Добрый день, друзья. Что такое технология обмана кибербезопасности? Взлом часто похож на рытье в сумке, не заглядывая внутрь. Если бы это была ваша сумка, вы бы знали, куда смотреть и на что похожи предметы. Вы можете протянуть руку и схватить ручку за считанные секунды, в то время как другой человек может схватить подводку для глаз.
Более того, они могут вызвать шум при поиске. Они будут рыться в сумке дольше, чем вы, а производимый ими шум увеличивает вероятность того, что вы их услышите. Если вы этого не сделали, беспорядок в вашей сумке говорит вам о том, что кто-то рылся в ваших вещах. Технология обмана работает следующим образом.
Что такое технология обмана?
Технология обмана относится к набору тактик, инструментов и средств-обманов, которые используют синие команды, чтобы отвлечь злоумышленников от ценных средств безопасности. На первый взгляд местоположение и свойства приманки выглядят законными. Действительно, приманка должна быть достаточно привлекательной, чтобы злоумышленник с самого начала счел ее достаточно ценной для взаимодействия.
Взаимодействие злоумышленника с приманками в среде безопасности генерирует данные, которые дают защитникам представление о человеческом элементе, стоящем за атакой. Взаимодействие может помочь защитникам выяснить, чего хочет злоумышленник и как они планируют это получить.
Почему синие команды используют технологию обмана
Ни одна технология не является неуязвимой, поэтому службы безопасности по умолчанию предполагают наличие взлома. Большая часть кибербезопасности заключается в том, чтобы выяснить, какие активы или пользователь были скомпрометированы, и как их восстановить. Для этого операторы blue team должны знать степень защищаемой ими среды безопасности и активы в этой среде. Технология обмана является одной из таких защитных мер.
Помните, смысл технологии обмана заключается в том, чтобы заставить злоумышленников взаимодействовать с приманками и отвлечь их от ценных активов. Почему? Все сводится ко времени. В кибербезопасности время дорого, и его никогда не хватает ни атакующему, ни защищающемуся. Взаимодействие с приманкой отнимает время атакующего и дает защищающемуся больше времени для реагирования на угрозу.
Более конкретно, если злоумышленник думает, что актив-приманка, с которым он взаимодействовал, является реальной сделкой, тогда нет смысла оставаться на виду. Они удаляют украденные данные и (обычно) уходят. С другой стороны, если опытный злоумышленник быстро поймет, что ресурс поддельный, то он поймет, что его разоблачили, и не сможет долго оставаться в сети. В любом случае злоумышленник теряет время, а служба безопасности получает предупреждение и больше времени для реагирования на угрозы.
Как работает технология обмана
Большая часть технологии обмана автоматизирована. Приманкой обычно являются данные, представляющие некоторую ценность для хакеров: базы данных, учетные данные, серверы и файлы. Эти активы выглядят и функционируют точно так же, как настоящие, иногда даже работая бок о бок с реальными активами.
Главное отличие заключается в том, что это подделки. Например, базы данных-приманки могут содержать поддельные административные имена пользователей и пароли, связанные с сервером-приманкой. Это означает, что действия, связанные с парой имени пользователя и пароля на сервере—приманке — или даже на реальном сервере — блокируются. Аналогичным образом, учетные данные-приманки содержат поддельные токены, хэши или билеты Kerberos, которые перенаправляют хакера, по сути, в изолированную среду.
Кроме того, duds устанавливаются для оповещения групп безопасности о подозреваемом. Например, когда злоумышленник входит в систему на сервере-приманке, об этом действии предупреждаются операторы blue team в центре управления безопасностью (SOC). Тем временем система продолжает записывать действия злоумышленника, например, к каким файлам они обращались (например, при атаках с кражей учетных данных) и как они выполняли атаку (например, при атаках с боковым перемещением и использованием «человека посередине»).
Утром я рад видеть; Мой враг Распростерт под деревом
Хорошо настроенная система обмана может свести к минимуму ущерб, который злоумышленники могут нанести вашим средствам безопасности, или даже полностью остановить их. И поскольку большая ее часть автоматизирована, вам не нужно защищать нужные файлы день и ночь. Вы можете развернуть их и направить ресурсы SOC на меры безопасности, которые требуют более практического подхода. Успехов!
С уважением, Андрей Зимин 12.06.2023
