Технология обмана

Технология обмана (также технология обмана и разрушения ) — это категория механизмов защиты кибербезопасности , которые обеспечивают раннее предупреждение о потенциальных атаках кибербезопасности и предупреждают организации о несанкционированной деятельности. Продукты с технологией обмана могут обнаруживать, анализировать и защищаться от атак «нулевого дня» и сложных атак, часто в режиме реального времени. Они автоматизированы, точны, ^[1] и дают представление о вредоносной активности во внутренних сетях , которая может быть невидима для других типов киберзащиты. Технология обмана направлена на то, чтобы обмануть злоумышленника, обнаружить его и затем победить.

Технология обмана учитывает точку зрения злоумышленников и методы использования сетей и навигации по ним для идентификации и кражи данных. Оно интегрируется с существующими технологиями, обеспечивая новый уровень прозрачности внутренних сетей, обмениваясь высоковероятными оповещениями и данными об угрозах с существующей инфраструктурой.

Технология: вид с высокого уровня

Технология Deception автоматизирует создание ловушек (приманок) и приманок, которые стратегически интегрируются среди существующих ИТ-ресурсов. Эти приманки обеспечивают дополнительный уровень защиты, позволяющий помешать злоумышленникам, проникшим в сеть. Ловушками могут быть ИТ-активы, которые используют подлинное лицензионное программное обеспечение операционной системы или эмулируют различные устройства, такие как медицинские устройства , банкоматы (банкоматы), системы розничных торговых точек , коммутаторы, маршрутизаторы и т. д. С другой стороны, приманки обычно состоят из реальных ресурсов информационных технологий, таких как файлы различных типов, которые размещаются на реальных ИТ-активах . Благодаря достижениям в области кибербезопасности программы обманных технологий становятся все более активными и выдают меньше ложноположительных предупреждений. Цель состоит в том, чтобы точно определить намерения нападающего, его тактику, технику и порядок действий. Эта информация позволит эффективно реагировать на технологические платформы обмана. ^[2]

Проникнув в сеть, злоумышленники стремятся установить бэкдор , а затем использовать его для идентификации и кражи данных и интеллектуальной собственности. Они начинают перемещаться по внутренним VLAN и почти сразу же «натыкаются» на одну из ловушек. Взаимодействие с одной из этих «приманок» вызовет предупреждение. Эти оповещения имеют очень высокую вероятность и почти всегда совпадают с продолжающейся атакой. Обман предназначен для того, чтобы заманить злоумышленника – злоумышленник может посчитать это достойным преимуществом и продолжить внедрение вредоносного ПО . Технология обмана обычно позволяет автоматически выполнять статический и динамический анализ внедренного вредоносного ПО и автоматически предоставляет эти отчеты персоналу служб безопасности. Технология обмана может также выявлять с помощью индикаторов компрометации (IOC) подозрительные конечные точки, которые являются частью цикла компрометации. Автоматизация также позволяет автоматически анализировать память подозрительных конечных точек, а затем автоматически изолировать подозрительные конечные точки.

Специализированные приложения

Устройства Интернета вещей (IoT) обычно не сканируются устаревшими системами глубокой защиты и остаются основной целью для злоумышленников внутри сети. Технология обмана может идентифицировать злоумышленников, проникающих в сеть внутри этих устройств.

Интегрированные готовые устройства, которые используют встроенные операционные системы , но не позволяют сканировать эти операционные системы или тщательно защищать их с помощью встроенного программного обеспечения для обнаружения конечных точек или вторжений, также хорошо защищены путем развертывания технологии обмана в той же сети. Примеры включают системы управления процессами (SCADA), используемые во многих производственных приложениях по всему миру. Технология обмана была связана с открытием Zombie Zero . ^[3] вектор атаки . Технология обмана идентифицировала этого злоумышленника с помощью вредоносного ПО, встроенного в считыватели штрих-кодов , произведенные за рубежом.

Медицинские устройства особенно уязвимы для кибератак в сетях здравоохранения. Будучи устройствами, сертифицированными FDA , они находятся в закрытых системах и недоступны стандартному программному обеспечению киберзащиты. Технология обмана может окружить и защитить эти устройства, а также идентифицировать злоумышленников, используя бэкдор и кражу данных. Недавние задокументированные кибератаки на медицинские устройства включают рентгеновские аппараты , компьютерные томографы , МРТ- сканеры, газов крови анализаторы , системы PACS и многое другое. Сети, использующие эти устройства, могут быть защищены с помощью технологии обмана. По оценкам, этот вектор атаки, называемый захватом медицинского устройства или medjack, проник во многие больницы по всему миру. ^[4]

Специализированные продукты на основе технологий обмана теперь способны противостоять росту числа программ-вымогателей , заставляя программы-вымогатели атаковать ложный ресурс, одновременно изолируя точки заражения и предупреждая команду программного обеспечения киберзащиты. ^[5]

История

Приманки были, пожалуй, первой очень простой формой обмана. Приманка появилась просто как незащищенный ресурс информационных технологий и представляла себя привлекательным для потенциального злоумышленника, уже находящегося в сети. Однако большинство первых приманок демонстрируют проблемы с функциональностью, целостностью и общей эффективностью в достижении этих целей. Ключевой трудностью было отсутствие автоматизации, обеспечивающей широкомасштабное развертывание; стратегия развертывания, направленная на покрытие предприятия, где необходимо защитить до десятков тысяч VLAN, не будет экономически эффективной с использованием ручных процессов и ручной настройки.

Разрыв между устаревшими приманками и современными технологиями обмана со временем уменьшился и будет продолжать сокращаться. Современные ловушки сегодня представляют собой нижний уровень технологий обмана.

Отличие от конкурентных/кооперативных технологий

Традиционные технологии киберзащиты, такие как межсетевые экраны и безопасность конечных точек, направлены в первую очередь на защиту периметра, но они не могут сделать это со 100% уверенностью. Эвристика может обнаружить злоумышленника внутри сети, но часто генерирует так много предупреждений, что критические оповещения пропускаются. На крупном предприятии объем оповещений может достигать миллионов оповещений в день. Персонал службы безопасности не может легко обработать большую часть активности, однако достаточно одного успешного проникновения, чтобы скомпрометировать всю сеть. Это означает, что киберзлоумышленники могут проникнуть в эти сети и беспрепятственно передвигаться в течение нескольких месяцев, похищая данные и интеллектуальную собственность .

Технология обмана генерирует оповещения, которые являются конечным продуктом двоичного процесса. Вероятность существенно сводится к двум значениям: 0% и 100%. Любая сторона, которая пытается идентифицировать, пропинговать , войти, просмотреть любую ловушку или использовать приманку, немедленно идентифицируется как злонамеренная из-за такого поведения, поскольку любой, кто прикасается к этим ловушкам или приманкам, не должен этого делать. Эта уверенность является преимуществом перед многими посторонними оповещениями, генерируемыми эвристическими и вероятностными методами.

Передовой опыт показывает, что технология обмана не является отдельной стратегией. Технология обмана — это дополнительный совместимый уровень существующей глубокоэшелонированной киберзащиты. Интеграция с партнерами делает его максимально полезным. Цель состоит в том, чтобы добавить защиту для самых продвинутых и изощренных злоумышленников, которые смогут успешно проникнуть за периметр.

См. также

Ссылки

↑ Цитаты Лоуренса Пингри в статье: Мария Королева (29 августа 2016 г.). «Технологии обмана растут и развиваются» . ЦСО онлайн . Архивировано из оригинала 30 июня 2018 года . Проверено 13 августа 2023 г.
^ «Что такое технология обмана? Важность и преимущества | Zscaler» . www.zscaler.com . Проверено 15 марта 2024 г.
^ Марко, Курт. «Как сканер заразил корпоративные системы и похитил данные: остерегайтесь троянских периферийных устройств» . Форбс . Архивировано из оригинала 24 сентября 2022 г. Проверено 13 августа 2023 г.
^ «Опасное состояние медицинской кибербезопасности» . 13 июля 2016 г. Архивировано из оригинала 3 ноября 2016 г. Проверено 2 ноября 2016 г.
^ «TrapX запускает инструмент обмана с помощью программы-вымогателя CryptoTrap» . 25 августа 2016 года. Архивировано из оригинала 31 октября 2016 года . Проверено 2 ноября 2016 г.

Дальнейшее чтение

Лэнс Шпицнер (2002). Honeypots отслеживают хакеров . Аддисон-Уэсли . ISBN 0-321-10895-7 .
Шон Бодмер; Макс Килгер; Грегори Карпентер; Джейд Джонс (2012). Обратный обман: организованное противодействие киберугрозам . Макгроу-Хилл Образование . ISBN 978-0071772495 .

[1] Цитаты Лоуренса Пингри в статье: Мария Королева (29 августа 2016 г.). «Технологии обмана растут и развиваются» . ЦСО онлайн . Архивировано из оригинала 30 июня 2018 года . Проверено 13 августа 2023 г.

[2] «Что такое технология обмана? Важность и преимущества | Zscaler» . www.zscaler.com . Проверено 15 марта 2024 г.

[3] Марко, Курт. «Как сканер заразил корпоративные системы и похитил данные: остерегайтесь троянских периферийных устройств» . Форбс . Архивировано из оригинала 24 сентября 2022 г. Проверено 13 августа 2023 г.

[4] «Опасное состояние медицинской кибербезопасности» . 13 июля 2016 г. Архивировано из оригинала 3 ноября 2016 г. Проверено 2 ноября 2016 г.

[5] «TrapX запускает инструмент обмана с помощью программы-вымогателя CryptoTrap» . 25 августа 2016 года. Архивировано из оригинала 31 октября 2016 года . Проверено 2 ноября 2016 г.

[1]

[2]

[3]

[4]

[5]