предоставления администра- тивных прав системе (GPO, SCCM etc). Решение TrapX Decep- tionGrid, например, ориентированно прежде всего на досто- верность сетевых ловушек и способно показать эффективность в тех средах, где АРМ пользователей просто нет (например, DMZ). Александра Савельева, АВ Софт: Практика показы- вает, что Deception-решение LOKI внедряется достаточно несложно и не требует больших ресурсов оборудования. Кроме того, мы стараемся не оставлять заказчиков один на один с дистрибутивом системы, поэтому всегда проводим пилотные проекты, в рамках которых видно, как происходит установка и настройка. Ольга Чуприкова, Fortis: Коммерческие системы раз- виваются гораздо быстрей проектов Open Source. Разра- ботчики постоянно шлифуют свои решения, увеличивают количество средств обмана, совершенствуют текущие ловушки и создают новые, добавляют интеграцию с другими системами безопасности, которые способны предотвращать развивающуюся атаку. Системы обладают способностью определять различные типы взаимодействия и тактик атак, что также требует обновления. То есть в рамках подписной модели вы платите за постоянно расширяющуюся функ- циональность, а не просто за техническую поддержку про- дукта. Владимир Соловьев, ДиалогНаука: Разработчики Deception-решений не стоят на месте, также как и злоумыш- ленники, которые придумывают всё более изощренные техники. Если установить систему и оставить ее жить своей жизнью, то особого смысла от нее не будет. Злоумышленники поймут, что их обманывают, тем самым будут с легкостью находить фей- ковые объекты. С выходом новых версий появляются новые модули и компоненты, а также обновляются данные по при- манкам (классы, их расположение и т.д.). Что касается схемы тарификации, то она сильно зависит от вендора. По нашему опыту, большинство вендоров предусматривает возможность покупки как подписки, так и бессрочной лицензии с ежегодной техподдержкой. Александра Савельева, АВ Софт: Рассуждения автора нам близки, поэтому наш подход подразумевает как раз фик- сированную стоимость за лицензию LOKI. Иван Шаламов, R-Vision: Мы предлагаем гибкую систему лицензирования, как предоставление услуги по подписке, так и бессрочные лицензии. Оба формата подразумевают наличие технической поддержки, в рамках которой происходит регу- лярное обновление ПО, то есть добавление нового функцио- нала, новых типов ловушек и приманок. Различие двух вари- антов лицензирования заключается в том, что при оформлении подписки доступ к платформе возможен только в течение срока ее действия, в то время как при бессрочной лицензии доступ не ограничен, а в стоимость также входит год техпод- держки, которую можно продлить в дальнейшем. Александр Щетинин, Xello: Реальность такова, что единого стандарта в ценообразовании решений класса Decep- tion нет и в первую очередь необходимо смотреть на предло- жение конкретного вендора. Иногда формат подписки предпо- лагает исключительно удобство в формате оплаты – постепен- ное внесение платежей. Например, Xello Deception можно при- обрести как по подписке, так и оплатив лицензию одним пла- тежом. При этом мы никак не ограничиваем наших клиентов. Реализовывая новую функциональность платформы и расширяя типы приманок, мы даем возможность устанавливать обнов- ления всем клиентам. Комментарии экспертов