В последние годы Россия стала для хакеров тренировочной площадкой. Сотрудничества с Интерполом больше нет, а значит злоумышленники, скорее всего, наказаны не будут.
Только в последние полгода от кибератак пострадали: МТС, онлайн-сервисы ВГТРК, сеть магазинов «Верный»… И будет ошибкой думать, что киберпреступников интересуют лишь такие гиганты. В половине случаев их целью становится малый и средний бизнес.
Вот пример агропромышленного комплекса «Кабош» в Великих Луках. 3 июля 2024 года из-за атаки хакеров предприятие встало. «Мы месяц жили при голубых экранах, у нас было остановлено все производство, мы не могли грузить товар, выкладывать накладные, мы ничего не могли. С нас вымогали деньги», — рассказывает генеральный директор комплекса Дмитрий Матвеев в интервью ПЛН FM.
И дело не в том (или не только в том), что та или иная компания не сильно заботится о кибербезопасности. Вы можете внедрить все классические системы защиты, реализовать контроль удаленных пользователей, сегментировать сеть, выстроить процесс управления уязвимостями, потратить массу времени и сил, обучая сотрудников безопасному поведению в Сети и цифровой гигиене… Но этого все равно окажется недостаточно.
Сегодня ни одна организация не может быть гарантированно защищена от взлома. А если хакер проник в инфраструктуру, могу с уверенностью сказать: он почти наверняка достигнет цели. Если только в дело не включится технология deception.
Что такое deception и как это работает
Deception — технология киберобмана. Она создает поддельную IT-инфраструктуру организации, максимально схожую с настоящей. Ее образуют ложные активы и данные по всей сети компании: фейковые серверы с «секретной» информацией, сервисы, учетки сотрудников, почтовые адреса, которые могут быть не видны обычному пользователю, поскольку зашиты в коде страниц.
Задача deception — сбить злоумышленника с толку и увести от реальных целей. Для этого она расставляет ловушки и приманки, предлагая хакеру то, что, скорее всего, сможет его заинтересовать.
Приманками, в частности, служат ложные артефакты на конечных устройствах реальных сотрудников компании, которые хакеры используют для повышения своих привилегий и развития кибератаки. Это могут быть, например, учетные записи, сохраненные пароли, конфигурационные файлы в памяти операционных систем, файловых систем или браузерах.
Задача deception — заставить взломщика поверить, что он и вправду проник в систему. И вот сейчас, например, проводит важный маневр с целью повышения привилегий до администратора сети. Хотя на самом деле он просто ходит вокруг да около, никаких дополнительных прав не имея и никакого воздействия на работу подлинной инфраструктуры компании не оказывая.
Технологии Deception. Новый стандарт в области обнаружения вторжений киберпреступников
Но deception способна не только запутать киберпреступника. Интегрируя технологию киберобмана с SIEM, можно отследить действия хакера внутри фейковой системы. Используя ее вместе с IPS и IDS, — реагировать на них в реальном времени. Технология создает для IT-инфраструктуры предприятия еще один слой защиты — уже не по периметру, а внутри нее.
Почему важны технологии киберобмана?
Сегодня deception считается одним из важных элементов кибербезопасности и обеспечивает ряд ключевых преимуществ.
Позволяет вовремя обнаружить и устранить угрозу. Проникнув в систему, хакер может долго оставаться незамеченным, собирая данные и изучая систему, прежде чем нанести удар. Deception лишает его такой возможности: любое взаимодействие с подменной инфраструктурой дает сигнал о том, что периметр нарушен, враг внутри. Специалисты по кибербезопасности получают важное преимущество перед злоумышленником — время. Уменьшает число ложных срабатываний. Вряд ли сотрудники компании будут взаимодействовать с приманками. Позволяет изучить, как работают злоумышленники. Чтобы в дальнейшем более эффективно противостоять их атакам. Помогает выяснить, какие активы для киберпреступников наиболее интересны. Можно предположить, что это платежные данные пользователей, пароли к учетным записям ключевых фигур компании… Но, может быть, хакеры охотятся и за чем-то еще? Изучая их поведение, можно найти эти ключевые узлы и защитить их дополнительно. Сокращает пребывание взломщика внутри системы. Его могут выдворить специалисты по кибербезопасности. Или же он уйдет сам, обнаружив тщетность своих усилий. Выявляет слабые места инфраструктуры. «Обманка» практически идентична подлиннику. Так что и вероятные точки проникновения у них будут одни и те же. Позволяет уменьшить бюджет на кибербезопасность. Внедрение deception снижает необходимость в использовании ряда других механизмов обнаружения и защиты.
Deception-технологии в России в условиях санкций
Технологии киберобмана имеют довольно долгую историю. В том числе и в России. Я узнал о них в далеком 2015-ом году от молодой команды разработчиков, «пилившей» для российского рынка этот тогда еще принципиально новый продукт. Помню, подумал: «Вау! Это действительно круто и скоро станет мейнстримом». Сегодня в сложившихся реалиях все меньше отечественных компаний стараются использовать зарубежное программное обеспечение из недружественных государств. Обновить его невозможно. А использовать без обновления может быть опасно: выпуская очередную «заплатку», разработчики как бы подсвечивают уязвимости ПО, которые могут взять на заметку хакеры. По данным ЦСР, объем продаж ПО для кибербезопасности от иностранных вендоров в России уже существенно снизился, и к 2026-му году будет составлять не более 5%.
Не все отечественные разработки дотягивают до зарубежных. Но системы управления ложными целями, в том числе технологии deception оцениваются экспертами высоко.