Офер Исраели, гендиректор и соучредитель Illusive Networks, обсудил защиту от нацеленных атак и обманные технологии с онлайн-публикацией eWeek. Ниже приведена текстовая версия основных идей, озвученных в этом интервью
Чтобы бороться с продвинутыми киберпреступниками, необходимо применять различные виды средств защиты (СЗИ), но многие традиционные решения обладают одним серьезным недостатком. Зачастую эти СЗИ направлены на выявление аномальной активности в поведении пользователей или сетевом трафике, становясь причиной урагана алертов. Такие решения генерируют тысячи инцидентов в стиле «может быть, это атака, а может быть и нет», и чтобы определить, указывают ли они на реальную проблему, нужно провести расследование.
В технологиях киберзащиты на основе обмана (технологии Deception) используется другой подход. Технологии киберобмана тоже созданы для поиска аномалий, но вместо бесконечного набора вероятностей они дают однозначный ответ по поводу их наличия: «да» или «нет». Злоумышленник либо попадает в обманную сеть, либо нет — в этом уравнении нет места слову «вероятно». Настоящий алерт содержит полезную форензику, получаемую в реальном времени, в том числе о том, где, когда и в какую именно ловушку попал злоумышленник.
Мифы о технологиях Deception
Руководители ИБ начинают рассматривать обманные технологии как альтернативу обычным СЗИ, когда понимают, как именно эти решения могут останавливать злоумышленников, проникших в сеть. Рассмотрим четыре распространенных мифах, связанных с обманными технологиями. Эти мифы нужно развеять, и тогда больше организаций будут уверены в этом классе защитных решений.
Миф №1: обманные технологии — это сложно
На самом деле современные решения киберобмана очень просто внедрять, с ними легко работать и ими также легко управлять. Для каждой конечной точки они автоматически генерируют множество специальных обманных сущностей, которые кажутся хакерам настоящими объектами. Однако как только злоумышленник взаимодействует с ними, специалисты ИБ узнают об этом в реальном времени. Такие приманки настолько правдоподобны, что могут обмануть даже самых опытных киберпреступников, но при этом они не требуют изнурительной установки агентов или обязательной донастройки в отличие от большинства решений, особенно основанных на выявлении аномалий.
Миф №2: Deception — только для крупных и зрелых организаций
Совсем наоборот: обманные технологии особенно пригодятся малым организациям, у которых не хватает средств и персонала на более сложные СЗИ. Небольшие команды ИБ извлекают много пользы из улучшенного понимания происходящего в своей сети благодаря Deception, и становятся более уверенными в защите своих ресурсов и данных. Небольшие компании, которым не нужен полноценный SOC, могут выиграть от использования точных алертов, которые генерируют Deception-решения. Практика показывает, что одни из самых успешных развертываний обманных технологий были реализованы в малых компаниях, которым требовалось быстро выстроить серьезную систему кибербезопасности.
Миф №3: обманные технологии годятся для киберразведки, но не для обнаружения угроз
Первой формой киберобмана были ханипоты, которые заманивали злоумышленников внутрь для изучения их поведения на последних стадиях атаки. Но современные хостовые обманные технологии работают по совершенно другому принципу — это приманки, расположенные там, где киберпреступники найдут их в самом начале атаки. В тот момент, когда атакующий взаимодействует с обманным объектом, система отправляет алерт с точными данными о том, что именно случилось и где. По сути, сейчас обманные технологии стали наиболее эффективным защитным решением, которое позволяет выявлять и блокировать злоумышленников на ранних стадиях атаки.
Миф №4: Deception — это последнее, что нужно внедрять в систему безопасности
Нет оснований полагать, что обманные технологии нужно внедрять, когда внедрены все другие средства защиты. Стандартные инструменты обнаружения аномалий дорого обходятся и для работы с ними нужна высококвалифицированная команда, но с решениями киберобмана дело обстоит иначе. Киберобман — это самый простой способ обнаружить самые опасные угрозы, при этом не нужно продираться через неисчислимые ложные срабатывания или долго ждать окончания внедрения решения.
Эффективность защиты можно легко определить с помощью Red Team: если ей удается довести атаку до конца, очевидно, что в вашей системе безопасности есть дыра. Помните, что если Red Team смогла взломать вас, значит, и злоумышленник тоже сможет. Технологии киберобмана на практике доказали свою неизменную эффективность против Red Team, существенно снижая ваши киберриски. По этой причине Deception не должен быть на последнем месте в вашем списке СЗИ — он должен стать частью вашей комплексной стратегии по обеспечению безопасности.
Узнайте больше об обманных технологиях Illusive
Заинтересованы в обманных технологиях? Закажите демо, расчет цен или тестирование Illusive Networks.