17 июня 2023

Для чего необходимы технологии типа HoneyPot и Deception

Для чего необходимы технологии типа HoneyPot и Deception

Нет технологий, которые могли бы обеспечить стопроцентный уровень защиты от Киберугроз. В постоянной борьбе нападающих и защищающихся всегда появляются бреши в системах информационной безопасности, даже самых продвинутых:

  • Антивирус – Обфускация
  • EDR – Применение низкоуровневых захватов
  • Межсетевой экран – Инкапсуляция атакующего трафика
  • Классическое шифрование – Квантовые технологии
  • Появление новых уязвимостей
  • Наличие человеческого фактора

Рано или поздно Компания будет подвергаться более эффективным атакам, ведущим к достижению целей злоумышленников.

В данном случае нам необходимо выявить атаку, задержать продвижение злоумышленника, проанализировать его техники и остановить. Для этого и предназначен класс решений HoneyPot и Deception. Системы HoneyPot имитируют реальные сервисы и объекты инфраструктуры, провоцируя злоумышленника на взаимодействие с целью изучения его деятельности с задержкой продвижения и последующей остановкой.  

На данный момент системы класса HoneyPot и Deception обзавелись широким спектром применяемых технологий:

  • Сервисные ловушки
  • Ложные формы аутентификации
  • Антифишинговые ловушки
  • Конструкторы ловушек под уязвимости
  • Web – ловушки
  • Поддельные токены доступа
  • Документы с маячками

По сути, при грамотном использовании данных технологий, вся сеть и информационные системы превращаются в ловушку для злоумышленника.

На примере решения HoneyCorn разберём возможный дизайн системы ловушек и иллюзий для крупной корпоративной сети. Для этого опишем различные сетевые зоны в разрезе используемых в них типовых ловушек:

  • Интернет

Для данной локации используются ловушки, нацеленные исключительно на изучение техник и обогащение SOC центра новыми данными о возможных угрозах. Ложные формы аутентификации собирают словари логинов и паролей, с которыми атакуют в данным момент, для формирования исключений и оповещения пользователей. Ловушки типа антифишинг позволяют выявлять целенаправленные кампании по таргетированным и фишинговым рассылкам. 

  • Периметр

Для периметра характерны ловушки с «низким уровнем чувствительности» — это двухступенчатые ловушки, например, на основе уязвимости Proxylogon (CVE-2021-2685), когда злоумышленник для эффективной эксплуатации должен вначале увести учётку либо использование поддельных Web страниц, встраиваемых в реальные проекты.

  • DMZ

В данном сегменте хорошо работают ложные сети, построенные на основании ловушки в виде сетевого оборудования. В данном случае злоумышленник с лёгкостью получает доступ к межсетевому экрану внутри DMZ с последующим доступом в ложную сеть.

  • Локальная сеть

Эффективные техники для локальной сети — это анализаторы сетевой активности, антиботнет ловушки и высоко интерактивные ловушки по типу ложного контроллера домена с критической уязвимостью, например, Zerologon (CVE-2020-1472).

  • Специализированные сети

Основной типов ловушек в специализированных сетях – это имитация специализированных объектов (Scada систем, банкоматов, АРМ КБРН, конфиденциальных объектов и т.д.). Так же могут использоваться анализаторы сетевой активности, антиботнет ловушки и ложное сетевое оборудование.

  • Конечные точки

Для конечных точек используются поддельные токены доступа, ведущие на ловушки и/или передаваемые в SIEM для обогащения правил корреляции.

Несмотря на эффективность технологий HoneyPot и широкий диапазон применяемых ловушек, при внедрении данного типа систем необходимо проверять работоспособность методов и иметь готовый план реагирования на сработки.

 Работоспособность проверяется двумя способами: проверкой жизнеспособности (сетевая доступность, активность сервисов и доменов, проверка поступаемых событий) и проверкой правильности настроек (имитация реальных атак для проверки реагирования).

По итогам внедрения системы проводятся Киберучения. Кроме проверки реакции системы на атаки проходит обучение службы информационной безопасности корректному реагированию на инциденты. В рамках учений команда анализирует атаки и принимает решения по блокированию действий злоумышленника и резервации скомпрометированных сетей и объектов инфраструктуры.

Системы HoneyPot и Deception являются эффективным инструментом для выявления как сложных, нетиповых, так и автоматизированных атак на компанию. Продукт собирает необходимые данные для обогащения SOC центров без ложноположительных инцидентов. Однако при внедрении технологии необходимо быть готовым к выявлению сетевых атак на разных типах ловушек и разрабатывать планы эффективного реагирования.  

Читайте также

7 июня 2024 Результаты независимого обзора системы HoneyCorn
Результаты независимого обзора системы HoneyCorn

Результаты независимого тестирования HoneyCorn

Читать статью
2 апреля 2024 Концепция HoneyCorn – Цена риска и обман злоумышленника
Концепция HoneyCorn – Цена риска и обман злоумышленника

Позиционирование и эффективность решения

Читать статью
20 марта 2024 Deception от HoneyCorn и InfoDiode обеспечат безопасную передачу данных об инцидентах в SOC
Deception от HoneyCorn и InfoDiode обеспечат безопасную передачу данных об инцидентах в SOC

Компании АМТ-ГРУП и HoneyCorn объявляют о завершении процесса тестирования на совместимость

Читать статью
16 марта 2024 Конференция АСУ ТП КВО
Конференция АСУ ТП КВО

Наша команда приняла участие в конференции АСУ ТП КВО

Читать статью
13 февраля 2024 Обновление HoneyCorn. Перечень важных функциональных изменения:
Обновление HoneyCorn. Перечень важных функциональных изменения:

Обновление HoneyCorn

Читать статью
18 октября 2023 HoneyCorn создаёт ложные сети спрятанный за PAM: решение интегрировано с системой PAM СКДПУ
HoneyCorn создаёт ложные сети спрятанный за PAM: решение интегрировано с системой PAM СКДПУ

Решение HoneyCorn интегрировано с PAM СКДПУ

Читать статью
6 октября 2023 Видеозапись вебинара
Видеозапись вебинара

Оценка эффективности Центров мониторинга информационной безопасности

Читать статью
3 октября 2023 Вебинар — оценка эффективности Центров мониторинга информационной безопасности
Вебинар — оценка эффективности Центров мониторинга информационной безопасности

Вебинар - оценка эффективности системы информационной безопасности

Читать статью
14 августа 2023 Конкурс «Лучшая ловушка для хакера – мой первый HoneyPot»
Конкурс «Лучшая ловушка для хакера – мой первый HoneyPot»

Специально для аудитории сообщества Codeby компания HoneyCorn объявляет конкурс на лучшую идею для ловушки

Читать статью
14 июля 2023 HoneyPot — альтернативная технология противодействия Кибератакам
HoneyPot — альтернативная технология противодействия Кибератакам

Методологии эффективного использования HoneyPot.

Читать статью
Видео

Наши видео

Работа с приманкой RDP
Эксплуатация Shellshock
Ловушка обзора сетевых соединений
Конструктор ловушек Windows — эксплуатация Zerologon
security-safe Смотреть больше на Rutube