Оглавление
Концепция обмана хакеров появилась еще в конце 90-x гг. прошлого века и прошла путь от статичных ловушек (ханипотов) и ханитокенов до современных систем киберобмана (Distributed Deception Platform, DDP).
Автор: Алексей Макаров, технический директор Xello
В 2020 г. Gartner выделил технологию киберобмана как наиболее перспективную для детектирования кибератак [1], MITRE Engage называет ее важнейшим элементом активной киберзащиты [2], а российские компании используют ее как стратегическое решение по повышению эффективности процесса мониторинга инцидентов информационной безопасности [3].
Что должны уметь современные системы киберобмана для эффективного выявления кибератак?
Система киберобмана – это наиболее эффективное решение для обнаружения целевых атак, так как она использует против атакующих их собственную тактику. Она создает ложный слой данных и активов (с помощью приманок и ловушек) по всей сети компании (данные на конечных устройствах пользователей, сетевые или промышленные информационные активы, трафик, артефакты работы пользователей) и мониторят их использование. Таким образом проведение атаки для злоумышленника усложняется, а в арсенале защитников появляются новые возможности для ее детектирования.
Чтобы решения класса DDP помогали в работе, а не отнимали время специалистов, они должны поддерживать различные типы приманок и ловушек, способы их конфигурирования и быть гибкими, масштабируемыми.
Связанность приманок и ловушек, отсутствие агента на хостах
Для начала разберемся с понятиями.
Lures, Breadcrumbs, Decoys, Traps, Honeypots – сколько вендоров, столько и терминов, которые используются для обозначения двух ключевых компонентов системы киберобмана.
Приманки (Lures, Breadcrumbs) – цифровые артефакты, которые ведут к ловушкам и придают им более достоверный вид. Например, ложная учетная запись от якобы критической базы данных. Приманки размещаются на реальных конечных устройствах (компьютерах реальных пользователей или серверах) в различных местах операционной системы. И это один из важных компонентов DDP, потому что именно с конечного устройства начинается большинство кибератак: фишинг, эксплуатация уязвимостей в компонентах Open Source, компрометация веб-ресурсов компании. Попадая на хост, злоумышленник ищет способы повысить свои привилегии путем поиска различных артефактов и учетных записей пользователей.
Приманки могут быть независимыми от ловушек, например, ложные документы разного формата (pdf, word, xlsx), директории, zip-архивы, VPN- и Kubernetes-конфигурации.
Ловушки (Honeypots, Decoys, Traps) – заведомо уязвимые информационные активы. Раньше они размещались на периметре, сегодня же используются в рамках систем киберобмана для выявления нелегитимных действий внутри сети.
Необходимо глубокое понимание инфраструктуры организации, чтобы создать максимально реалистичный ложный слой данных и активов по всей сети компании. Например, система должна знать специфику наименования записей DNS, чтобы сгенерировать ложные цели, которые ведут на серверы-ловушки (ложные средства защиты и резервного копирования), или же знать специфику наименования учетных данных в организации и понимать, в каких системах они функционируют (Active Directory, LDAP, FreeIPA, менеджеры учетных записей и др.).
Приманки и ловушки охватывают несколько сценариев реагирования (см. рис. 1). Первый сценарий: злоумышленник в рамках скомпрометированного хоста попадается на приманку, и система перенаправляет его в ловушку, которая была с ней связана. Второй сценарий: злоумышленник в рамках горизонтального перемещения попадается в ловушку – ложную базу данных, систему, сетевое устройство. Третий сценарий: злоумышленник пытается эксплуатировать приманки-«канарейки», которые уведомляют специалистов по ИБ о потенциальных инцидентах при попытках их использования.
Разнообразие приманок и ловушек
Современные системы киберобмана должны предоставлять возможности для генерации различных типов ловушек и приманок.
Рис. 2. Ложный слой данных и активов
В платформе Xello Deception есть несколько модулей, которые отвечают за генерацию ловушек. Модуль Xello RealOS позволяет эмулировать ложные сервисы и системы, которые работают в среде реальной операционной системы. Это дает возможность из любой продакшн-системы сделать ловушку, а также установить на нее различные ложные сервисы или уязвимости.
Модуль Xello Decoy Traps – это полноценная платформа, в рамках которой реализован целый набор специализированных ловушек: от финансовых до промышленных устройств (см. рис. 3). Важная особенность – эмулируемые активы отвечают цифровому отпечатку конкретных устройств. Архитектура модуля позволяет добавлять их по запросу при наличии такого отпечатка у заказчика.
Рис. 3. Модуль Xello Decoy Traps
В рамках платформы реализованы специализированные ловушки для выявления MITM-атак. Агенты (развернутые серверы-ловушки RealOS или Decoy Traps) рассылают по сети ложный трафик в рамках конкретного протокола и выявляют узлы, которые отвечают на него. При получении ответа на сообщения платформа будет считать эти узлы зараженными, поскольку с них осуществляется нелегитимная активность.
В рамках конфигурирования веб-ловушек реализована собственная технология эмуляции веб-сервисов устройств различных производителей (например Cisco, HP, Hikvision и др.).
Отдельно платформа позволяет создавать ложные уязвимости в ловушках, чтобы сделать информационные активы более привлекательными для злоумышленника.
Для гибкого масштабирования ложного слоя платформа Xello Deception поддерживает из консоли:
распространение приманок в различные сегменты сети: в инфраструктуру виртуальных рабочих столов (VDI) и RDS-серверы, технологический сегмент;
мультидоменность – отдельные серверы-сателлиты, которые устанавливаются в филиалах и обеспечивают интеграцию с сервером управления, что позволяет оптимизировать открытие сетевых портов и передачу данных между распределенными площадками.
Современные системы киберобмана создают ложный слой на конечных устройствах, усложняя злоумышленникам обнаружение реальных активов, а на уровне сети – ложные активы, скрывающие реальные хосты от злоумышленников.
Возможности для реагирования на инциденты безопасности и их расследования
После того как злоумышленник попытается использовать приманку или ловушку в ходе кибератаки, система оповестит специалистов ИБ о потенциальном киберинциденте. Чтобы оперативно отреагировать на него, платформа Xello Deception фиксирует все действия, связанные с ложными данными и активами, в режиме реального действия, а также предоставляет необходимую информацию для детектирования атаки (рис. 4).
Рис. 4. Карточка инцидента в Xello Deception
Для расследования киберинцидентов платформа записывает сетевой трафик в pcap-файл, что позволяет получать все данные о командах и действиях хакера (выполнение команд, запросы, запуск утилит и т.п.) при его взаимодействии с ловушкой.
Выводы
Эпоха статичных ловушек давно прошла. Им на смену пришли современные системы киберобмана, решения класса Distributed Deception Platform, как ответ на развитие ландшафта киберугроз (появление новых инструментов киберпреступников и методов получения доступа к инфраструктуре).
В отличие от классических средств защиты подобные системы влияют на психологию злоумышленников. Научно доказано, что у тех из них, кто знает о наличии ловушек и приманок в инфраструктуре организации, снижается эффективность, поскольку они начинают действовать более осторожно и медленно, выверяя каждый свой шаг. Это повышает их шансы на ошибку. И даже если они не подозревают о наличии таких систем в инфраструктуре, то их путь к реальным активам бизнеса сильно усложняется.
Системы киберобмана ввиду их безболезненного внедрения позволяют организовать мониторинг киберинцидентов в сжатые сроки, а также усилить этот процесс, закрывая слепые зоны классических средств защиты и систем безопасности.
Радар новейших технологий и тенденций. Безопасность. https://www.gartner.com/en/documents/3975191
MITRE Engage: фреймворк и комьюнити. https://www.mitre.org/news-insights/impact-story/mitre-engage-framework-andcommunity-cyber-deception
Deception: стратегическое решение для выявления инцидентов и реагирования на них. https://www.itsec.ru/articles/deception-strategicheskoe-reshenie-dlya-vyyavleniya-incidentov-i-reagirovaniya-na-nih
ITSec_articles