Не доверяй и проверяй: концепция Zero-Trust
В современном мире в условиях быстро растущего количества устройств и пользователей, подключаемых к сети дистанционно, границы корпоративного периметра размываются. В то же время стремительно развиваются техники и тактики злоумышленников: сегодня для реализации целенаправленных атак хакеры могут разрабатывать и применять инструменты, учитывающие особенности инфраструктуры каждой конкретной организации. А если говорить про деятельность APT-группировок, то для них проникновение даже в самую защищенную сеть является лишь вопросом времени.
Поэтому все больше компаний предпочитают следовать наиболее актуальной на данный момент концепции безопасности Zero Trust («Нулевое доверие»), согласно которой инфраструктура абсолютно любой организации считается скомпрометированной. При этом источник нарушения и компрометации данных может быть не только внешним, но и внутренним — то есть находиться внутри корпоративного периметра. А учитывая возросшую тенденцию к удаленному формату работы, за последнее время концепция Zero Trust приобрела еще большую значимость. Следовательно, лучшим способом защиты становится принцип «не доверять никому» и, соответственно, все пользователи, устройства или объекты корпоративной инфраструктуры, изначально считаются небезопасными, вне зависимости от уровня их привилегий.
Вместе с тем стратегия нулевого доверия требует принципиально иного, проактивного подхода к кибербезопасности, при котором организация принимает тот факт, что успешные атаки неминуемы и фокусируется не только на реагировании на инциденты, но и на усовершенствовании процессов детектирования угроз.
Технологии киберобмана Deception
Исходя из идеи неизбежности атак и компрометации данных, существенное значение приобретает возможность опережать действия хакеров, то есть останавливать развитие атак, в том числе и на самом критичном для организации этапе — непосредственно перед нанесением ей финансового или репутационного ущерба. При этом, следуя концепции Zero Trust, защищать корпоративную сеть необходимо как от угроз извне, так и от внутренних злоумышленников, которыми также могут оказаться и сотрудники организации.
Решение этих задач уже выходит за грань действия классических методов защиты и обнаружения угроз. Поэтому в последние время активное развитие получает относительно новая технология Deception, которую также принято называть технологией киберобмана.
Deception — технология, предназначенная для имитации ИТ-инфраструктуры компании, чья основная цель обнаруживать вторжения хакеров и выявлять попытки нежелательного доступа к сети. Принцип работы Deception строится на использовании проактивного подхода к обеспечению безопасности: технология искажает восприятие корпоративной сети за счет ложных элементов инфраструктуры, при взаимодействии с которыми злоумышленник, проникший в сеть, сразу же рассекречивает себя. Это позволяет обнаружить хакера на самых ранних стадиях развития атаки и отвлечь его внимание от реальных критичных ресурсов.
Как это работает? «Обманное» ПО расставляет по реальной сети приманки — различные корпоративные данные, представляющие ценность для злоумышленников. Вот только связаны они не с реальными объектами инфраструктуры, а с ловушками — ложными узлами сети, которые имитируют характерные для конкретной сети сервисы. Как только хакер попадает в ловушку, специалист ИБ немедленно получает оповещение, хотя сам злоумышленник даже не догадывается, что его рассекретили.
Именно такой подход позволяет выявлять и своевременно реагировать на сложные APT-атаки и в результате выводить процесс обнаружения киберугроз в компании на качественно новый уровень.
Отличие Deception от классических средств
На сегодня общепринятым стандартом в области обнаружения вторжений считаются решения различных классов, таких как SIEM/EDR/NTA. Вместе с этим они используются для обнаружения нетипичных действий в сети и на ее конечных узлах, а также для информирования об этих действиях специалистов по ИБ. Однако, как и большинство традиционных средств обнаружения угроз, эти технологии, как правило, «включаются в работу» и показывают свою эффективность только на этапах первоначального проникновения злоумышленника в сеть и его закрепления в ней. Кроме того, хакеры постоянно совершенствуют свой инструментарий, что позволяет им успешно обходить популярные защитные решения.
В свою очередь, преимущество технологий Deception состоит в том, что они позволяют обнаружить атаку и на более поздних этапах ее проведения: в процессе получения учетных данных, исследования инфраструктуры и горизонтального перемещения по ней (Credential Access, Discovery и Lateral Movement по
матрице MITRE ATT&CK). Более того, использование Deception также позволяет замедлить развитие атаки, обеспечивая специалистам по безопасности своеобразную фору для принятия решений. С момента, когда хакер прочно закрепился в сети и действует в ней «легитимно» (с точки зрения логики работы классических средств защиты), технологии киберобмана становятся последним возможным способом предотвратить развитие атаки до нанесения ущерба. Принимая во внимание тот факт, что злоумышленником может быть и инсайдер, следует сказать, что Deception фактически останавливает атаку в самом ее начале.
Технологии киберобмана позволяют автоматически создать целую сеть взаимосвязанных друг с другом ловушек и приманок, которую хакеру будет сложно отличить от настоящей корпоративной сети организации. При этом ловушки имитируют различные элементы сети, а приманки размещаются на реальных хостах таким образом, чтобы киберпреступник гарантированно обратил на них внимание и использовал. Следовательно, система детектирует активность, в отношении которой необходимо принять меры по дальнейшему расследованию и реагированию.
Кроме того, технологии Deception позволяют выявлять не только целенаправленные атаки (APT), но и атаки с использованием уязвимостей 0-day (нулевого дня). В последние годы 0-day-уязвимости — одна из наиболее часто встречающихся и серьезных угроз, используемых злоумышленниками для проведения атак.
Защита от 0-day
0-day — это уязвимость программного обеспечения, против которой еще не выработаны защитные меры, а ее эксплуатация хакерами гарантированно будет успешной. При этом важно понимать, что не выявленные уязвимости существуют в абсолютно любой инфраструктуре. Правильная сегментация сети и следование концепции Zero Trust могут помочь своевременно отреагировать на попытки хакеров проникнуть в систему с помощью неизвестной ранее уязвимости.
В свою очередь, платформы Deception обеспечивают быстрое обнаружение атакующего в ходе его продвижения по сети, которое в случае эксплуатации 0-day может быть незаметным в течение нескольких недель и даже месяцев. При использовании технологий киберобмана каждое действие по отношению к ловушкам, по сути, является инцидентом информационной безопасности и требует принятия мер со стороны администратора, а значит, минимизирует количество ложных срабатываний. При этом не имеет значения использовались уязвимости нулевого дня для проникновения в инфраструктуру — система детектирует любые попытки взаимодействия с ловушками, даже если они будут инициированы привилегированными пользователями.
Таким образом, вполне вероятно, что Deception в самое ближайшее время станут общепризнанным стандартом с точки зрения обнаружения событий ИБ. А в сочетании с другими технологиями, например, с системами класса Security Orchestration, Automation and Response (SOAR), технологии киберобмана смогут помочь выстроить эффективный процесс реагирования на инциденты.