Оглавление
Современные ИТ-инфраструктуры сталкиваются со все более изощренными атаками, которые часто остаются незамеченными традиционными средствами защиты. Злоумышленники могут длительное время скрытно действовать в сети, имитируя легитимную активность и постепенно подготавливая атаку. Возникает необходимость в новых подходах, способных не только обнаруживать такие угрозы на ранних стадиях, но и предотвращать их развитие, не нарушая работы инфраструктуры.
Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Разработчики СЗИ с каждым годом предлагают заказчикам новые, все более продвинутые средства и инструменты защиты. Одним из таких инструментов является технология Deception, появившаяся на рынке относительно недавно, но уже успевшая вызвать интерес у специалистов в области информационной безопасности.
Технология Deception представляет собой решение, объединяющее средство мониторинга за действиями злоумышленника и инструмент реагирования на них. Внедрение решений Deception способно обеспечить еще один рубеж обороны от несанкционированного воздействия на защищаемый объект и предоставить дополнительные инструменты контроля за развитием атаки и действиями злоумышленника в защищаемой инфраструктуре.
Два слоя инфраструктуры
Суть работы Deception заключается в имитации ИТ-инфраструктуры объекта для дезинформации злоумышленника о наличии, структуре и типе атакуемых объектов. После внедрения системы Deception ИТ-инфраструктура организации будет состоять из двух слоев.
Первый слой – реальная инфраструктура компании, а второй – эмулированная среда, состоящая из ловушек и приманок, расположенных на реальных физических устройствах. При взаимодействии с ними злоумышленник, проникший в сеть, сразу же рассекречивает себя, оповещая специалистов ИБ о своем присутствии.
Ловушки и эмулируемые на них сервисы поддерживают постоянное соединение с сервером и при любой попытке взаимодействия с ними отправляют сообщение (аларм) на сервер.
Решения этого класса способны обнаружить злоумышленника как на самых ранних стадиях развития атаки, так и на более поздних этапах, когда злоумышленник уже прочно закрепился в сети и действует в ней (причем с точки зрения логики работы классических средств защиты – легитимно). В этом случае технология Deception оказывается последним рубежом, способным предотвратить развитие атаки до нанесения ущерба.
Сценарии интеграции
Несмотря на относительную новизну, решения Deception уже начинают обрастать возможными сценариями интеграции с существующей инфраструктурой, а также первыми реализованными проектами, успешно внедренными на объектах заказчиков. При применении любой новой технологии присутствует резонное желание обеспечить непрерывность протекания уже существующих рабочих и бизнес-процессов и устойчивое функционирование объекта. То есть внедрение решений должно максимально бесшовно вписываться в уже существующий ландшафт ИТ- и ИБ-инфраструктуры. В частности, предполагается, что внедрение решений Deception в связке с другими СЗИ позволит оперативно выстроить взаимодействие и координацию объекта защиты с центрами мониторинга информационной безопасности SOC. Отметим ряд особенностей, которые важны для решения этой комплексной задачи.
Deception и SOC
Благодаря использованию технологий Deception специалисты центров SOC получают доступ к важной информации, которая помогает не только своевременно обнаружить проникновение злоумышленника в сеть, но и глубже понять его действия, методы и цели.
Важно, что специалисты SOC могут проанализировать способ проникновения в инфраструктуру, а именно: какие меры защиты были пройдены и какие уязвимости использовал злоумышленник. Deception фиксирует каждое взаимодействие с ложным слоем инфраструктуры, что дает возможность проанализировать, каким именно образом злоумышленник получил доступ, например, через слабые пароли, уязвимости в ПО или с помощью социальной инженерии.
Deception позволяет точно зафиксировать время срабатывания ловушек и каждое взаимодействие с эмулированной инфраструктурой, позволяя отслеживать шаги злоумышленника и сопоставлять их с другими событиями в сети. Например, если срабатывание ловушки произошло в момент, когда другие защитные системы фиксировали аномальную активность, то это может помочь создать полную картину атаки, проследив ее развитие от начального проникновения до попыток эксплуатировать конкретные уязвимости.
Если выявлено, что злоумышленник пытается получить доступ к критическим ресурсам, SOC может незамедлительно принять меры для изоляции этих ресурсов, для блокировки подозрительной активности и даже провести мероприятия по эмуляции дальнейших действий злоумышленника, чтобы отвлечь его от настоящих целей.
Другими словами, Deception позволяет не просто фиксировать факт вторжения, но и дает возможность активного противодействия, обеспечивая при этом глубокий анализ действий злоумышленника.
Deception в изолированных сегментах сети
Одним из направлений применения технологии Deception является ее использование в физически изолированных сетях, относящихся к значимым объектам критической информационной инфраструктуры (ЗОКИИ) и опасным производственным объектам (ОПО). Необходимость физической изоляции данных объектов от внешней сети связана с тем, что последствия реализации угрозы несанкционированного доступа как со стороны стороннего злоумышленника, так и внутреннего, оказываются для данных объектов наиболее разрушительными. Физическая изоляция (применение воздушного зазора) на объектах ЗОКИИ и ОПО нивелирует любую угрозу со стороны стороннего злоумышленника, однако внутренний нарушитель при этом все еще остается в игре. Задачу предотвратить или хотя бы купировать развитие атаки внутри закрытой сети данных объектов берет на себя в том числе и система обнаружения вторжений Deception.
Несмотря на то, что полная физическая изоляция (применение воздушного зазора) более доверенного сегмента сети способна исключить любое несанкционированное воздействие стороннего злоумышленника, она замедляет или делает невозможным протекание ряда рабочих и технологических процессов.
К числу таких процессов относится и передача соответствующей информации об инцидентах ИБ, выявляемых той же системой Deception, в центры SOC, находящиеся в менее доверенных сетевых сегментах.
В таких случаях решением может выступать использование однонаправленной передачи данных, в частности устройств класса «диод», которые способны не просто физически изолировать защищаемый сегмент, но и организовать однонаправленный канал передачи, адресованный в менее доверенные сегменты сети. То есть применение такого решения, при котором совместно используются комплекс однонаправленной передачи данных InfoDiode и система обнаружения вторжений Deception, позволяет физически изолировать доверенный сетевой сегмент и передавать данные c ловушек в центры SOC, которые традиционно находятся за периметром защищаемого объекта.
Таким образом специалисты SOC получают возможность собрать данные (узнать адрес, порт источника, сделать предположения о целях атаки, выявить протокол взаимодействия, время срабатывания, способ проникновения в инфраструктуру), проанализировать действия нарушителя, постараться вовремя ограничить его воздействие и развитие атаки.
На практике архитектура совместного использования подобных решений предполагает применение комплекса InfoDiode между ПО Deception, выступающим в роли ловушки в закрытом сегменте и ПО Deception, выступающим в роли сервера в открытом сегменте. Построение такой архитектуры обеспечивает своевременную передачу оповещений безопасности из закрытого сегмента в центры SOC, а также исключает любое воздействие через этот же канал связи на защищенный сегмент сети. Примеры таких архитектур уже протестированы и существуют на рынке.
В заключение
Построение надежной современной системы защиты, способной противостоять злоумышленнику и всему его богатому, активно пополняющемуся инструментарию, зависит от двух факторов.
Использование новых, инновационных СЗИ, способных быть на шаг впереди инструментов злоумышленника.
Использование высокоэффективных проверенных средств.
Применение комплексного решения, основанного на совместном использовании комплекса InfoDiode и СОВ Deception сегодня объединяет в себе оба этих фактора. Со временем вариативность сценариев совместного применения технологии Deception и комплекса InfoDiode лишь увеличится – это будет характерно и для сценариев, когда выстраиваются многоуровневые (иерархические) системы сбора информации, при которых ПО сервера Deception располагается внутри защищаемого сегмента, а SOC все так же остается снаружи.
ITSec_articles