Loading
Jednym z najczęściej zadawanych pytań, które otrzymujemy w dziale wsparcia, podczas pracy z klientami i partnerami, jest to, jakie rodzaje punktów (wabików sieciowych w Labyrinth Deception Platform) wybrać do zastosowania.
Przez długi czas, w dużych ilościach różnych mediów i materiałów marketingowych, byliśmy świadkami podejścia polegającego na wypełnianiu podsieci /VLAN tylko tymi rodzajami wabików, które naśladują usługi faktycznie obecne w infrastrukturze IT/OT. Jednak w obliczu rzeczywistości, poza idealnym światem treści marketingowych, podejście to okazuje się raczej nieskuteczne.
U nas, w ramach platformy decepcji Labyrinth, stosujemy odwrotną strategię, której celem jest umieszczenie jak największej liczby różnych typów wabików. Zwłaszcza biorąc pod uwagę, że tzw. Punkty (wabiki sieciowe) są lekkimi, całkowicie oddzielnymi instancjami, które można wdrożyć w dużych ilościach bez użycia aliasów IP lub bez konieczności korzystania z dużej ilości zasobów.
Motywacja stojąca za tym podejściem jest prosta. W szybko rozwijającym się świecie technologie, gadżety i protokoły są stale aktualizowane, a nawet zastępowane nowszymi i szybszymi wersjami, co sprawia, że nierealne jest, aby atakujący był zorientowany we wszystkich tematach. Zwłaszcza jeśli mówimy o mistrzach swojego rzemiosła, niektórzy z nich wolą Windows, inni Linux, a jeszcze inni Web. Lista jest zatem długa. Strategią inżynierów ds. bezpieczeństwa nie jest więc wtapianie wabików w infrastrukturę, mając nadzieję, że atakujący sięgnie po wabik, a nie zbada legalnych zasobów, ale raczej przechytrzenie ich i zapewnienie różnorodności, w której atakujący o różnych specjalizacjach znajdą swoje zabawki do zabawy. W końcu wszyscy jesteśmy ludźmi, a zapominanie o maszynach wirtualnych lub niezamierzone otwieranie portów nie jest niczym nowym.
Nasze najnowsze studium przypadku wdrożenia platformy decepcji Labyrinth w jednej z ukraińskich agencji rządowych, zajmujących się egzekwowaniem prawa, potwierdza tę teorię: intruz został złapany nie dlatego, że bawił się wabikami, które naśladują typowe dla tych podsieci usługi, ale z powodu nielogicznie umieszczonego wabika SCADA.
Ten przypadek jest doskonałym przykładem tego, jak myślenie poza konwencjonalnymi schematami bezpieczeństwa może prowadzić do znaczących zwycięstw w walce z cyberzagrożeniami.
W Labyrinth Security Solutions pozostajemy zaangażowani w pionierskie, innowacyjne rozwiązania bezpieczeństwa, które utrzymują naszych klientów o krok przed atakującymi, chroniąc ich krytyczne zasoby informacyjne w stale ewoluującym cyfrowym krajobrazie.
O autorce
Anastasiia Dorosh jest kierownikiem zespołu ds. wdrażania cyberbezpieczeństwa w Labyrinth Security Solutions, m.in. odpowiada za wdrażanie platformy Labyrinth Deception w instalacjach testowych i produkcyjnych. Przed dołączeniem do zespołu Labyrinth, Anastasia pracowała jako inżynier NOC i DevOps w firmach technologicznych.