Fidelis Deception перетворює фальшиві ІТ-активи в реалістичні

24.05.2019

Сьогодні досвідчені хакери знають або, принаймні, підозрюють, що в корпоративній мережі їм можуть підставити в якості приманки фальшивий ІТ-ресурс. Саме тому вони дуже обережні і можуть не «клюнути на наживку». Щоб обдурити таких досвідчених хакерів, Fidelis Deception створює цілком реалістичні фальшиві ІТ-активи.

Пастка, як захисна технологія – спроба обдурити хакера, підставивши йому фальшивий ІТ-ресурс або неіснуючих користувачів – швидко еволюціонував за дуже короткий період часу. Сьогодні майже в кожній корпоративної мережі існує хоч якась форма захисту, побудована на обмані і використовувана для детектування неавторизованих користувачів. Однак такий підхід став швидко втрачати ефективність, оскільки досвідчені зловмисники починали підозрювати про те, що їх чекає, а в деяких випадках навіть змогли виявити фейковий ІТ-активи.

Єдине, що не змінилося, так це загальний принцип роботи технології пастки. Як правило, фальшиві ІТ-активи розгортають в реальному мережі всюди. Звичайні легітимні користувачі не мають можливості легко підключитися до них, більш того, вони навіть не знають, що такі активи існують, а ось для хакерів розставляють приманки – так звані «хлібні крихти» (breadcrumbs) та інші підказки, провідні на фейковий ІТ-активи . Оскільки хакери змушені «наосліп» переміщатися по мережі, такі «підказки» можуть ввести їх в оману і направити на фальшивий актив. І оскільки жоден реальний легітимний користувач не має до них доступу, той факт, що хтось або щось взаємодіє з фальшивим активом, майже завжди викликає тривогу і свідчить про те, що зловмисник обійшов інші захисні механізми корпоративної мережі.

Ранні версії платформ для створення фальшивих ресурсів допомагали користувачам розгорнути підроблені ІТ-активи і розставити «хлібні крихти», що вказують на них, проте мало що робили для поліпшення реалістичності обманного підходу. Коли технологія була відносно новою, багато зловмисників траплялися на подібну наживку. Однак сьогодні досвідчені хакери знають або, принаймні, підозрюють, що технологія пастки активно використовується і тому не будуть сліпо слідувати за «хлібними крихтами». Неактивні і «мертві» ресурси, що використовуються тільки з метою обману, ймовірно, не притягнуть зловмисників, які підозрюють про існування пастки. Навіть передові шкідливі програми можуть іноді виявляти помилкові шляхи.

Рішення Fidelis Deception створене для того, щоб знову перетворити технологію пастки в надійний захист, навіть якщо зловмисник підозрює, що мережа, яку він намагається зламати, захищена за допомогою такої технології. Це досягається шляхом створення нібито активних фейковий ресурсів, які здатні взаємодіяти один з одним і виконувати різні завдання. Продукт також може створювати фальшивих користувачів, які взаємодіють з уявними ІТ-ресурсами на регулярній основі, як справжній чоловік. Крім того, для несанкціонованих користувачів є кілька інших неприємних сюрпризів, які гарантують, що вони даремно витратять свій час. Це дає групам з кібербезпеки більше часу, щоб зловити їх у дії.

Платформа Fidelis Deception може бути розгорнута як локальне рішення, в хмарі або як сервіс. Рішення також поставляється у вигляді апаратного або програмного забезпечення. З точки зору продуктивності всі варіанти ідентичні, за винятком сенсора моніторингу трафіку, який використовується для автоматизації та активації обманних активів і відстеження можливих зловмисників. Апаратні датчики від Fidelis можуть забезпечувати до 40 Гбіт трафіку, а віртуальні машини – лише близько 2 Гбіт. Ціни на платформу, незалежно від методу розгортання, розраховуються виходячи з числа реальних захищених ІТ-ресурсів. Немає обмежень на кількість створюваних фальшивих активів або користувачів. Таким чином, розгортання більшого числа активів або користувачів не змінює ціну.

На екрані «Активи» користувачі можуть точно бачити число ресурсів і які з них були розгорнуті. Кількість фальшивих активів не обмежена.

Налагодження та тестування

Розгорнути обманні ІТ-ресурси за допомогою Fidelis Deception дуже просто. Користувачі можуть входити в певні призначені для користувача групи або категорії активів і розгортати обманні активи, використовуючи ряд розкривних меню. Або вони можуть застосувати Fidelis для автоматизації процесу. Оскільки моніторинг трафіку за допомогою датчиків є частиною платформи Deception, програма відстежує мережевий трафік і вивчає його потоки. Якщо натиснути на кнопку «Запропонувати мені», Fidelis Deception виведе список фальшивих активів, які природним чином будуть знаходитися в існуючому робочому процесі. Список може включати що завгодно: від поштових серверів до принтерів. Потім рішення записує ці ІТ-ресурси для подальшої взаємодії з ними, перетворює їх в нібито «реальні» активи.

Надалі процес розгортання триває. Оскільки Fidelis Deception контролює трафік і мережеві активи, він буде знати, наприклад, коли компанія додасть кілька нових камер IP-безпеки. Після того, як рішення виявить це, Fidelis запропонує додати в мережу фальшиві камери. Те ж саме відбувається, якщо організація мігрує з Windows на Linux або робить будь-які інші зміни. Фальшиві ІТ-активи будуть відображати всі нововведення.
Fidelis Deception – це один з інструментів обману, який підтримує як емуляції приманок, такі як пристрої Інтернету речей (IoT), так і реальні операції, які можуть включати унікальні інформаційні технології на одному і тому ж сервері-приманки. В ході нашої оцінки ми змогли додати багато IoT-пристроїв в облудну мережу, навіть певні принтери або маршрутизатори, знайдені в офісних налаштуваннях. Для операційної технології (OT) інтерфейси «людина-машина» та кастомізовані золоті образи ОС підтримуються як помилкові цілі.

При розгортанні фальшивого робочого столу або сервера Fidelis Deception надає хороший вибір зображень для завантаження в систему. Розумні організації можуть навіть завантажити свій золотий образ на платформу, яка використовується з іншими системами, і замість цього Fidelis розгорне її, щоб повністю відобразити реальне середовище. Ви навіть можете додати загальні паролі до облудних активів, включаючи відомі паролі за замовчуванням і такі речі, як «password» і «12345». Шахрайські користувачі будуть думати, що їм пощастило, коли вони спробували один з цих паролів і увійшли в систему, і не зрозуміють, що просто потрапили в розумну пастку.

Налаштування «хлібних крихт» і приманок також дуже проста. І знову ж таки, оскільки Fidelis Deception відстежує трафік через свої мережеві датчики, програма буде знати, які види реальної інформації залишаються за дійсними взаємодіями з користувачем. Рішення буде пропонувати аналогічні, але фальшиві «хлібні крихти» до реальних ІТ-активів, і буде працювати над тим, щоб постійно оновлювати їх. Fidelis йде ще далі – він «отруює» таблицю протоколу дозволу адрес (ARP), щоб створити враження, що підроблені ресурси настільки ж активні, як і аналогічні реальні ІТ-активи в захищеної мережі.
Але головною «родзинкою на торті» є здатність платформи створювати не тільки фальшиві активи, але і фальшивих користувачів. По суті, вони імітують поведінку реальних користувачів. Ви можете запрограмувати їх переваги та дозволу при створенні. Можливо, хтось працює тільки вранці або в певному відділі. Фальшиві користувачі будуть імітувати діяльність в рамках цих параметрів, але при цьому з деякими випадковими відхиленнями, щоб не було схоже, що це роботи, які працюють за розкладом. Фальшиві користувачі будуть взаємодіяти з фальшивими активами і навіть використовувати їх, щоб зробити більш «реалістичними», тільки без спрацьовування алертів.

Кожен раз, коли зловмисний користувач або шкідливий код отримують доступ до фальшивого ІТ-активу, генерується попередження. При цьому воно не обов’язково буде пріоритетним. Незважаючи на те, що більшість платформ фальшивих ІТ-активів фіксують мало помилкових спрацьовувань, Fidelis Deception йде далі і аналізує всі Алерт, щоб перевірити, чи є докази подібної активності. Можливо, користувач, який взаємодіяв з фальшивим ІТ-активом, також намагався отримати доступ до реальних активів. Fidelis збере всю цю інформацію, якщо вона існує, і представить її як висновок, який розбиває всі докази. Висновки багато в чому схожі на попередження від інших платформ з рекомендаціями слабких місць, на яких повинні сконцентруватися ІТ-команди.

Вкладка «Активність приманки» показує, взаємодіяв чи хакер з будь-яким фальшивим ІТ-активом і що він намагався зробити.

Попередження спрацьовує щоразу, коли в точці фальшивого активу відбувається будь-яка дія, крім операцій, що здійснюються самої платформою для підвищення правдоподібності активу.

Fidelis Deception має кілька інших переваг у порівнянні з аналогічними рішеннями. Одним з них є те, що будь-який файл, який завантажується в фейковий актив, поміщається в «пісочницю». Це не тільки дозволяє краще зрозуміти мотиви зловмисника, а й застосувати інформацію, зібрану цим процесом, для поліпшення або перевірки інших захисних механізмів мережі.

Сповіщення не завжди критичні, тому автоматичного звернення по медичну допомогу не відбувається. Замість цього платформа Fidelis компілює активність інших сповіщень і трафіку, і намагається зробити висновок про потенційну атаку. Ці висновки докладно описані на відповідній вкладці «Висновки».

У той час як більшість платформ для обману кіберзлоумишленніков зупиняються на етапі оповіщення, Fidelis збирає всю необхідну інформацію, включаючи дані з іншого мережевого трафіку, і створює повну картину дій зловмисника. Це створює ідеальні умови для пошуку загроз, а також допомагає при вирішенні проблеми.

Ще однією перевагою є те, що підроблені активи можуть мати свій власний рівень захисту, призначений для затримки і блокування атакуючих. Розробники Fidelis включили в Deception інструмент, завдяки якому деякі файли, які можуть залучити хакера, виглядають дуже маленькими, наприклад, кілька кілобайт. Проте, коли користувач намагається завантажити їх, вони перетворюються в дуже великі, іноді в діапазоні декількох гігабайт або терабайт. Це може затримати хакера на кілька годин і дати ІТ-командам достатньо часу для реагування на атаку. І якщо зловмисник насправді є шкідливою програмою-сценарієм, він може бути заблокований на невизначений термін, оскільки шкідлива програма не зможе дізнатися, що їй дали доступ до нескінченно розширюється файлу.

Вердикт

Fidelis Deception – одна з найбільш просунутих і зрілих платформ для обману кіберзлоумишленніков, яку оцінили керівники відділу безпеки багатьох компаній. Фальшиві ІТ-активи, які генеруються цим продути, дуже правдоподібні, ідеально поєднуються з реальним середовищем і можуть навіть взаємодіяти з такими ж правдоподібними, але при цьому фейковий користувачів. Додаткові функції, такі як «пісочниця», глибокий аналіз трафіку і захисні шари для фальшивих активів, додають ще більшу цінність. У світі, де хакери звикли знаходити обман і приманки всюди, Fidelis знайшов спосіб розгорнути чарівну систему оборони з фальшивих активів, яка готова захистити реальні ІТ-ресурси.

ПРИЄДНУЙТЕСЬ ДО НАС, ЩОБ ЗАВЖДИ БУТИ В КУРСІ АКТУАЛЬНИХ АКЦІЙ