Deception – технология киберобмана повышает уровень выявления мошенников в сети: рассказывает Алексей Кузовкин
Определять и подтверждать конкретные киберугрозы работающим в центрах мониторинга и реагирования специалистам-аналитикам приходится в условиях обильного потока данных. Сотрудники служб кибербезопасности вынуждены взаимодействовать с внушительным числом реакций, сравнивать ряд параметров и данных, зачастую разрозненных. Алексей Викторович Кузовкин, генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада», считает необходимым сменить статическую модель выявления мошенников на упреждающую и для повышения уровня эффективности обнаружения киберугроз прибегнуть к помощи технологии киберобмана или Deception.
Эксперт поясняет: каждая организация, опираясь на специфику и технологический потенциал конкретной корпоративной сети, по-своему исполняет функции мониторинга и реагирования на киберугрозы, применяя при этом инструменты, отличающиеся и по типу производителя, и по классу решения. В настоящее время в сфере реагирования на кибератаки отмечается склонность к повышению числа правил корреляции и подписок на параметры компрометаций/атак (речь идет об IoC/IoA). При этом практика подтверждает, что современная технология киберобмана является наиболее эффективным инструментом, который способен улучшить оптимизацию процессов мониторинга и реагирования, значительно увеличить их результативность.
Алексей Кузовкин обращает внимание на то, что очень часто инструменты защиты «догоняют» инструменты нападения. Сегодняшние злоумышленники очень умелые, ловкие и умные, они применяют массу способов, чтобы обходить корреляционные правила, обладая для этого большими возможностями. Характер их действий и используемые инструменты обладают определенными специфическими особенностями, позволяющими выявлять те или иные нелегитимные действия. Эти параметры можно делать мало узнаваемыми или корректировать.
Deception-системы используют метод «подталкивания» злоумышленников к посещению серверов-ловушек с помощью различных методик обмана и хитрых приманок. Это характерная черта технологии, отличающая ее от раскрученных и популярных honeypot-систем. Главная цель Deception – применяя логично распределенные между IT-активами организации приманки и ловушки, имитирующие якобы реальную инфраструктуру, привлечь мошенников в ограниченное пространство, тем самым быстро и точно идентифицируя преступников.