Уровень эффективности выявления и подтверждения киберугроз специалистами-аналитиками способна существенно повысить Deception – технология киберобмана. Обратить внимание на эффективный инструмент, который может оптимизировать процессы мониторинга и реагирования на кибератаки, рекомендовал генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада» Алексей Викторович Кузовкин.
К двум важным моментам – это допустимые правила корреляции и IoC – можно свести самые популярные и известные тактики по идентификации случаев нарушения безопасности. Особые поведенческие паттерны и фиксированная последовательность событий используются в первом случае, а артефакты технических инструментов – во втором.
Правила корреляции принято считать универсальным решением для идентификации злоумышленников, отмечает Алексей Кузовкин. Но инструменты защиты достаточно часто «догоняют» инструменты нападения. Современные кибермошенники применяют массу способов, чтобы обойти корреляционные правила, обладая при этом широким полем возможностей, действуя очень проворно и умно. Используемые ими инструменты и характер действий имеют специфические особенности, позволяющие выявлять какие-либо нелигитимные действия. Данные параметры можно корректировать или делать их мало узнаваемыми.
Deception-система представляет собой комплекс методик обмана и хитрых приманок, вынуждающий мошенников взаимодействовать с серверами, которые по сути являются замаскированными ловушками. Такие серверы, как правило, безошибочно фиксируют любое их посещение злоумышленником. Основной отличительной чертой Deception-систем от раскрученных и популярных honeypot-систем выступает именно метод «подталкивания» к посещению сервера. Привлечь мошенников в ограниченное пространство, среду, применяя способные имитировать якобы реальную инфраструктуру ловушки и приманки, логично распределенные между IT-активами организации, – главная цель технологии киберобмана.
Не нанося вред обычным посетителям, предложенная кибермошенникам псевдоинфраструктура привлекает их неправдоподобными сведениями. Такой подход дает возможность системе демонстрировать порядка 0% ложных реагирований. При обнаружении взаимодействия с определенной приманкой или псевдосервером чаще всего активность имеет вредоносный характер.