Перейти к основному содержанию

Проникнув внутрь сети, киберпреступники прилагают усилия к тому, чтобы узнать об инфраструктуре как можно больше и остаться при этом незамеченными. Как правило, им это удаётся: практика показывает, что среднестатистическая скомпрометированная компания месяцами не подозревает о присутствии киберпреступников. Проблема осложняется, если в сети нет никаких средств, способных порождать уведомления и сигналы тревоги при подозрительных происшествиях.

Чем дольше деятельность злоумышленников остаётся незамеченной, тем больший ущерб они могут нанести. Вполне возможно, что уже сейчас внутри вашего периметра осуществляются деструктивные операции. Получая доступ к реальным серверам и рабочим станциям, латерально перемещаясь по узлам сети, находя уязвимости и повышая привилегии, члены киберпреступных группировок строят фундамент для быстрой и эффективной атаки. Вся их длительная подготовка нацелена на то, чтобы служба информационной безопасности не успела не только отреагировать на нападение, но и даже просто вовремя обнаружить его. 

Индустрия информационной безопасности разработала несколько способов противодействия подобной активности. Один из этих способов, который можно применить в корпоративной сети с помощью экспертов «Инфратех», — развёртывание инфраструктуры ложных целей, или «ханипотов».

Ключевая идея, которая лежит в основе этого подхода, проста и известна ещё с тех пор, когда о защите информации никто не задумывался: заманить оппонента в ловушку, создав для него приманку и направив по неверному пути. В корпоративной сети создаётся множество виртуальных узлов, которые выглядят так же, как обычные рабочие станции или серверы, но при этом не участвуют в реальных процессах – то есть попасть на эти узлы можно только в результате несанкционированных действий, и как только нечто подобное происходит, «ханипот» отправляет информационное сообщение в подразделение, ответственное за информационную безопасность. С этого момента активность злоумышленника, активировавшего ложную цель, становится видна специалистам по защите информации, и далее они получают возможность контролировать происходящее.

Возможности предлагаемых нами развитых и качественных систем для организации ловушек не ограничиваются имитацией терминалов и других сетевых ресурсов. «Ханипоты» могут иметь разные формы: документы, базы данных, электронные письма. Каждый такой объект разрабатывается с целью сделать его максимально привлекательным для потенциальных взломщиков, чтобы среди прочих вариантов выбор пал именно на него.

Инфраструктура ложных целей позволяет не только обнаружить нарушителя, но и замедлить его продвижение к реальным важным целям, ограничив его операции виртуальными хостами, где нет никакой ценной информации. В таком сценарии вполне вероятно, что злоумышленник посчитает компанию не заслуживающей больших усилий и отправится искать более выгодную жертву. Ряд разработок этого класса достаточно совершенен для того, чтобы имитировать операционную среду самого киберпреступника – и тогда он, считая, будто отдаёт команды собственному компьютеру, отправит в «ханипот» полезные для расследования и для деанонимизации сведения.

«Инфратех» сотрудничает с лучшими производителями решений для организации инфраструктур ложных целей. Мы оказываем услуги по предварительному консультированию при выборе, по сопровождению внедрения и развёртывания купленного или арендованного решения, по его последующей технической поддержке и адаптации к новым потребностям бизнеса.