В этой заметке мы хотим познакомить вас с относительно новой технологией на отечественном рынке информационной безопасности - решениями класса «Deception». Технология Deception начинает свой путь с классических и всем знакомых Honeypot ( wiki, xakep) и добавляет к этому технологии по заманиваю злоумышленников на сами Honeypot.
Как это делается?
По всей существующей рабочей инфраструктуре размещаются «приманки». Это артефакты, которые ведут на honeypot. Представлены эти артефакты могут быть, например, записями о подключении к сетевым дискам. В выводе net use видны сетевые папки, тогда как для пользователя они не видны и не мешают работе. Однако, если злоумышленник уже имеет точку в инфраструктуре, он видит эти «артефакты» и пытается посмотреть, что же там находится по указанным адресам и тем самым выдает себя.
Кроме того, существуют способы убеждения злоумышленника, что он взаимодействует с реальной инфраструктурой. Злоумышленник с Honeypot проксируется на реальную, специальным образом подготовленную, инфраструктуру.
Поскольку система имеет очень низкое количество ложных срабатываний, то к таким классам решений добавляют интеграцию с различными средствами защиты информации (Firewall, Sandbox, Endpoint Clients и т.д.), в том числе для автоматического блокирования узла или целой подсети.
Автоматизация в таких решениях занимает отдельное место: она реализована, начиная от выбора имитируемой ОС и разворачивания honeypot в инфраструктуре, и до обновления «приманок» и блокировки злоумышленника.
Решения подобного класса ориентированы не только на офисные информационные системы, но и на оборудование сетей АСУ ТП, что делает спектр их применения очень широким. Ещё нельзя не отметить возможность ограничить взаимодействие со стороны Deception продукта с окружением в сети, что позволяет говорить о минимально возможном воздействии на окружающую инфраструктуру.
Данные решения покрывают большое количество кейсов, но особенно эффективно показывают себя в выявлении внутренних злоумышленников и вирусного программного обеспечения.