Хакеры сегодня сталичуть ли не основными героями нашего времени. Сформировался образ вездесущихнеуловимых злоумышленников, способных оказать значительное влияние на любуюситуацию в политике и экономике целых стран и континентов, от функционированиякритически значимых элементов инфраструктуры до выборов президента. Для защитыот них постоянно создаются и совершенствуются файерволы, антивирусы и прочееспециализированное ПО, направленное на предотвращение атак, но в то же времяинструменты и техники взлома не менее активно эволюционируют и совершенствуются.И если от массовых атак превентивные средства способны обеспечить достаточновысокий уровень защиты, то в случае с целевыми кибератаками (APT – AdvancedPersistent Threat) зачастую бессильны. Когда атакующий никуда не торопится истремится закрепиться в вашей инфраструктуре, выявление сферы его интересов инаправленности действий не всегда реализуемо стандартными средствами.
Группа компаний Sec-Consult,более 10 лет специализирующаяся на проведении аудитов безопасности методоммоделирования атак, создала отдельный продукт, комбинирующий технические ипсихологические методы противостояния атакующим. Cybertrap представляет собой комбинациюсервисов, позволяющих заманить злоумышленника в имитацию реальнойинфраструктуры, отследить сферу его интересов и по возможности – идентифицировать.
Нарушитель – живойчеловек, действующий по определенной логике, и принимающий решение перед каждымпоследующим шагом, основываясь на том, что он знает и видит. При этом хакердействует в условиях ограниченных ресурсов и времени и стремится достигнутьрезультата наиболее коротким, понятным и доступным путем. Поэтому – в отличиеот аудита информационной безопасности, где необходимо выявить все возможные уязвимости– зачастую он доходит до первого эффективного действия, и затем толькоразвивает достигнутый успех, стараясь получить максимум пользы при минимумезатрат. Таким образом, кроме основных задач по идентификации целей и личностиатакующего, Cybertrap способенснизить нагрузку на реальную инфраструктуру и инструменты защиты, за счетотвлечения внимания хакера на сымитированные уязвимости и данные.
В состав продуктавходит система расстановки уязвимостей-приманок (honeypot), которые с высокой долей вероятностипривлекут атакующего. Приманки разрабатываются исходя из опыта «белых хакеров» Sec-Consult, засвою многолетнюю практику реализовавших несколько тысяч проектов поконтролируемому взлому систем заказчиков для повышения уровня их безопасности. Приэтом степень сложности и привлекательности приманок может быть установлена взависимости от предполагаемой квалификации атакующих, и с учетом спецификизащищаемой информации.
Приманки приводятзлоумышленника в контролируемый периметр– ловушку,тщательно имитирующий реальную инфраструктуру атакуемого предприятия, создаваяполную иллюзию состоявшегося взлома. Для успешной реализации ловушки важновыстраивание не простого макета, а полноценной имитации, соответствующейпредставлениям атакующего о возможной архитектуре и характеристиках защищаемойсистемы. Все действия хакера будут тщательноотслеживаться и фиксироваться, что позволит сразу выявить сферу его интересов,возможных заказчиков и реальные цели нарушителя.
В продуктепредусмотрено средство идентификации злоумышленника. Система Track Down позволяетвнедрить в любой документ специальные скрипты, собирающие данные о компьютерах,где эти документы будут открыты. Это особенно эффективно при создании обманныхдокументов-ловушек, похожих на реальные корпоративные документы, представляющиеинтерес для атакующих.
Cybertrap может быть развернут в нескольких вариантах по желаниюзаказчика – облачном, полным и гибридном. Выбранный вариант определяетместонахождение элементов системы – точки входа, приманки, ловушки(убедительной имитации инфраструктуры) и сервера Cybertrap.
В случае облачногоразвертывания на стороне заказчика находится исключительно точка входа взащищаемую систему и приманка. Далее нарушитель по VPN направляется в облако,поддерживаемое командой Cybertrap, где уже располагается ловушкас качественной имитацией инфраструктуры заказчика и сервер продукта.
При полномразвертывании все компоненты – точка входа, приманка, имитация инфраструктуры исервер продукта - находятся на стороне заказчика и под контролем егосотрудников. Гибридный вариантпредусматривает размещение точки входа, приманки и имитации на сторонезаказчика, а сервер продукта находится под управлением команды Cybertrap.
Продукт особенноинтересен для больших структур, обладающих разнородной ценной информацией илиразнообразными направлениями деятельности, когда целью хакеров может быть нетолько похищение финансовых средств, но и технологий, интеллектуальнойсобственности, а в ряде случаев – поиск информации, дискредитирующей менеджментили владельцев предприятия. Еще один вариант – наличие географическираспределенной сети, где может быть важна привязка интереса злоумышленника кместности.
Одним изнаправлений применения продукта стал также контроль качества проведения аудитовинформационной безопасности, так как в ходе таких проверок все приманки должныбыть выявлены и включены в предоставляемый отчет.
Cybertrap уже сегодня применяется в ряде европейских банков, телеком-операторови компаниях-носителях уникальных ноу-хау.
Источник: CNEWS