Технология обмана предназначена для обнаружения присутствия злоумышленников в корпоративной сети с использованием систем-приманок в качестве приманки и приманки. Он анализирует взаимосвязь между компьютерными системами, данными и поведением пользователей, предоставляя метод раннего обнаружения и сбора анализа нарушений в корпоративной сети. Платформы обмана также могут быть полезны при выявлении подверженности учетным данным, отклонении и устранении атак с целью уменьшения поверхностей атаки.
Эта технология имеет мало ложных срабатываний. Естественная эволюция от honeypots, она следует той же теории стратегического размещения ложных систем среди аналогичных систем - например, контроллеров домена (DC), файловых серверов, серверов с простым протоколом передачи файлов (SFTP) или любой другой вероятной цели нарушения - и генерации оповещение о попытках подключения к ним. Несмотря на то, что ложные цели, которые создаются как виртуальные машины (ВМ) или виртуальные IP-адреса в VLAN, могут казаться принадлежащими предприятию, им не хватает законных рабочих нагрузок. Их единственная цель - обнаруживать угрозы, а не пользователей услуг, и поэтому любое соединение с ними должно рассматриваться как подозрительное и рассматриваться как возможная атака.
Технология обмана широко основана на агентах, что позволяет развертывать ее без дополнительных затрат на управление конечными точками. Предостережение заключается в том, что в этой технологии используются сухари и приманки, которые необходимо распределить по конечным точкам. Эти приманки невидимы для конечных пользователей, но видимы для злоумышленников и используются, чтобы убедить их подключиться к приманочным машинам. Эти хлебные крошки нужно только время от времени размещать на конечных точках. Это можно сделать с помощью диспетчера конфигурации системного центра (SCCM), инструментария управления Windows (WMI), push-сценариев или, как правило, поддерживаются любой технологией управления конечными точками. Они интегрируются с информацией о безопасности и управлением событиями (SIEM) и имеют API. Частью их основной функциональности является сокращение времени на обнаружение и помощь в проведении судебных расследований.
Есть три неправильных представления об этой технологии:
Это создает грязную сеть приманок, которые добавляют накладные расходы.
Это затрудняет поиск и устранение неисправностей в производственных системах.
Развертывание систем-приманок, которые могут быть скомпрометированы, может позволить злоумышленникам закрепиться.
Это восприятие было учтено, поскольку исходящие соединения от ложных целей заблокированы, в то время как белые списки позволяют ложным соединениям игнорировать соединения от таких вещей, как сканеры или мониторинг. Очевидно, что белый список должен создаваться с осторожностью, и любая система, которой разрешено подключаться, должна быть безопасной.
На первый взгляд, эта технология может показаться «роскошным» элементом, чреватым сложностью и предназначенным для зрелых программ безопасности. Тем не менее, благодаря простоте развертывания, низким издержкам, простоте управления, масштабируемости и способности предоставлять операторам информацию с крайне низким числом ложных срабатываний, эта технология подходит практически для любого предприятия - малого, среднего или крупного - мог бы использовать с огромным преимуществом.
Основные преимущества технологии обмана:
ускоряет обнаружение, соотнося трафик с индикаторами угрозы;
обеспечивает оркестровку и исправление для быстрой доставки стоимости;
устанавливает другой уровень обнаружения, который сокращает время пребывания злоумышленника;
повышает осведомленность путем создания в реальном времени инвентаризации корпоративных сетей, систем и программного обеспечения;
включает средства связи, которые в противном случае могут отсутствовать у ИТ-специалистов и групп безопасности.
Подписывайтесь на канал и будьте в курсе того что происходит сейчас в Мире Технологий