Deception часто сравнивают с Honeypot и считают его усовершенствованной версией. Такая логика понятна: обе технологии используют ложные элементы. Но именно это сходство и вводит в заблуждение. В корпоративной эксплуатации Deception и Honeypot решают разные задачи, по-разному встраиваются в инфраструктуру и дают разный эффект для SOC и для бизнеса. Давайте разбираться.
Автор: Екатерина Харитонова, руководитель продукта "Гарда Deception"
Начнем с базы.
Что такое Deception и Honeypot?
Технологии Deception – это средство обеспечения сетевой безопасности, которое внедряет в корпоративную инфраструктуру ложные, но правдоподобные цифровые объекты и сервисы. Основная цель такой платформы – выявлять попытки нежелательных действий в корпоративной сети и реагировать на угрозу до нанесения реального ущерба бизнесу.
На практике это позволяет выявлять даже те атаки, которые обходят сигнатурные средства защиты и защиту периметра сети. Например, в крупной компании администратор-инсайдер использовал сервисную учетную запись для массового отключения пользователей в Active Directory, включая honeytoken от Acalvio. Deception-платформа зафиксировала обращение к ложному объекту, SOC отследил сервер атаки и заблокировал доступ, что позволило избежать остановки бизнес-процессов и долгого восстановления каталога Active Directory.
Honeypot – это изолированная система или сервис, который имитирует уязвимый или ценный ресурс, чтобы привлечь злоумышленника и зафиксировать его поведение для анализа. Это инструмент наблюдения и исследования атак, а не средство защиты.
Часто Deception путают с Honeypot не из-за недостатка знаний, а из-за того, как эти технологии выглядят снаружи. В обоих случаях речь идет о ложных объектах, приманках и срабатывании при обращении к ним. Для многих компаний именно Honeypot был первым практическим опытом ловушек в инфраструктуре, поэтому любой следующий класс решений с похожей механикой автоматически воспринимается как его развитие, Honeypot 2.0. Путаницу усиливает и рынок: вендоры нередко используют одинаковые слова – обман, ловушки, приманки, - хотя под ними скрываются разные архитектуры и разные модели эксплуатации. При этом разница важна не на уровне терминов, а на уровне результата: Honeypot в корпоративной среде обычно остается инструментом наблюдения и форензики, тогда как Deception проектируется как элемент раннего обнаружения и реакции, встроенный в SOC-процессы, автоматизацию и снижение ущерба. Если считать эти подходы эквивалентными, легко ошибиться в ожиданиях – например, попытаться закрыть с помощью Deception задачи лабораторного анализа или, наоборот, ждать от одиночного Honeypot эффекта по сдерживанию атак в продуктиве.
Отличия на уровне подхода и эксплуатации
На российском рынке Honeypot чаще всего представлены решениями Open Source. Компании внедряют их на свой страх и риск, не всегда понимая, какие уязвимости и зависимости скрыты в коде.
Платформы Deception на российском рынке являются полнофункциональными комплексами из единого реестра ПО Минцифры, с полным циклом сопровождения со стороны производителя, а некоторые Deception-платформы, включая "Гарда Deception", имеют сертификацию ФСТЭК России по 4 уровню доверия.
Deception-технологии сокращают время обнаружения атак и снижают риски серьезных инцидентов. В отличие от классических Honeypot, такие решения не просто привлекают внимание злоумышленников, а встраиваются в реальную инфраструктуру и создают правдоподобные ловушки и приманки, неотличимые от рабочих систем. Так платформа повышает стоимость атаки для нарушителя и увеличивает вероятность его ошибки.
Тогда как Honeypot – это изолированная ловушка, намеренно выставленная как уязвимая цель. В ее задачи входят фиксация факта вторжения и сбор базовых данных о методах злоумышленника. Она не отражает реальную архитектуру сети, поэтому дает ограниченное представление о тактике атаки и не влияет напрямую на уровень защиты. Кроме того, опытный противник может распознать Honeypot и обойти ее, не оставив следов.
Еще одно отличие от Honeypot в том, что Deception – это не один узел и не одна ловушка, а распределенная платформа, которая размещает и управляет объектами-ловушками и приманками по всей сети. И самое главное, Deception-платформа автоматически адаптируется к изменениям в инфраструктуре: добавляет новые ловушки при развертывании сервисов, обновляет атрибуты ложных активов, синхронизируется с глобальным каталогом домена. В то время как Honeypot, объединенные в Honeynet, требуют постоянного ручного управления, то есть существенных ресурсов ИБ-команды. Использование Deception снижает операционные затраты и устраняет ручную настройку.
Для корпоративной среды гибкость и масштабируемость особенно важны. Крупные организации имеют сложную архитектуру, где традиционные ловушки теряют эффективность. Deception же создает распределенную сеть ложных элементов, которая растет вместе с бизнесом и покрывает сетевые сегменты, рабочие станции, серверы и облачные сервисы.
Это дает эффект и в сценариях компрометации цепочек поставок, где точкой входа становятся не серверы или рабочие станции, а периферийные устройства. В крупной логистической компании Deception выявил зараженные складские PDA, получившие вредоносный код еще до подключения к корпоративной сети. При выходе устройств в сеть вредоносное ПО начало выполнять разведку и попытки взаимодействия с инфраструктурой, в том числе с ложными объектами Deception в складском сегменте. Фиксация этих обращений позволила оперативно изолировать сегмент и предотвратить распространение заражения за пределы склада.
Отличия в технологиях и задачах
Технологии Deception поддерживают международный список техник и тактик злоумышленников MITRE ATT&CK не как справочник, а как карту покрытия. Таким образом они фиксируют:
- доступ к учетным данным (Credential Access);
- перемещение по сети (Lateral Movement);
- разведку внутри сети (Discovery);
- сбор и выгрузку данных (Collection и Exfiltration),
В модели Kill Chain Honeypot срабатывает поздно или не срабатывает вообще. Он фиксирует факт интереса к ловушке, но не покрывает этапы первоначального доступа, доступа к учетным данным и перемещения злоумышленников в продуктивной среде.
Deception закрывает несколько этапов Kill Chain внутри инфраструктуры заказчика. Ложные учетные данные выявляют этап Credential Access. Ложные сетевые узлы выявляют попытки перемещения по сети. Ложные данные выявляют сбор и выгрузку информации. Каждое обращение к таким объектам однозначно указывает на присутствие злоумышленника. При этом Deception не увеличивает поверхность атаки. Платформа не открывает реальные сервисы и не дает атакующему дополнительных возможностей для закрепления и доступа. Это позволяет останавливать автоматизированные атаки до шифрования и разрушения инфраструктуры. Например, при распространении шифровальщика Petya-A вредоносный код сканировал сеть одной компании через NetServerEnum и проверял порты 139 и 445. Ловушки Deception-платформы зафиксировали эти обращения, инициировали изоляцию зараженных станций, после чего компания сформировала индикаторы компрометации (IoC) и очистила сеть без простоя и потерь данных.
Отметим, что Honeypot не покрывает многие техники: он не видит использование учетных данных, перемещение по сегментам и работу с реальными сервисами. Тогда как Deception эффективен при обходе периметра злоумышленником – неважно, каким именно методом злоумышленнику удалось незаметно проникнуть в сеть, используя фишинг, компрометацию VPN или же даже он сотрудник-инсайдер, разведка сети и любое дальнейшее перемещение приведут к срабатыванию ловушек и приманок.
Deception работает с низким уровнем ложных срабатываний: в продуктивной среде обычные сотрудники не обращаются к ловушкам. Любое взаимодействие с платформой – высокоприоритетный сигнал, требующий расследования.
Наконец, Deception повышает качество расследований. Каждый контакт с ложным активом обогащает данные ИБ-инцидента за счет добавления IP-адреса атакующего, используемых инструментов, хронологии действий. Эти сведения передаются в SIEM и помогают быстрее реконструировать цепочку атаки, чем при анализе данных с отдельных Honeypot.
Deception дополняет работу SIEM, xDR и NGFW. Он не дублирует их сигнатуры и не повторяет их логику, а создает события, которые другие классы средств не видят. Для центра мониторинга и реагирования на инциденты SOC это сигналы высокого приоритета, которые легко автоматизировать через SIEM и SOAR.
Итог
Deception действительно вырос из идей Honeypot, но в процессе развития сменил цель. Фокус сместился с наблюдения на защиту и реакцию. Таким образом, Deception – это не просто продвинутый Honeypot, а инструмент проактивной защиты, который распознает угрозы на ранних этапах и дает ИБ-команде детализированные данные для быстрого реагирования.