Deception – минное поле для хакера: как скормить атакующему ложную информацию?

Вице-президент Gartner Нейл МакДональд (Neil MacDonald) на мероприятии Gartner Security & Risk Management Summit 2017 сказал: 

“	В 2017 году уровень ИБ-угроз остается на очень высоком уровне. По мере того, как злоумышленники совершенствуют свои навыки и инструментарий, предприятия также должны развивать свои возможности по защите от атак.

27 июня 2017 года эта прописная истина стала очевидной даже для людей, далеких от отрасли ИБ. Кибератака с эпицентром в Украине поразила сотни предприятий по всему миру. В очередной раз CISO по всему миру убедились, что традиционные подходы к обеспечению ИТ-безопасности на основе превентивных решений по защите периметра и рабочих мест перестали быть эффективными. Очевидно, что отрасли нужны новые классы решений и новые стратегии.    

По итогам Gartner Security & Risk Management Summit был сформулирован и озвучил ряд наиболее перспективных технологий информационной безопасности, в том числе и Deception. 

Что же это такое?

Deception технология – это использование техник активного обмана атакующих с применением специализированных ловушек, приманок и других методов дезинформации. 

Благодаря использованию deception-технологии внутри корпоративного периметра предприятия получают возможность раннего обнаружения наиболее опасных направленных атак, которые успешно преодолели другие превентивные механизмы, такие как межсетевые экраны, системы предотвращения вторжений и антивирусные решения. 
 

Кроме того, использование этой стратегии позволяет значительно затруднить и снизить скорость продвижения атакующего внутри сети, существенно ограничить возможности использования автоматизированных инструментов атаки, которые и были использованы в ходе атаки Petya A. Поэтому deception-решения можно отнести не только к классу мониторинговых систем, но и к инструментам активного противодействия. 
 

Несмотря на то, что сам термин Deception еще достаточно новый, в основе решения лежит старая добрая концепция Honeypot-ов, но с принципиально другим уровнем реализации, возможностями масштабирования и автоматизации. Есть целый ряд бесплатных, open-source продуктов, но возможность применения их в enterprise-среде вызывает вопросы.

Также есть ряд успешных коммерческих deception-платформ, таких как TrapX, Illusive Networks, TopSpin Security, Attivo Networks, отдельные элементы deception есть в других продуктах, таких как, например, Inside IDR от Rapid7. Так что сама идея не нова, но продукты, которые позволяют ее успешно реализовать в корпоративной среде появились относительно недавно. Первой ласточкой в 2011 году стала Израильская разработка TrapX DeceptionGrid, который давно и успешно используется на самых критичных объектах Израиля. 

Кейс по использованию Deception

В этому году хорошим примером использования Deception был кейс En Marche!, партии и избирательного штаба Макрона. Понимая высокий профессиональный уровень хакеров, специалисты из штаба En Marche! решили использовать иную тактику: контратаку. В итоге было решено применить классическую стратегию с ловушками. Было создано множество фейковых почтовых ящиков с поддельной информацией, которая, как и предполагалось,  была украдена и обнародована. Но, естественно, вреда для предвыборной кампании это не принесло – Эммануэль Макрон стал Президентом Франции. 

Deception может стать отличным выбором для тех клиентов, в инфраструктуре которых есть много встроенных, специализированных компьютеров, SCADA-устройств, возможности по защите которых часто очень ограничены. Так, специалисты TrapX успешно обнаружили направленную атаку, источником которой был ПК, встроенный в анализатор уровня кислорода в крови пациента (кейс Medjack).

Другим хорошим примером является кейс Zombie_Zero, когда благодаря этому решению крупная логистическая компания обнаружила, что их новые складские PDA пришли от производителя с прошивкой, в которую уже были встроены недокументированные средства удаленного доступа и управления.  
 

Хотите испытать решение в своей инфраструктуре? Отправьте запрос на пилотный проект сейчас >

Как это работает?

Многочисленные публикации и открытые кейсы успешных взломов самых защищенных систем в разных странах мира явно свидетельствуют о том, что традиционные превентивные техники уже не работают. Злоумышленники рано или поздно находят способ проникнуть в периметр. После этого начинается, так называемый, период скрытого распространения. В зависимости от отрасли и региона этот период в среднем составляет 99 дней в США, 106 дней в регионе EMEA, 172 дня в регионе APAC (M-Trends 2017, A View From the Front Lines, Mandiant). В ходе атаки на энергосистемы Украины злоумышленники были в сети около года. 
 

На этом этапе задача атакующей стороны состоит в том, чтобы подобраться к тем ИТ-активам, которые являются целью атаки, и при этом остаться незамеченными. Соответственно, главная задача защищающейся стороны обратная – максимально быстро обнаружить злоумышленника в сети. 
 

На этом этапе атакующие активно собирают информацию внутри сети и используют ее для построения вектора атаки. В наше время атакующие стараются не использовать таких «шумных» инструментов, как активное сетевое сканирование, взлом паролей методом перебора и т.п. Они стремятся максимально использовать информацию, которую они могут собрать на скомпрометированных рабочих станциях – пароли, сетевое окружение, закладки, файлы пользователей и конфигурации систем. При этом, они исходят и действуют из того, что эта информация подлинная. А что если это не так?
 

Используя современные deception-системы, предприятие может создать виртуальное «минное поле» для атакующей стороны, насытить информационное пространство атакующего ложной информацией, использование которой моментально его обнаруживает. Так, deception-решения позволяют обнаружить атакующего за считанные часы, а то и минуты. 
Например, если атакующий сканирует сеть или осуществляет пассивный сбор сетевых пакетов, его можно обмануть, показав множество поддельных устройств, привлекательных для атаки, на которых активны сервисы с уязвимостями.

При этом, современные deception-решения позволяют генерировать такие «ловушки», которые невозможно отличить от реальных Windows/Linux/Mac-устройств, сетевого оборудования, банкоматов, POS-устройств, SCADA-устройств, баз данных, корпоративных приложений (Oracle, SAP, CyberArk и т.п.) и даже SWIFT-инфраструктуры. Любая попытка взаимодействия с этими «сенсорами» приведет к обнаружению атакующего. 

На этапе сбора паролей с захваченной рабочей станции deception-решения позволяют «скормить» атакующему ряд ложных паролей, использование которых моментально и со 100% достоверностью просигнализирует об атаке. TrapX Deception Grid позволяет создавать множество таких «приманок» в виде паролей, закладок, сохраненных сессий различных сервисов, конфигурационных файлов, присоединенных сетевых дисков и т.п. 
 

Весь  дополнительный «маскировочный» информационный слой не виден обычным пользователям. Поэтому любое взаимодействие с такой сенсорной системой практически с 99% достоверностью сигнализирует о начавшейся атаке. Все шаги и действия злоумышленника протоколируются, автоматически собираются все данные о тактике атакующей стороны, происходит автоматический анализ инструментария хакеров.  
 

Достаточно просто один раз увидеть и вы поймете всю силу и важность технологии Deception для защиты инфраструктуры. Ресурсы нашей компании позволяют провести комплексную демонстрацию и пилотный проект технологии Deception. Отправить запрос >

Разбор возможностей на кейсе Petya-A

Если вернуться к кейсу Petya-A, то использование deception-решения позволяет очень быстро выявить и ликвидировать эту угрозу на этапе распространения, так как вирус перечисляет все доступные ему по сети машины через вызов NetServerEnum и затем сканирует на наличие открытого TCP 139/445 порта. Уже на этом этапе мы выявляем факт сетевого сканирования и можем прекратить атаку, изолировав скомпрометированную рабочую станцию.

Следующим этапом являлось тестирование найденных хостов на наличие уязвимости MS 17-010. Это событие однозначно распознается как Reconnaissance с соответствующим уведомлением ИТ-служб. Параллельно вирус собирал пароли с помощью Mimikatz. Используя найденные пароли Petya.A с помощью PSEXEC и WMI заражал рабочие станции, неуязвимые для EternalBlue/EternalRomance.

На этом этапе, используя TrapX, мы обнаруживаем факт использования наших заранее подготовленных и размещенных учетных данных, взаимодействие с нашими сенсорами через управляющие интерфейсы, что является 100% индикатором атаки. В консоли появляются события типа Interaction и Infection и уже разумно автоматически изолировать скомпрометированные рабочие станции в карантинной подсети за счет интеграции с NAC-системами. 

Кроме непосредственного обнаружения атаки, мы имеем возможность автоматически провести статический и динамический анализ вредоносного кода, для того, чтобы, как минимум, быстро сформировать индикаторы компрометации (IoCs) и с помощью, например, SIEM, проверить весь парк ПК и серверов на их наличие, выявить, изолировать и восстановить все подвергшиеся атаке активы.  
 

Большим преимуществом deception-решений является то, что они могут быть внедрены достаточно быстро и не используют агентов. Поэтому отсутствует риск негативного влияния на работу существующих информационных систем. Благодаря широким возможностям интеграции с другими защитными решениями, такими как «песочницы», SIEM, NAC, антивирусные решения, возможно создавать сценарии автоматического реагирования на угрозы сразу в момент их появления. 

Вместо резюме: основные преимущества deception-решений

1. Быстрое обнаружение квалифицированных атакующих или вредоносного кода внутри сети, даже после того, как они преодолели все защитные рубежи
2. Очень низкий уровень ложных срабатываний
3. Минимальное влияние на существующую инфраструктуру - нет необходимости в перестройке сети, нет агентов, нет риска «что-то поломать»  
4. В отличие от классических «honeypots», при применении современных deception-решений дополнительные затраты на системное ПО не требуются
5. Защищает Ваши инвестиции в информационно безопасность за счет интеграции и усиления существующих ИБ-решений. 

Но и как уже говорили, стоит один раз попробовать  и в реальности осознать важность и возможности решения DeceptionGrid Platform. 
Безопасность не ждет. Отправьте запрос сейчас, не откладывайте на завтра >

Автор статьи: 
Алексей Лозиков, Business Development Manager компании Softprom - официальный дистрибьютора TrapX Security.