+7 (495) 980-67-76

Обманные системы (Deception)

В настоящее время становится всё сложнее обнаруживать и предотвращать современные кибер-атаки, когда атака в основном состоит из легитимных действий, которые по отдельности никакой опасности в себе не несут. Большинство подобных атак пропускаются современными решениями, направленными на защиту от них. Атака будет обнаружена или нейтрализована только в том случае, если установленные в организации решения умеют находить в отдельных легитимных действиях пользователей цепочки составных атак с использованием продвинутых техник.

Большинство отчётов, связанных с расследованием реальных инцидентов, показывают, что злоумышленники обходят современные средства защиты информации и могут находиться во внутреннем контуре своей жертвы от нескольких месяцев до нескольких лет.

На помощь приходит технология Deception (обманные системы), главная задача которой– сбить злоумышленника с толку и заставить его ошибиться при горизонтальном продвижении (фаза Lateral Movement) во внутреннем контуре жертвы до намеченной цели. Данная технология позволяет распространить на конечные узлы организации «ложные» объекты – приманки – в виде закэшированных учетных записей, записей в реестре, скрытых файлов в директориях либо истории поиска браузера и т. д.

Злоумышленник, у которого получилось обойти периметровые средства защиты и закрепиться во внутреннем контуре жертвы, в большинстве случае даже не подозревает, что наряду с реальной инфраструктурой рядом могут находиться «ложные» объекты, использование которых приводит к появлению инцидента в системе и сбору форензики с конечного узла, где был обнаружен злоумышленник. Кроме того, что выявление злоумышленника происходит с помощью приманок, также любое сетевое взаимодействие с компонентами системы (например, сетевое сканирование) приводит к появлению инцидента в системе.

Системы класса Deception – это системы обнаружения, а не предотвращения. С помощью данного класса систем уменьшится время нахождения злоумышленника в реальной сети и ускорится среднее время обнаружения и устранения угроз.

Благодаря интеграции с другими решениями (например, SIEM), можно проводить полноценный анализ инцидентов, централизованно хранить и реагировать на угрозы.

Компания «ДиалогНаука» предлагает следующие решения, связанные с подобными проблемами:

  • Illusive Networks;
  • XELLO (отечественный вендор).

Отечественные вендоры/продукты

Мероприятия
Возможности Xello Deception для детектирования APT-атак и расследования киберинцидентов
Xello Deception 5.3 — новые возможности защиты от целевых атак для распределённых площадок
Все мероприятия

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;