Loading
Podczas gdy decepcja w naszym codziennym życiu często kojarzy się z oszustwem, kłamstwem i podstępem, znalazła ona swoje zastosowanie w nowoczesnych praktykach i podejściach do cyberbezpieczeństwa.
W swej istocie cyber decepcja wiąże się z tworzeniem środowiska, które wykracza poza rzeczywistą sieć organizacji, tworząc w ten sposób iluzje cennych zasobów i słabych punktów w sieci, aby przyciągać, wykrywać i analizować ataki. Wiąże się to z tworzeniem przekonującej iluzji, która zmusza atakujących do ujawnienia swojej obecności. Nie ma to nic wspólnego z twierdzami i murami, ale raczej z mirażami i zapadniami. Wyobraź to sobie jako wirtualną wersję gry w kotka i myszkę, w której to ty zawsze jesteś kotem.
Przykład takiego środowiska na bazie platformy decepcji Labyrinth:
Nie jest tajemnicą, że wabiki są podstawą każdego rozwiązania na bazie technologii decepcji. Nie są to tylko proste imitacje istniejących systemów, ale często są to skomplikowane, dynamiczne repliki, które mogą zaangażować atakujących. Główne podejścia do ich tworzenia obejmują emulację Full OS i OS/Service, które zostały opisane w jednym z naszych poprzednich artykułów ( Emulacja Full OS vs. OS/Service ).
Jednak decepcja to coś więcej. Jednym z kluczowych elementów decepcji jest wyrafinowany i dopracowany system ostrzegania. Gdy atakujący wchodzi w interakcję z przynętą lub fałszywą informacją, system uruchamia alarm. Piękno tego rozwiązania polega na tym, że te alerty te są inteligentnie tworzone poprzez analizę i korelację zdarzeń pochodzących z wabików, unikając nadmiaru fałszywych alarmów, które nękają tradycyjne systemy bezpieczeństwa. W ten sposób, posiadając wysoce interaktywne wabiki, które zbierają różne zdarzenia i łączą je z korelacją i alarmowaniem, osiągasz arcydzieło precyzji i wydajności.
Mówiąc o przypadkach użycia tego narzędzia, oto jedna z jego głównych zalet: jego wielowektorowa natura. Nie jest ono wybredne, jeśli chodzi o rodzaj ataku. Niezależnie od tego, czy jest to atak dnia zerowego, zaawansowane trwałe zagrożenia (APT), czy niezadowolony pracownik, technologia decepcji wykrywa je. Ta wszechstronność ma kluczowe znaczenie w środowisku, w którym wektory ataków stale ewoluują. Ponadto technologia ta umożliwia przechwytywanie danych kryminalistycznych dotyczących ataków w czasie rzeczywistym, zapewniając nieoceniony wgląd w taktyki, techniki i procedury atakujących (TTP). Informacje te mają kluczowe znaczenie dla wzmocnienia istniejących środków bezpieczeństwa i przygotowania się na pojawiające się zagrożenia.
Dzięki doświadczeniu w technologii decepcji, nasz zespół odkrył kolejną korzyść, która nie jest oczywista na pierwszy rzut oka: decepcja pozwala zespołom IT i zespołom ds. bezpieczeństwa (SOC) szybko zidentyfikować istniejące wady konfiguracji sieci i nieznane części infrastruktury. Jeden z takich przypadków miał miejsce, gdy jeden z naszych klientów skontaktował się z naszym zespołem pomocy technicznej w sprawie alarmu wskazującego na masowe skanowanie sieci i próby łączenia się z urządzeniami z systemem Windows 10 za pośrednictwem protokołu RDP. Okazało się, że była to jedna z ukrytych funkcji ich systemu EDR.
We współczesnym krajobrazie cyberbezpieczeństwa technologia decepcji nie jest tylko narzędziem, ale raczej niezbędnym sposobem wprowadzania w błąd. Co najważniejsze, technologia decepcji nie jest już tylko dla dużych przedsiębiorstw i instytucji. Nawet małe firmy z ograniczonymi zasobami mogą wykorzystać to potężne narzędzie. Wybór decepcji jako fundamentu swojej postawy bezpieczeństwa, nawet przed tradycyjnymi narzędziami ochrony, może zmienić zasady gry – tworzy proaktywne podejście, które przyniesie znaczące korzyści.
O autorce
Anastasiia Dorosh jest kierownikiem zespołu ds. wdrażania cyberbezpieczeństwa w Labyrinth Security Solutions, m.in. odpowiada za wdrażanie platformy Labyrinth Deception w instalacjach testowych i produkcyjnych. Przed dołączeniem do zespołu Labyrinth, Anastasia pracowała jako inżynier NOC i DevOps w firmach technologicznych.