Хватит защищаться от киберпреступников, настали времена ответных действий. Наличие системы HoneyPot и Deception позволит заманить злоумышленников и записать каждое их движение.
Многие хакеры занимаются обычным сканированием адресного пространства Интернета в поисках плохо защищенных компьютеров. HoneyPot – это система, сделанная под уязвимую цель для хакера. Она собирает информацию при проникновении в сеть злоумышленника.
Deception превосходит функционал HoneyPot и включает больше возможностей для обнаружения угроз, анализа кибератак и ответных действий. Система Deception включает приманки, ловушки, БД, приложения и др.
С помощью данных решений вы сможете узнать:
- как хакер осуществил проникновение в сеть,
- о последних атаках и эксплойтах на серверах компании,
- тип используемых хакерами инструментов.
Статистические данные о HoneyPot и Deception
Для крупных организаций реализация этих решений приведет к обнаружению враждебных инсайдеров. Ведь любая компания, в которой работает несколько сотен сотрудников, обязательно столкнется с «плохими сотрудниками», ищущим внутренние слабые места. Хорошо контролируемая система может даже указать на преступника.
Система от Xello обнаруживает как злоумышленников в сети, так и внутренних нарушителей. Например, Xello Deception обнаружила недобросовестных сотрудников, которые заходили на общие папки, являющиеся не легитимными, а созданными системой Xello . Злоумышленник, после попадания на хост, находил десептивные ресурсы на хосте, на котором находился. После этого с ними пытался распространиться и попадал в ловушку Xello .
О чем стоит помнить при работе с HoneyPot
Для примера возьмем ловушку, которая не позволяет инициировать исходящие соединения. То есть «приманка» неспособна повредить другие системы, что также упрощает обнаружение злоумышленниками. В случае обнаружения системы HoneyPot , хакер, скорее всего, удалит следы своего пребывания в системе и больше не вернется. То есть вы не получите информации для дальнейшей защиты компании.
Еще одна техническая проблема при работе HoneyPot – это сбор данных. Файлы журналов легко удаляются злоумышленником, поэтому приманка обычно отправляет копию своего журнала на удаленный системный сервер, который лучше защищен.
Если злоумышленник проникнет на него с помощью новой атаки, ваша приманка наверняка себя оправдает, поэтому следите за сервером журналов.
Одна из приятных особенностей систем приманок заключается в том, что они отлично справляются с сокращением объема данных. HoneyPot практически не имеет легального трафика. Почти все входящие или исходящие данные являются атакой, из-за чего проще просмотреть данные и выяснить, что на самом деле сделал злоумышленник.
О чем стоит помнить при работе с технологией Deception
Deception — это продвинутая система обмана, включающая аналитику и автоматизацию. После установки технология:
- сканирует сеть,
- проводит инвентаризацию активов,
- рекомендует различные типы ловушек / приманок, которые имитируют серверы, файлы, сегменты сети или ценные службы (например, Active Directory).
И сеть, насчитывающая тысячу узлов, будет выглядеть так, как будто она имеет более 10000 узлов, что значительно затруднит разведку сети и возможности для кибератак.
Группы безопасности используют Deception :
- для создания ложных учетных записей (например, привилегированных пользователей),
- для создания ложных активов (например, устройств IoT / OT),
- а также данных (например, репозиториев конфиденциальных данных) в своих сетях.
Когда хакеры попытаются атаковать инфраструктуру или осуществить эксфильтрацию данных, они наткнутся на обманную ловушку. Сотрудники компании не будут знать о ловушках, и поэтому доступ к ним будет означать кибератаку.
Как работает технология обмана: реальные кейсы от Xello
В первую очередь система Deception (и HoneyPot) используется для выявления злоумышленников. Однако с помощью данной технологии можно успешно расследовать инциденты.
Как правило, для глубокой корреляции событий и расследований требуется система SIEM и экспертный отдел безопасности (ИБ). Системы Deception от Xello могут строить графы движения злоумышленника и используются с решениями анализа, например SIEM.
Стоит отметить, что Xello Deception внедряли раньше SIEM и без сформированного отдела ИБ, и решение успешно обнаруживало подозрительную активность. Но как работает система?
Для начала использования Xello Deception достаточно двух виртуальных машин:
- одна их них сервер управления,
- вторая – сервер-ловушка.
После инсталляции система сама адаптируется к контексту корпоративной сети и создаст необходимое количество приманок и ловушек. При внедрении злоумышленника в корпоративную сеть, он попадет в сеть ложных данных, попытается их использовать и будет задетектирован.
Вывод
Вы получите лучший результат, если приманка будет использовать ту же операционную систему, уровень исправлений и набор приложений, что и машина, которую вы пытаетесь защитить. В идеале сделайте точную копию системы, а затем отслеживайте весь входящий и исходящий трафик на этой «приманке».
Вы можете начать с простой ловушки для обмана обычных злоумышленников, а затем перейти к более сложным вариантам использования системы обмана для поиска угроз, анализа и реагирования на инциденты.
А в случае, если вам необходима помощь, разработка системы-приманки и ее интеграция в компанию, обратитесь к CloudNetworks и Xello за решением!
