Technologia decepcji: nowoczesna metoda obrony przed atakami
11Jul
Autor: Oleg Poligenko, dyrektor ds. bezpieczeństwa informacji (CISO) w Nova Digital (Nova Group).
We współczesnym świecie cyberzagrożeń tradycyjne metody ochrony danych stają się coraz mniej skuteczne. Jedną z innowacyjnych technologii, która zyskuje na popularności, jest decepcja, co można tlumaczyć jako "podstęp".
Czym jest decepcja?
Decepcja to technika wykorzystywana do wprowadzania w błąd cyberprzestępców poprzez tworzenie iluzji prawdziwych systemów, takich jak serwery, bazy danych, konta użytkowników, a nawet segmenty sieci. Celem jest sprowokowanie atakujących do zaatakowania tych fikcyjnych zasobów, jednocześnie umożliwiając obrońcom wykrywanie i reagowanie na próby włamań.
Pułapki tutaj mogą być aktywne lub pasywne. Aktywne pułapki wchodzą w interakcję z atakującymi, zbierając informacje o ich metodach i zamiarach. Pułapki pasywne jedynie powiadamiają systemy bezpieczeństwa o próbach uzyskania dostępu do fikcyjnych zasobów.
Jak działa decepcja?
Tworzenie aktywów: Pierwszym krokiem jest stworzenie fałszywych zasobów, które wyglądają jak prawdziwe, ale nie mają rzeczywistej wartości. Zasoby te mogą być umieszczone na różnych poziomach sieci i naśladować prawdziwe zasoby.
Rozmieszczenie wabików: Fałszywe zasoby są umieszczane w taki sposób, aby atakujący mogli uzyskać do nich dostęp. Może to obejmować fałszywe pliki, foldery, konta użytkowników i inne zasoby, które zwykle są interesujące dla atakujących. Ponadto różnorodność typów dystrybuowanych wabików sieciowych znacznie zwiększa prawdopodobieństwo zainteresowania atakującego i wydłuża czas poświęcany na zbieranie i analizowanie informacji o infrastrukturze.
Monitorowanie i reagowanie: po umieszczeniu pułapek systemy cyberbezpieczeństwa aktywnie monitorują je pod kątem prób uzyskania dostępu. W przypadku wykrycia podejrzanej aktywności systemy bezpieczeństwa mogą automatycznie reagować, blokując intruzów i zbierając informacje o ich działaniach.
Analiza i doskonalenie: Zebrane dane są analizowane w celu zidentyfikowania nowych metod ataków i ulepszenia mechanizmów obronnych. Pozwala to stale podnosić poziom bezpieczeństwa i skuteczniej przeciwdziałać nowym zagrożeniom.
Zalety technologii decepcji:
Wykrywanie ukrytych zagrożeń. Jedną z głównych zalet decepcji jest jej zdolność do wykrywania zagrożeń, które mogą pozostać niewykryte przez tradycyjne metody ochrony. Fałszywe alarmy (false positives) mogą być wykorzystywane do wykrywania napastników, którzy już przeniknęli do sieci i znajdują się w fazie rozpoznania.
Zmniejszenie liczby fałszywych alarmów. Niektóre systemy bezpieczeństwa generują dużą liczbę fałszywie pozytywnych alarmów, co może utrudniać zespołom ds. cyberbezpieczeństwa wykrywanie i reagowanie. Decepcja pomaga zmniejszyć liczbę takich alertów, ponieważ fałszywe zasoby są specjalnie zaprojektowane do wykrywania intruzów, a nie normalnej aktywności użytkownika.
Zabezpieczenie krytycznych zasobów. Dzięki podstępowi można skierować atakujących na fałszywe cele, odwracając ich uwagę od krytycznych zasobów. Pozwala to zyskać czas na wykrycie i zneutralizowanie zagrożeń, zanim zdążą wyrządzić szkody.
Gromadzenie danych na temat metod ataku. Decepcja pozwala zbierać cenne informacje o metodach i narzędziach wykorzystywanych przez atakujących. Umożliwia to lepsze zrozumienie ich działań i ulepszenie mechanizmów obronnych w celu przeciwdziałania nowym zagrożeniom.
Poprawa ogólnego poziomu bezpieczeństwa. Wdrożenie decepcji pomaga stworzyć wielopoziomowy system ochrony, który obejmuje różne metody wykrywania i reagowania na zagrożenia. Dzięki temu ogólny system cyberbezpieczeństwa jest bardziej odporny i skuteczny.
„Technologia decepcji jest więc potężnym narzędziem w walce z cyberzagrożeniami. Uzupełnia tradycyjne metody zabezpieczeń, zapewniając nowy poziom bezpieczeństwa i umożliwiając wczesne wykrywanie ataków. Inwestując w decepcję, firmy mogą znacznie poprawić swoją cyberobronę i zapewnić bezpieczeństwo swoich danych i infrastruktury." - Oleg Poligenko
Jednym z produktów, który zapewnia wszystkie wyżej wymienione korzyści płynące z wykorzystania narzędzi deception w praktyce jest platforma decepcji Labyrinth. To oparte na maszynach wirtualnych rozwiązanie jest szybkie do wdrożenia i łatwe do skalowania. Szeroka gama różnych pułapek dostępnych domyślnie obejmuje nie tylko symulacje systemów IT, ale także pułapki IoT i OT/SCADA. Większość symulacji jest aktywna, co nie tylko pozwala na otrzymywanie powiadomień o próbach nielegalnego dostępu do zasobów sieci, ale także znacznie wydłuża czas i wysiłek, jaki atakujący poświęcają na zbieranie i analizowanie informacji o infrastrukturze IT. Możliwe jest również dostosowanie i tworzenie własnych typów pułapek, aby uzyskać jak najlepsze imitacje zasobów.
Można również wyróżnić typ wabika Universal Web Point, który jest aktywną imitacją zasobów sieciowych z dodatkiem luk w zabezpieczeniach. Fikcyjne interfejsy internetowe Universal Web Point są tworzone w ciągu kilku minut, są nie do odróżnienia od prawdziwych i zawierają dodatkowe luki, które wabią atakujących w pułapkę.
Interfejs platformy jest prosty i intuicyjny, a informacje o zdarzeniach prezentowane są zarówno w formie tabelarycznej, jak i jako mapa interakcji, co znacznie upraszcza badanie incydentów. Wbudowane możliwości interakcji z narzędziami SIEM, EDR i NGFW ułatwiają integrację decepcji z istniejącym systemem cyberbezpieczeństwa przedsiębiorstwa.