Обмануть хакеров: как работает технология Deception

Атаки киберпреступников становятся все более изощренными, а их аппетиты растут: в 2019 году средняя сумма выкупа за разблокировку компьютеров уже превысила $300 000. И не факт, что после уплаты ключ вообще пришлют. Но не стоят на месте и защитные технологии. Одна из новейших и самых эффективных — это Deception (от англ. обман), которая берет на вооружение принцип работы самих хакеров. 

Хакерские атаки часто базируются на социальной инженерии. Злоумышленники подделывают письма, группы в социальных сетях, страницы интернет-магазинов и даже целые сайты. Их цель — заставить жертву запустить на компьютере вредоносный файл или отправить свои аутентификационные данные. Попросту говоря, они обманывают человека. Технология Deception берет на вооружении этот же принцип — она обманывает самих хакеров. И делает это весьма успешно. Аналитики Gartner поместили Deception в свой радар новейших технологий безопасности, по их оценке она проста в развертывании и при этом эффективна для обнаружения и устранения угроз в организациях любых размеров. 

Как это работает?

В сфере информационной уже давно применяется инструмент Honeypot (от англ. honeypot — горшочек меда). Это своеобразные ловушки, которые представляют собой ложные цели для хакера. Злоумышленник атакует такую приманку и тем самым выдает себя. Технология появилась еще в начале 90-х годов, постепенно эволюционировала, а Deception — ее последняя и самая продвинутая инкарнация.

Зачем нужны ложные цели? Атакуя их хакер попросту выдает себя. Все его действия записываются, что помогает в расследовании инцидента и укреплении системы безопасности в будущем. К тому же, вместо того, чтобы взламывать реальные цели, киберпреступник тратит свое время на приманку, давая фору службе безопасности. И, конечно, взлом ловушки не может нанести предприятию никакого ущерба. 

Но у такого метода есть и недостатки. Например, нужно отдельно настраивать каждую приманку, они не взаимодействуют с остальной сетью, хакер вообще может их не заметить и атаковать реальные цели. Поэтому на смену Honeypot и пришла технология Deception.

Решения Distributed Deception Platform (распределенная обманная платформа) или просто Deception на сегодняшний день являются передовыми средствами предотвращения кибератак на корпоративные сети. Они относятся к классу систем обнаружения вторжений, главная цель которых — выявлять вторжения в сеть. Но в отличие от большинства других технологий обнаружения, Deception не только выявляет проникновения, но и предотвращает ущерб, который они наносят. По сути, создается целая сеть ложных объектов (приманок), которая имитирует настоящую инфраструктуру. Там происходят сетевые события и процессы, гоняется трафик, добавляются и удаляются пользователи и пр. При этом приманки никак не взаимодействуют с реальными объектами и не влияют на работоспособность настоящей сети. А взаимодействовать с ними могут только злоумышленники (пользователям сети приманки недоступны), поэтому сообщение о таком событии — это свидетельство о совершающейся атаке.

Одно из главных преимуществ технологии Deception состоит в том, что эмулироваться может практически все. Речь идет как о простых компьютерах пользователей, серверах и бизнес-приложениях, так и о специализированных устройствах — POS-терминалах, медоборудовании, датчиках, умных устройствах и пр. Таким образом в сети можно расставить тысячи ловушек, причем шансов определить где настоящее устройство, а где приманка у хакеров нет практически никаких. К тому же, Deception-решения активно применяют машинное обучение, системы искусственного интеллекта и другие современные технологии. В результате поддельная сеть выглядит максимально реалистично независимо от того, на каком предприятии она работает. Если это банк, то будет имитироваться банковская инфраструктура вплоть до банкоматов. Если фирма, занимающаяся разработкой ПО — соответствующие сервера и приложения. В этом и заключается инновационность Deception-систем и именно поэтому они становятся практически непреодолимым барьером для киберпреступников. 

Но и это еще не все. Кроме непосредственно устройств обманные платформы могут генерировать различного рода поддельную информацию: базы данных, конфиденциальные документы, историю подключений, наборы учетных записей и логинов/паролей к ним. Такие приманки называются «хлебными крошками», они с одной стороны делают поддельную инфраструктуру максимально реалистичной, а с другой запутывают хакеров, которые тратят время на эти пустышки. Это еще один серьезный барьер на пути проникновения злоумышленников в настоящую сеть предприятия. 

Решения на базе технологии Deception умеют работать как с программами-агентами в составе, так и без них. Агенты устанавливаются на реальные компьютеры и сервера и выполняют ряд функций. Они собирают информацию о состоянии оборудования, имитируют сетевую активность, реагируют на инциденты и совершают другие действия, перечень которых достаточно велик.

Управляется система из одного места, туда же поступают отчеты о попытках вторжения и других подозрительных событиях. Атакованная приманка мгновенно сообщает администратору детали происшествия, например, используемые хакером адреса и порты, время вторжения, используемый протокол и т. д. А реагировать на инциденты можно как в ручном, так и в автоматическом режиме — все зависит от заданных настроек и параметров. 

Все это позволяет эффективно противостоять кибератакам на всех стадиях вторжения, а особенно на начальном этапе, когда время и фактор неожиданности находится на стороне хакеров. Попавшись на удочку ложных целей они уйдут в дебри поддельной инфраструктуры и этим выдадут себя, что даст время ИТ-команде компании предпринять необходимые меры для отражения атаки. 

Что получает клиент? 

Самое главное — высокую степень защиты от хакеров и вредоносного ПО при минимальном времени обнаружения атак. Подобные системы действительно очень трудно обходить, ведь хакер не знает, что он работает с приманкой, а не настоящим объектом. В отличие от большинства других систем безопасности, тут не бывает ложных срабатываний. Значит ИТ-команде не придется тратить время на выяснение причин события — можно сразу принимать соответствующие меры. К тому же, технология Deception интегрируется с большинством других систем безопасности (начиная от простого Windows Defender и заканчивая комплексными решениями корпоративного класса), поэтому не будет никаких конфликтов оборудования или ПО. Наоборот, киберзащита компании получит мощное усиление. 

Особая польза Deception-систем состоит в том, что они эффективны на ранних стадиях атаки. Если речь идет об обычном взломе, то тут киберпреступники еще не наносят много вреда — они собирают информацию и изучают сеть для более глубокого погружения. Но если это атака вируса-шифровальщика, то уже на ранней стадии компании может быть нанесен значительный урон. Не надо, наверное, объяснять, к чему это сводится — эпидемии WannaCry и NotPetya все прекрасно помнят. Так вот, технология Deception помогает избежать и этих неприятностей: атака шифровальщика на ложные цели не причинит урона реальной инфраструктуре. Поэтому обманные платформы на сегодняшний день считаются самыми эффективными, надежными и современными средствами для предотвращения атак вирусов-шифровальщиков. 

Еще одно преимущество Deception-систем — это простота развертывания и обслуживания. Решения на базе обманных технологий не требуют физических устройств, они быстро устанавливаются и настраиваются, а потребление ресурсов (как основными клиентами, так и агентами) сводится к минимуму — речь идет о десятых, если не сотых долях ресурсов процессора. Такой подход также позволяет легко протестировать систему перед покупкой и развертыванием. Проверка не требует сложных действий, можно просто установить продукт посмотреть, как он работает на примере собственной инфраструктуры, и только потом принимать решение о покупке. 

Высокая степень автоматизации снижает нагрузку на ИТ-команды. Deception-решение можно один раз централизовано настроить и просто следить за приходом уведомлений. Это отличается от подхода многих других защитных систем, где нужно настраивать множество параметров и следить за тем, все ли нормально работает. 

Краткий итог

Обманные технологии — это одно из самых современных и эффективных решений в области корпоративной кибербезопасности. Они позволяют обнаруживать угрозы и атаки на раннем этапе, эффективно их предотвращать и расследовать. Продукты на базе Deception уже применяются многими крупными компаниями по всему миру и вскоре станут обязательным средством в арсенале средств обеспечения безопасности любой организации. В Украине поставщиком решений Deceptive Bytes является компания Idealsoft.