Журнал "Information Security/ Информационная безопасность" #1, 2022

30 • СПЕЦПРОЕКТ Алексей Макаров, Xello: Современные Deception-плат- формы ушли далеко за пределы обычных ханипотов. Именно поэтому Xello Deception практически не требует ресурсов со стороны клиента для конфигурации решения. После установки платформа выполняет все необходимые действия в автомати- ческом режиме: анализирует инфраструктуру, генерирует при- манки и распространяет их. Мы как вендор готовы консульти- ровать наших клиентов как по лучшим практикам интеграции решения с другими средствами защитами, так и по разверты- ванию во всех сегментах сети. Владимир Соловьев, ДиалогНаука: Рекомендации относительно изменения настроек для повышения защищен- ности хоста относится все же к функционалу другого класса решений – Vulnerabilities Management, которые выявляют уязви- мости на хостах и дают рекомендации по повышению уровня защищенности. Идея Deception только в том, как эффективно обмануть злоумышленника. Что касается межкомпонентного взаимодействия, то обычно все соединения шифруются серти- фикатом и строятся по защищенным протоколам. Ольга Чуприкова, Fortis: TrapX DeceptionGrid во время установки токенов проверяет степень защищенности конечного устройства и формирует профиль безопасности для каждого хоста. Он также позволяет выявить все известные инструменты, приемы и тактики атак, описанные в базе знаний MITRE ATT&CK, а также оценить по ним степень защищенности вашей сети. На основе этих данных система выдает рекомен- дации, какие ловушки лучше всего разместить, чтобы они выглядели максимально реалистично для каждого сегмента сети. Иван Шаламов, R-Vision: Основная задача Deception – обнаружение злоумышленника и замедление его продвижения внутри сети. Несмотря на то что анализ настройки хоста не является прямой задачей этого класса решений, платформа R-Vision TDP может помочь в обнаружении уязвимостей. Инди- каторы компрометации, собранные в R-Vision TDP, могут быть переданы в системы киберразведки (TI), которые могут обога- тить их контекстом, выявить взаимосвязи с другими данными TI, а также экспортировать на СЗИ для блокировки. Комментарии экспертов Иван Шаламов, R-Vision: Действительно, при агентском способе размещения приманок создается дополнительная нагрузка на рабочие места. Кроме того, агент может быть легко обнаружен не только злоумышленником, но и пытливым пользователем. В R-Vision TDP реализовано безагентское раз- мещение приманок, за счет чего подобные проблемы исклю- чены, при этом платформа не перегружает инфраструктуру заказчика. Таким образом, приманки, размещенные на конеч- ных устройствах, не будут конфликтовать со средствами защи- ты, поскольку являются обычными файлами. Алексей Макаров, Xello: Сегодня на рынке есть как решения, использующие агент для распространения приманок, так и те, что обходятся без него. Xello Deception как раз отно- сится к последнему типу, не создавая дополнительной нагрузки на инфраструктуру и распространяя приманки без агента. Платформа включает в себя сервер управления и сервер- ловушку. Весь трафик между этими компонентами шифруется. Взаимодействие происходит в одну сторону, от сервера- ловушки к серверу управления, предоставляя возможность развертывания серверов-ловушек в защищенных сегментах сети. Для установки решения потребуется один или два вирту- альных сервера. Александра Савельева, АВ Софт: Наша практика показывает, что агенты (сенсоры) системы LOKI не конфликтуют с другими легитимными агентами на устройстве и в сети. Ольга Чуприкова, Fortis: Токены на АРМ устанавли- ваются и работают без агентов и не требуют для поддержания их работы никаких ресурсов. Чтобы исключить блокировку распространения токенов, в некоторых системах безопасности эндпойнтов необходимо вносить исключения, но они будут затрагивать не весь диск, а лишь установочный файл или его MD5. Владимир Соловьев, ДиалогНаука: Любое действие, выполняемое Deception-системой на хосте, порождает момен- тальный процесс, который запускается, выполняет ряд тре- буемых функций и завершается. Информация по таким про- цессам обычно доступна и может быть использована для добавления в исключения в сторонних системах, таких как AV, EDR и др. В современном мире любое Enterprise-решение поддерживает из коробки функционал исключений, куда можно добавить имя и хеш процесса для предотвращения конфликтных ситуаций между решениями. Это довольно про- работанный механизм, который применяется во всех решениях повсеместно. Комментарии экспертов Рекомендации для настроек Давно не секрет, что современные зловреды предварительно тестируются в хакерских лабораториях на предмет детектирования антивирусами и дру- гими средствами защиты, а затем пересобираются, чтобы остаться неза- метными для них. Попадая в систему, зловреды пытаются разными спосо- бами убедиться, что на заражаемой машине работает живой человек или реальный сервер, а не ловушка или песочница. Было бы удобно, если Deception после установки, исходя из ситуации на кон- кретном хосте, мог давать рекомендации относительно изменения настроек для повышения защищенности этого хоста. И лучше это делать, как только агент системы попал в систему, не дожидаясь реальных инцидентов. Речь о Best Prac- tice по конфигурированию операционных систем Windows, Linux. Конечно, мы и сами проводим меро- приятия по настройке операционных систем в аспекте информационной без- опасности. Но Deception, основываясь на известных тактиках зловредов, могут сделать ценные дополнения для настроек, снижающих риски успешных атак. Отдельный вопрос касается взаимо- действия ловушек с центром управле- ния. Команде ИБ на стороне заказчика важны готовые рекомендации по настройке других установленных средств защиты, чтобы трафик общения элементов Deception с командным цент- ром был защищенным и не поддавался перехвату.