Технология обмана (также технология обмана и нарушения ) — это категория механизмов защиты кибербезопасности , которые обеспечивают раннее предупреждение о потенциальных атаках кибербезопасности и оповещают организации о несанкционированной активности. Продукты технологии обмана могут обнаруживать, анализировать и защищаться от атак нулевого дня и продвинутых атак, часто в режиме реального времени. Они автоматизированы, точны [1] и предоставляют информацию о вредоносной активности во внутренних сетях , которая может быть не видна другим типам киберзащиты. Технология обмана направлена на обман злоумышленника, его обнаружение, а затем его поражение.
Технология обмана учитывает точку зрения человека-атакатора и метод эксплуатации и навигации сетей для идентификации и извлечения данных. Она интегрируется с существующими технологиями для обеспечения новой видимости внутренних сетей, обмена высоковероятностными оповещениями и разведданными об угрозах с существующей инфраструктурой.
Технология обмана автоматизирует создание ловушек (приманок) и приманок, которые стратегически интегрированы среди существующих ИТ-ресурсов. Эти приманки обеспечивают дополнительный уровень защиты для предотвращения атак злоумышленников, которые взломали сеть. Ловушками могут быть ИТ-активы, которые используют подлинное лицензионное программное обеспечение операционной системы или эмулируют различные устройства, такие как медицинские приборы , банкоматы (ATM), системы розничной торговли , коммутаторы, маршрутизаторы и многое другое. С другой стороны, приманки обычно состоят из реальных ресурсов информационных технологий, таких как файлы разных типов, которые размещаются на реальных ИТ-активах . Благодаря прогрессу в области кибербезопасности программы технологий обмана становятся все более проактивными в подходе и выдают меньше ложноположительных оповещений. Цель состоит в том, чтобы точно определить намерение злоумышленника и его тактику, технику и процедуру. Эта информация позволит эффективно реагировать с платформ технологий обмана. [2]
Проникнув в сеть, злоумышленники стремятся установить бэкдор , а затем использовать его для идентификации и извлечения данных и интеллектуальной собственности. Они начинают горизонтальное перемещение по внутренним VLAN и почти сразу же «сталкиваются» с одной из ловушек. Взаимодействие с одной из этих «приманок» вызовет оповещение. Эти оповещения имеют очень высокую вероятность и почти всегда совпадают с продолжающейся атакой. Обман предназначен для того, чтобы заманить злоумышленника — злоумышленник может посчитать это ценным активом и продолжить, внедряя вредоносное ПО . Технология обмана обычно позволяет проводить автоматизированный статический и динамический анализ этого внедренного вредоносного ПО и предоставляет эти отчеты посредством автоматизации персоналу по операциям по безопасности. Технология обмана также может идентифицировать с помощью индикаторов компрометации (IOC) подозрительные конечные точки, которые являются частью цикла компрометации. Автоматизация также позволяет проводить автоматизированный анализ памяти подозрительных конечных точек, а затем автоматически изолировать подозрительные конечные точки.
Устройства Интернета вещей (IoT) обычно не сканируются традиционной глубокой защитой и остаются главными целями для злоумышленников внутри сети. Технология обмана может идентифицировать злоумышленников, перемещающихся по сети в пределах этих устройств.
Интегрированные готовые устройства, которые используют встроенные операционные системы , но не позволяют сканировать эти операционные системы или защищать их встроенным программным обеспечением для обнаружения конечных точек или вторжений, также хорошо защищены с помощью развертывания технологии обмана в той же сети. Примерами являются системы управления технологическими процессами (SCADA), используемые во многих производственных приложениях по всему миру. Технология обмана была связана с обнаружением Zombie Zero [ 3] — вектора атаки . Технология обмана идентифицировала этого злоумышленника, использующего вредоносное ПО, встроенное в считыватели штрихкодов , которые были произведены за рубежом.
Медицинские устройства особенно уязвимы для кибератак в сетях здравоохранения. Как устройства, сертифицированные FDA , они находятся в закрытых системах и не доступны для стандартного программного обеспечения киберзащиты. Технология обмана может окружить и защитить эти устройства и идентифицировать злоумышленников, использующих бэкдор-размещение и эксфильтрацию данных. Недавние задокументированные кибератаки на медицинские устройства включают рентгеновские аппараты , КТ-сканеры , МРТ- сканеры, анализаторы газов крови , системы PACS и многое другое. Сети, использующие эти устройства, могут быть защищены технологией обмана. Этот вектор атаки, называемый захватом медицинских устройств или medjack, по оценкам, проник во многие больницы по всему миру. [4]
Специализированные продукты обманных технологий теперь способны противостоять росту числа программ-вымогателей , обманывая программы-вымогатели и заставляя их атаковать подставной ресурс, одновременно изолируя точки заражения и оповещая команду разработчиков программного обеспечения киберзащиты. [5]
Honeypots были, пожалуй, первой очень простой формой обмана. Honeypot появился просто как незащищенный ресурс информационных технологий и представил себя привлекательным образом для потенциального злоумышленника, уже находящегося в сети. Однако большинство ранних honeypots демонстрируют проблемы с функциональностью, целостностью и общей эффективностью в достижении этих целей. Ключевой трудностью было отсутствие автоматизации, которая позволяла бы широкомасштабное развертывание; стратегия развертывания, направленная на охват предприятия, где требовалось защищать до десятков тысяч VLAN, не была бы экономически эффективной при использовании ручных процессов и ручной настройки.
Разрыв между традиционными honeypots и современными технологиями обмана со временем сократился и будет продолжать сокращаться. Современные honeypots представляют собой нижний предел пространства технологий обмана сегодня.
Традиционные технологии киберзащиты, такие как брандмауэры и защита конечных точек, в первую очередь направлены на защиту периметра, но они не могут сделать это со 100% уверенностью. Эвристики могут обнаружить злоумышленника в сети, но часто генерируют так много оповещений, что критические оповещения пропускаются. На крупном предприятии объем оповещений может достигать миллионов оповещений в день. Сотрудники службы безопасности не могут легко обрабатывать большую часть активности, однако для компрометации всей сети достаточно всего одного успешного проникновения. Это означает, что киберпреступники могут проникать в эти сети и беспрепятственно перемещаться в течение месяцев, похищая данные и интеллектуальную собственность .
Технология обмана выдает оповещения, которые являются конечным продуктом бинарного процесса. Вероятность по сути сводится к двум значениям: 0% и 100%. Любая сторона, которая пытается идентифицировать, пинговать , войти, просмотреть любую ловушку или использовать приманку, немедленно идентифицируется как вредоносная по этому поведению, потому что любой, кто касается этих ловушек или приманок, не должен этого делать. Эта уверенность является преимуществом по сравнению со многими посторонними оповещениями, генерируемыми эвристикой и основанными на вероятности.
Лучшая практика показывает, что технология обмана не является автономной стратегией. Технология обмана является дополнительным совместимым слоем к существующей эшелонированной киберзащите. Интеграция с партнерами делает ее наиболее полезной. Цель состоит в том, чтобы добавить защиту для самых продвинутых и изощренных злоумышленников, которые успешно проникнут через периметр.