Поиск по сайту:

Внешность может быть обманчива: игра против хакеров

Пришло время изменить ситуацию с преступниками и дать им попробовать их собственное лекарство. Эти защитные платформы используют против них любимое оружие плохих парней: обман.

Технологии обмана

Некоторые кибератаки происходят за очень короткое время. Например, кто-то получает фишинговое письмо. Они не признают это кибератакой. Они пытаются открыть вредоносное вложение. Во вложении содержится небольшая программа-загрузчик, которая устанавливается на их компьютер. Оправдывая свое название, загрузчик извлекает фактическое вредоносное ПО с сервера злоумышленника и устанавливает его. Загруженное вредоносное ПО может быть программой-вымогателем, рекламным ПО, криптоджекером, трояном удаленного доступа (RAT) или любым другим вредоносным программным обеспечением, которое принесет пользу злоумышленнику за счет жертвы.

Напротив, кибератаки, включающие внедрение , не являются быстрыми, автоматическими событиями. Это многоэтапные процессы. Первоначальным заражением может быть RAT, доставленный фишинговым письмом, но именно тогда начинается работа злоумышленников. Злоумышленник может использовать RAT для подключения к скомпрометированной сети столько раз, сколько пожелает. Это их собственный бэкдор.

В свободное время они могут тщательно перемещаться по вашей сети, наблюдая за событиями, отслеживая активность и выясняя, например, где хранятся ваши резервные копии. Конечная игра все еще может быть атакой программ-вымогателей. Но если организация-жертва достаточно ценна, злоумышленникам стоит потратить время, чтобы убедиться, что их вредоносное ПО может получить доступ ко всем частям сети, включая резервные копии. Они хотят максимального распространения инфекции.

Возможно, они не планируют атаку программ-вымогателей. Но какими бы ни были их намерения, злоумышленники, получившие доступ к вашей сети, оказываются чужаками в чужой стране. Они не знают топологию вашей сети, сегментацию, имена серверов, программное обеспечение для резервного копирования и так далее. Чтобы получить эту информацию, им нужно составить карту вашей сети, отслеживая, наблюдая и выполняя работу, чтобы выяснить, что к чему. Это называется боковым перемещением по сети. Это делается для картирования сети в рамках повышения привилегий, а также для поиска ценных активов и целей.

Технологии обмана делают это боковое движение трудным, если не невозможным. Они обнаруживают, когда кто-то пытается проникнуть в вашу сеть, и отправляют оповещения, чтобы уведомить персонал.

Так работают технологии обмана.

Приманки и приманки

Платформа обмана развертывает поддельные сетевые активы, которые выглядят как настоящие устройства для злоумышленника, когда они исследуют вашу сеть. Это убедительные ложные цели, которые реагируют так, как если бы субъект угрозы исследовал реальное устройство. Но поскольку никто не должен взаимодействовать с активами-приманками, любая активность с ними подозрительна и может быть злонамеренной.

Вы можете сравнить платформу обмана с своего рода «детектором движения» для вашей сети. Если кто-то занимается не тем, чем не должен заниматься, будь то злоумышленник или любопытный сотрудник, он будет пойман на месте преступления.

Одним из преимуществ обманных платформ является то, что они обнаруживают активность. Им не нужно обновлять базу данных вредоносных программ или других сигнатур, и они не могут быть обнаружены угрозами нулевого дня. Они не страдают от ложных срабатываний. Если он обнаруживает активность на мошенническом активе, происходит что-то, на что вам нужно обратить внимание.

Активы обмана могут выдавать себя за:

  • Компьютеры
  • Принтеры
  • Файловые серверы
  • Маршрутизаторы
  • Переключатели
  • Брандмауэры
  • Оборудование для точек продаж (POS)
  • банкоматы (банкоматы)
  • Устройства Интернета вещей (IoT)
  • Промышленные датчики и контроллеры

Система обмана позволит вам выбрать, какой тип активов обмана вы хотите установить, но обычно проще позволить платформе обмана изучить вашу сеть и автоматически заполнить ее фантомными активами того типа, который обычно встречается в вашей сети. тип. Некоторые поставщики платформ обмана предлагают услугу по созданию актива обмана в соответствии с вашей спецификацией, чтобы имитировать определенный тип устройства, которое вы хотите развернуть в своей сети. Это означает, что в вашей сети могут быть ложные версии реальных устройств любого типа.

Системы обмана также могут создавать и отслеживать ложные цели и приманки, не связанные с устройствами, такие как файлы конфигурации, файлы журналов и документы, которые могут представлять интерес для злоумышленника, пытающегося понять вашу сеть. Как только одна из этих приманок просматривается, удаляется или копируется, поднимается тревога.

Тонкие подсказки, известные как «хлебные крошки», могут быть оставлены в сети, чтобы указывать на фантомные ценные активы. Это делается для того, чтобы увести злоумышленников от реальных устройств и направить их к тому, что кажется главной целью.

Система обнаружения вторжений (IDS) пытается обнаружить вредоносную активность, анализируя сетевой трафик в вашей реальной сети. Платформа обмана пытается направить вредоносную активность из вашей подлинной сети в фантомную зону.

Фантомные устройства, Фантомный трафик

Удивительно, но активы обмана не создают никакой нагрузки на вашу сеть и не перегружают ее трафиком. На самом деле они не находятся в вашей сети, как настоящее устройство, пока кто-то не попытается взаимодействовать с ними. Это виртуальные устройства, находящиеся в ферме устройств или ферме обмана в виртуализированной среде, которая может быть локальной или облачной. Система обмана фабрикует доказательства существования обманных активов в подлинной сети.

Чтобы обманные активы выглядели как можно более реальными, создается обманный сетевой трафик и даже фальсифицируется активность пользователей. Как только кто-либо пытается взаимодействовать с активом обмана, он оживает за миллисекунды — полностью запускается на ферме обмана — так что он представляет реальные ответы и действия злоумышленнику, в то время как оповещения выдаются персоналу службы поддержки.

Насколько известно взломщику, он имеет дело с настоящим сервером, банкоматом, медицинским устройством или другим добросовестным сетевым устройством.

Могут быть созданы обманные активы, которые на самом деле содержат полноценную операционную систему. Эти контролируемые среды используются для того, чтобы субъект угрозы мог выполнять свои вредоносные действия, одновременно записывая и отслеживая эти действия, чтобы лучше понять их намерения. Эта информация может быть использована для лучшего предотвращения их повторения.

Платформа обмана может вызывать не только оповещения, но и другие ответы. Он может помещать обманный актив в песочницу, чтобы сдерживать любые внедренные угрозы, такие как вредоносное ПО. Он может помещать в карантин фантомные серверы или может истечь срок действия учетных данных для аутентификации для учетной записи, которую использует субъект угрозы.

Направлено на предприятия

Платформы обмана наиболее удобно размещаются в корпоративной сети. Корпоративные сети достаточно велики, чтобы злоумышленнику требовалось тщательное картографирование, и они могут содержать множество — даже тысячи — фиктивных устройств. Если злоумышленник увидит, что сеть малого бизнеса непропорционально заполнена сетевыми устройствами, он может заподозрить, что в игре задействована мошенническая платформа. Более крупные сети естественным образом маскируют лишние устройства.

Злоумышленники знают о платформах для обмана, поэтому активы для обмана должны воспроизводиться так точно и убедительно и должны реагировать, казалось бы, реальными ответами.

Конечно, вы все равно должны сделать все возможное, чтобы злоумышленник не смог получить доступ к вашей сети. Но если им удастся проникнуть внутрь, вам нужно иметь что-то, что обнаружит их присутствие и сдержит их действия. И если это уводит их от настоящих активов к фантомным активам, тем лучше.