Игра на опережение: как при помощи ложной инфраструктуры можно разоблачить нарушителя

Киберпреступность с каждым годом набирает обороты. По данным компании "EdgeЦентр", число кибератак в России в 2023 году увеличилось до 300% по сравнению с 2022 годом. Целевые атаки становятся сложнее, так как злоумышленники совершенствуют схемы для целенаправленного проникновения в инфраструктуру. И чем позднее ИБ-служба обнаружит киберпреступника, тем труднее будет устранить возможные негативные последствия для работы компании. Поэтому необходимо применять проактивный подход к обнаружению хакерской активности до того, как конфиденциальные данные организации будут скомпрометированы. Как разоблачить нарушителя на ранних этапах атаки, рассказал Евгений Грязнов, продукт-менеджер R-Vision.

Ложная инфраструктура для защиты компании

Злоумышленники преследуют разные цели, но чаще всего они связаны с кражей критических активов компании для последующей перепродажи. Например, хакерская группировка может получить доступ к корпоративной сети, чтобы перепродать ключи входа другим киберпреступникам, которые специализируются на поиске и получении ценных данных из взломанной сети. Однако современный стек средств информационной безопасности позволяет выявлять активность злоумышленника до нанесения серьезного ущерба.

Например, технология Deception - одна из проверенных систем выявления злоумышленников как на ранних этапах атаки, так и для поиска новых технологий взлома. Она позволяет создавать ложные узлы, которые не участвуют в реальном обмене данными, но полностью имитируют элементы корпоративной инфраструктуры. Например, ложные файловые серверы с "конфиденциальной" информацией и "маячки", определяющие адрес компьютера, с которого был открыт документ. Также есть ложные сетевые сервисы: уязвимые веб-серверы, почтовые серверы без аутентификации, SSH-серверы. И ложные почтовые адреса, спрятанные внутри веб-страниц. Кроме того, часто используются технологии для маскировки адресов "белое на белом". Когда человек не видит адрес электронной почты при посещении сайта, а специализированное ПО собирает такие адреса через просмотр кода страниц. Поэтому если на такой "скрытый" адрес начинают приходить письма, то они сразу же считаются нелегитимными. Все ложные сервисы, документы и серверы не участвуют в реальной работе компании и применяются исключительно как средства приманки злоумышленников.

Важным элементом любой современной инфраструктуры являются личные данные пользователей: ФИО, должность, почтовый адрес и телефон. Их необходимо защищать от компрометации и нелегитимного использования, поэтому сейчас развиваются средства построения ложного слоя учетных данных. Например, можно создать отдельные базы данных "сотрудников", которые в случае попытки несанкционированного доступа или превышения определенного лимита на количество получаемых данных будут выдаваться вместо настоящих сведений.

Так использование ложной инфраструктуры в сети позволяет бизнесу решить сразу несколько задач:

• Помогает оперативно реагировать на попытки доступа к ложным данным. Поскольку они не используются в реальной работе, то каждый такой факт доступа может рассматриваться как событие информационной безопасности.
• Замедляет и путает злоумышленника, который уже проник в сеть и проводит разведку, а также ищет данные и сервисы, через которые можно получить дополнительные привилегии в сети и продвинуться на новые узлы.
• Борется с целевыми утечками в прикладных программах при помощи ложных данных. Например, при попытке скачать максимальное количество пользовательских или персональных данных, система предложит злоумышленнику поддельные сведения.

Из чего состоит ложная инфраструктура

Ложная инфраструктура состоит из трех важных компонентов. Один из них - это ложные сервисы и данные. Второй - ложные учетные записи. И самый важный компонент, кардинально отличающий современные Deception, - приманки. Приманки - это все, что может заинтересовать злоумышленника. Поскольку современные злоумышленники вынуждены работать в среде, которая наполнена защитными решениями, хакеры уже не могут позволить себе просто просканировать сеть в поисках интересующих сервисов или серверов. Современный киберпреступник похож на профессионального археолога: найдя зацепку, он максимально аккуратно начинает изучать и собирать по кусочкам пространство вокруг.

Данные, сохраненные на компьютере, могут включать пароли, которые были введены в браузерах или специализированном ПО, адреса посещаемых веб-страниц, адреса SSH-серверов, подключенные к сети диски и скрипты резервного копирования, а также файлы с логинами и паролями, которые могут находиться на рабочем столе. Всю эту информацию злоумышленник собирает и анализирует пассивно, создавая карту сети и доступных сервисов. Цель Deception-решений - размещение максимально достоверных данных в популярных у злоумышленника местах поиска.

Здесь следует соблюдать баланс между привлекательностью и реалистичностью. Если разместить прямо на рабочем столе файл вроде "Пароль доменного администратора. txt", то это скорее отпугнет, чем привлечет хакера. Однако у современных злоумышленников есть специальные инструменты, позволяющие выявлять ложные учетные записи по ряду косвенных признаков. Поэтому создаваемые Deception-приманки должны учитывать такие инструменты и обходить эти проверки, чтобы быть максимально реалистичными и не вызвать подозрения у хакера.

Кроме выбора защитного решения, необходимо провести анализ потенциальных точек входа в инфраструктуру. Основной принцип: если устройство может стать первоначальной точкой входа, то его нужно покрыть защитным слоем приманок. Также потребуется разработка полноценной модели угроз, так как точками чаще всего становятся персональные устройства пользователей. Именно на них следует размещать приманки.

Внедрение в контур защиты компании

Современные Deception-решения позволяют не только создавать ложную инфраструктуру, но и гибко выбирать степень ее взаимодействия с реальной инфраструктурой. В большинстве крупных компаний существуют строгие регламенты взаимодействия решений с элементами инфраструктуры. Несмотря на глубокую интеграцию ложной инфраструктуры и реальной, такой подход безопасен и не влияет на средства защиты. Большинство решений умеют распространять приманки в безагентском режиме, поэтому не требуют установки специального программного обеспечения. Для внедрения Deception достаточно выделить необходимое количество адресов для размещения ловушек и приманок.

Лучше всего, чтобы установку и настройку проводили только ИБ-специалисты. Ложный слой - полноценная инфраструктура, которая имеет сетевые адреса и сервисы, поэтому для максимальной функциональности системы следует ограничить круг лиц, знающих о ее существовании. Так как современная сеть немыслима без средств инвентаризации сетевых адресов и автоматизированных сканеров безопасности, современные решения по созданию ложного слоя умеют "прятаться" от них. Deception-решения хорошо показывают себя на пентестах, так как данный класс решений позволяет фиксировать факт тестирования и детектирует технику. Например, на одном из пилотов решение обнаружило внутреннего аудитора ИБ, который проводил проверку машин на соответствие политикам и не знал об установленном решении. Поэтому, когда он обнаружил на машине ложные учетные данные к сервису и проверил их работоспособность, то был сразу же обнаружен коллегами из SOC (Security Operations Center).

Решения, с которыми интегрируется Deception

Поскольку современные Deception-решения обладают высокой степенью интерактивности, их можно использовать и для сбора форензики (необходимых данных для работы аналитика ИБ). Например, собирать уникальные контрольные суммы всех загружаемых файлов, передавая их в песочницу или в Threat Intelligence (данные киберразведки) системы. Часто бывает, что обнаруженные Deception-инструменты находятся по характерным индикаторам компрометации и в других сегментах сети.

Вторым полезным вариантом интеграции является интеграция с системой SIEM (Security Information and Event Management) или SOAR (Security Orchestration, Automation and Response). Собранные данные, которые могут в том числе и включать форензику с клиентских хостов, в момент атаки автоматически добавляются в созданный инцидент. При этом инцидент уже включает все необходимые для аналитика ИБ данные, что позволяет ему проводить расследование, не переключаясь между различными вкладками и системами.

Кроме этого, интеграция с SIEM-системами позволяет поставить на мониторинг все созданные для ложной инфраструктуры учетные данные. Например, злоумышленник нашел приманку на конечном хосте, но не стал проверять ее на ловушке, а попробовал применить потом к реальной инфраструктуре. В этом случае Deception-решение часто не способно обнаружить такой факт использования ложных учетных данных. Однако SIEM-система это обнаружит и отдельно отметит, что используемые для входа данные были на самом деле данными ложного слоя инфраструктуры.

В заключение: технологии Deception являются важным и эффективным инструментом для обеспечения информационной безопасности. Они обеспечивают обнаружение злоумышленников на ранних этапах, дополняют традиционные средства обнаружения и связывают их в единую систему. Используя Deception, организации могут создавать более надежные системы безопасности, способные оперативно реагировать на угрозы и предотвращать инциденты.