Стратегии применения deception-решений в задачах обеспечения безопасности корпоративной инфраструктуры

В условиях современной цифровой среды специалистам по информационной безопасности уже недостаточно использовать исключительно реактивные средства защиты или придерживаться пассивной стратегии. Несмотря на эффективность таких инструментов, как антивирусные системы, системы обнаружения и реагирования на угрозы на конечных точках и другие классические методы защиты инфраструктуры от несанкционированных действий, большинство из них строится на выявлении уже известных методик злоумышленников и поиска вредоносного ПО, заранее находящегося в базах данных этих систем.

Существенным ограничением классического подхода также является защита реальных сред исполнения — будь то сервера разработки или продуктивные окружения. Даже при последующем обнаружении инцидента факт проникновения вредоносного ПО в такие среды уже наносит ущерб. Как правило, реагирование происходит на финальной стадии атаки, когда злоумышленник получил доступ к инфраструктуре. Это приводит к дополнительным затратам — как вычислительных ресурсов, так и времени специалистов по безопасности, задействованных в реагировании и устранении последствий.

Проактивный подход к обеспечению информационной безопасности предполагает использование решений класса Deception. Такие системы позволяют создавать ресурсы-приманки — от простых, имитирующих, например, слабо защищённый SSH-сервер в интернете или базу данных во внутреннем контуре либо демилитаризованной зоне, до полноценных копий отдельных сегментов ИТ-инфраструктуры компании с повторяющимися сервисами, но без реальных защищаемых данных.

Ресурсы-приманки, или honeypot, представляют собой инструменты, имитирующие реальные сервисы и способные воспроизводить их функциональность. Их основная задача — сформировать для злоумышленника убедительную и привлекательную цель для атаки, позволяя при этом фиксировать его действия.

Honeypots условно классифицируются по уровню взаимодействия и по принципу действия. Рассмотрим уровни взаимодействия:

• Низкий уровень взаимодействия — позволяет создать сервис-заглушку, который имитирует целевой ресурс, но не позволяет полноценно взаимодействовать с ним. Такие решения позволяют собирать базовую информацию об источнике атаки и параметрах атакующей системы.
• Средний уровень взаимодействия — реализует поддельный сервис (например, SSH-сервер), в который злоумышленник может войти с определёнными учётными данными и выполнять команды. Функциональность обычно ограничена, однако такие среды позволяют собрать значительно больше информации и выявить используемые техники на основе поведения атакующего.
• Высокий уровень взаимодействия — как правило, представляет собой полноценную копию реального сервиса со встроенными средствами мониторинга и обнаружения. Часто воспроизводятся отдельные настройки реальной инфраструктуры, что повышает правдоподобность приманки, позволяет выявить злоумышленника и замедлить его продвижение в реальной инфраструктуре компании.

По принципу действия honeypots можно разделить на следующие типы:

• Инфраструктурные honeypot-системы — имитации SSH- и RDP-серверов, поддельные точки доступа Wi-Fi, а также сетевое оборудование (например, программируемые коммутаторы и роутеры).
• Honeypot прикладного уровня — поддельные микросервисы, Kubernetes (с открытым API), Docker (с доступными по сети сокетами) и другие сервисы, характерные для современной инфраструктуры.
• Honeypot для поддельных данных — базы данных, наполненные полезными на первый взгляд данными, но не являющимися реальными, сетевые хранилища, намеренно сделанные открытыми или «случайно» оставленные без защиты серверы резервного копирования с поддельными резервными копиями. Отдельное направление — документы с использованием canary token, которые отправляют уведомление на заранее заданный адрес при их открытии. Это позволяет «спрятать» такой документ на видном месте, где обычные сотрудники компании не будут его искать, а вот злоумышленник увидит одним из первых.

• Поддельные учётные данные — тип приманок, позволяющий отследить активность учётных записей, API-токенов и иных сущностей, которые позволяют взаимодействовать с инфраструктурой. Обычно им присваиваются «привлекательные» имена (например, admin или root), при этом их права ограничены. Любая попытка их использования рассматривается как потенциально вредоносная активность.
• IoT-ловушки и приманки для ботнетов — решения, размещаемые преимущественно за пределами корпоративной инфраструктуры и используемые для исследования вредоносной активности. Они имитируют устройства от домашних систем интернета до промышленных SCADA-контроллеров и позволяют анализировать актуальные методы атак.

Таким образом, вместо ожидания проникновения злоумышленника в основную инфраструктуру организация может применять проактивный подход, формируя контролируемую среду для выявления атак и изучения используемых техник. Это позволяет заранее усиливать защиту реальных ресурсов, включая сценарии, которые ещё не детектируются традиционными реактивными средствами.

Deception-системы являются закономерным этапом эволюции honeypot-инструментов. Они переводят использование приманок с уровня разрозненных объектов, требующих отдельного администрирования, к централизованной системе управления. Это обеспечивает равномерное и контролируемое распределение приманок по инфраструктуре, расширяет охват потенциальных векторов атак и упрощает анализ активности на них.

Стратегии применения deception-решений при обеспечении безопасности корпоративной инфраструктуры строятся вокруг корректной архитектуры. Подход к выбору конкретных инструментов и стратегии их использования целесообразно разделить на следующие этапы:

1. Инвентаризация существующей инфраструктуры;
2. Определение критических элементов инфраструктуры;
3. Выявление наиболее уязвимых элементов ИТ-среды, включая узлы с выходом в интернет и доступные из глобальной сети;
4. Выбор развёртываемых honeypot-решений с учетом имеющихся ресурсов и наличия специалистов, компетентных в их администрировании; немаловажным фактором является анализ ранее зафиксированных инцидентов (например, с использованием SIEM-системы) для выявления часто атакуемых ресурсов и «слепых зон» мониторинга;
5. Пилотное развёртывание honeypot с помощью Deception-системы и проведение контролируемого тестирования для оценки эффективности сбора данных и процедур реагирования;
6. Дополнительная конфигурация honeypot для более точного выявления несанкционированных действий;
7. Развёртывание продуктивного варианта Deception и распределение honeypot по инфраструктуре и, при необходимости, за её пределами.

Альтернативный сценарий применения связан с задачами киберразведки и анализа угроз. В этом случае honeypots развёртываются на выделенных узлах в глобальной сети и имитируют узлы, уязвимые к недавно выявленным уязвимостям, либо системы со стандартными парами учётных данных (например, веб-сервисы или устройства IoT). В данной стратегии акцент делается на количестве узлов, а не на глубине имитации, поскольку такие приманки часто подвергаются массовым автоматизированным атакам.

В заключение следует отметить, что Deception-системы и honeypot-инструменты не заменяют классические реактивные средства защиты информации, а дополняют их. Они предоставляют специалистам по информационной безопасности возможность выявлять злоумышленников на ранних этапах и получать информацию о методах атак до того, как будет предпринята попытка воздействия на реальные элементы корпоративной инфраструктуры.

Автор: Аверин Андрей Александрович, старший инженер по ИБ, компания Digital Design.