С развитием целенаправленных атак на бизнес и совершенствованием методов злоумышленников компании все чаще обращают внимание платформы киберобмана или Distributed Deception Platform — распределенные системы ложных данных и информационных активов по всей сети компании. Эти решения позволяют не просто выявлять атаки, но и активно управлять процессом обмана злоумышленников, что делает их одним из ключевых элементов современной стратегии кибербезопасности.
Сегодня мы поговорим с Александром Щетининым, генеральным директором компании Xello, о том, как платформы киберобмана помогают российским компаниям противостоять целевым атакам, какие преимущества они дают по сравнению с Anti-APT решениями и как эти технологии адаптируются под особенности каждой инфраструктуры. В интервью мы обсудим не только технологические аспекты, но и то, как Deception-решения могут способствовать соблюдению требований регуляторов и что ждет этот рынок в ближайшие годы.
— Чем обусловлен спрос на платформы киберобмана (Distributed Deception Platform)?
Киберобман сегодня — это не просто ловушки или ханипоты, про которые все знают или где-то читали. Это распределенная система ложных данных и информационных активов по всей сети компании. Да, ловушки — часть этой системы, и они выполняют всю ту же функцию — эмулируют ложные элементы ИТ-инфраструктуры. Это важная часть платформы, но не единственная. Чтобы создать обширный ложный слой данных и активов в инфраструктуре компании и гибко управлять им, нужна высокотехнологичная платформа. При реализации проектов мы всегда сталкиваемся с теми или иными особенностями инфраструктуры конкретной компании: кто-то использует специфичную службу каталогов, кто-то работает с менее популярными дистрибутивами на основе Debian, у кого-то территориально распределенные сети. Все это важно учитывать в архитектуре решения.
Причина спроса на системы киберобмана — это рост количества целевых кибератак на российские компании. К финансовой мотивации хакеров прибавляется геополитическая ситуация в мире. Кроме того, российские компании находятся в уязвимом положении, проходя путь импортозамещения.
— На рынке уже есть Anti-APT решения и системы, которые позиционируют себя таковыми. В чем заключаются ключевые отличия решений класса DDP (Distributed Deception Platform)?
— Для начала важно разобраться с терминологией. В чем отличие целевой атаки (APT, Advanced Persistent Threats) от просто атаки? Когда мы говорим про APT-атаку, мы подразумеваем, что за ней стоит хакерская группировка, которая профессионально занимается этим. У нее есть своя инфраструктура, инструментарий, дистрибуция «своих продуктов» (как правило, это вредоносное программное обеспечение) и даже маркетинг. В общем, это компания, которая находится по ту сторону защиты. И если у нее стоит задача взломать или «пошифровать» вашу компанию, она найдет способ, как это сделать (от банального фишинга на сотрудников до DDoS-атаки, когда они маскируют свои действия под массированной атакой). И в этом случае нет универсального продукта, который сможет гарантировать защиту на всех уровнях. Поэтому для защиты от целевых атак все еще работает подход эшелонированной защиты и обеспечения максимальной видимости инфраструктуры. И как раз последнее сложнее всего реализовать: не на всех хостах можно установить агент для мониторинга, правила корреляции и детекта необходимо регулярно обновлять, так как сеть компании динамична.
Особенность систем киберобмана от других решений — это подход к выявлению угрозы. Чтобы обнаружить вредоносную активность в сети компании, им не требуются ни сигнатуры, ни индикаторы компрометации, ни правила корреляции или детекта. Все, что требуется, — это грамотно распределить приманки и ловушки для хакера в инфраструктуре. Звучит достаточно просто, но везде есть нюансы, например, связанные с интеграцией и инфраструктурой или масштабированием, обновлением ложного слоя, конфигурацией.
— У вендоров, разрабатывающих EDR-решения, появляются специализированные модули для создания ловушек в сети. Что вы думаете по этому поводу?
Да, мы видим интерес к технологии киберобмана не только со стороны клиентов, но и разработчиков. И некоторые из них включают функционал Deception-платформ в решения по защите конечных устройств (EDR). Основная задача этих решений — мониторинг и анализ конечных устройств с возможностью их изоляции. Для её выполнения обычно используется агент, с помощью которого реализовываются и остальные функции решений, в том числе распространение и мониторинг ловушек. В этом и заключается основной риск: отключить агент — незамысловатая задача для злоумышленника (из последнего — кейс применения вредоносного ПО «Killer Ultra» для отключения EDR и антивирусов). И если говорить в контексте ловушек, то при отключении агента (с помощью которого осуществляется их мониторинг) вы никогда не узнаете, что кто-то в них попался (т.е. решение «превратится в тыкву»). Это не значит, что необходимо отказаться от EDR-решений, — у них множество других важных функций, которые необходимы для защиты конечных точек. Но если говорить именно про функционал Deception-решений в рамках EDR, то это достигается только при безагентом способе распространения приманок и высокоинтерактивных ловушках. Это два неотъемлемых компонента полноценных систем киберобмана (DDP).
— Вы упомянули приманки. Какую роль они играют в системах киберобмана?
Мы считаем, что приманки — один из важных элементов систем киберобмана. Они позволяют реализовать наиболее популярный сценарий детектирования кибератаки, когда злоумышленнику удается скомпрометировать конечное устройство в сети и закрепиться на нем. Чтобы добраться до критических активов, ему необходимо повысить свои привилегии. Для этого он исследует хост, пытаясь найти артефакты работы пользователей (например, NTLM-хеши паролей в локальных хранилищах) или учетные данные в различных системах (браузерах, мессенджерах), системных папках. И как раз на этом этапе он с большей долей вероятности попадет на ложные данные. Приманки могут быть связаны с ловушками. Например, при создании ложных устройств в сети (коммутаторы, средства защиты, принтеры) вы оставляете от них ложные доступы (логины и пароли) в различных местах в сети. Таким образом, наталкиваясь на ложный логин, например, от межсетевого экрана, злоумышленник будет пытаться подобрать пароль и отключить его. В это время специалисты уже получат уведомление о потенциальном киберинциденте.
Второй сценарий детектирования — с помощью ловушек, когда злоумышленник уже закрепился в сети и перемещается по ней все так же в поиске критических активов бизнеса. В этом случае не исключена вероятность попадания в ловушку — на ложную базу данных, систему, веб-сервис, которые будут выглядеть как часть ИТ-инфраструктуры.
— Правильно ли я понимаю, что системы киберобмана актуальны только для больших инфраструктур?
Не совсем. Для нас важный критерий внедрения — это зрелость процессов информационной безопасности. В компании как минимум должен быть план реагирования на киберинциденты (команда информационной безопасности знает, что делать, если получит уведомление об инциденте). Компания может быть и небольшой с точки зрения инфраструктуры, но зрелой в вопросах информационной безопасности. И для нее риск целевой атаки высок (например, субъект критической информационной инфраструктуры).
— Как осуществляется оценка эффективности решений киберобмана и какие метрики для этого используются?
Как правило, любое новое решение или метод повышения защищенности инфраструктуры направлены на сокращение среднего времени детектирования угрозы MTTD (Mean TimeToDetect). Что касается систем киберобмана, то их эффективность рекомендуем проверять в рамках пентестов или редтим-проектов: если решение выявит их действия, то с большой долей вероятности выявит и действия реального злоумышленника.
— Как киберобман помогает в соблюдении требований регуляторов и стандартов безопасности в различных отраслях?
На самом деле Deception-решения долгое время рассматривались как системы мониторинга, но не как средство защиты. Однако современные платформы киберобмана давно ушли за пределы просто мониторинга. Сейчас мы находимся в процессе сертификации, и наше решение будет закрывать ряд требований приказов ФСТЭК России №17, 21, 31, 239.
— Какие вызовы и перспективы стоят перед развитием технологий киберобмана в ближайшие годы? Какие дополнительные функции и возможности могут появиться в платформах киберобмана в будущем?
Если посмотреть в ретроспективе на развитие технологии киберобмана, то изначально ловушки (ханипоты) представляли собой статичные ложные сетевые объекты, которые устанавливались за периметром для изучения поведения злоумышленников. Сегодня современные системы киберобмана позволяют создавать динамичные данные: например, приманки на конечных хостах адаптируются под вашу инфраструктуру, автоматически обновляются и ранжируются в зависимости от настроек.
Сегодня большую роль играет искусственный интеллект (ИИ). Алгоритмы машинного обучения могут анализировать огромные объемы данных для выявления закономерностей и аномалий, указывающих на вредоносную деятельность. Изучая эти данные, платформы киберобмана на базе ИИ могут динамически корректировать свою стратегию, чтобы определять потенциальные векторы кибератак, динамически создавать и обновлять ложные данные и информационные активы. Ведь во много эффективность Deception-решений зависит от убедительного ложного слоя: его необходимо размещать в «правильных сегментах сети» с реалистичными приманками и ловушкам. Интегрировать все это так, чтобы процесс был незаметным для обычных пользователей и при этом оставался различимым для злоумышленников.
Что касается дополнительных функций — все зависит от конкретного разработчика. Но уже сейчас системы киберобмана предоставляют форензику (криминалистические артефакты) для расследования киберинцидентов и надежные индикаторы компрометации (IoC), которые могут использоваться для усиления существующих средств защиты (межсетевые экраны, TI-платформы). Это ключевое преимущество Deception-решений — количество ложных срабатываний минимальное. И это в том числе плацдарм для автоматизации процесса реагирования на киберинциденты.