Deception: Ravnopravni deo sigurnosnog ekosistema

Kada govorimo o IT bezbednosti, iskustvo nas uči da ne postoji sistem koji će nas zaštititi u potpunosti.

Možete da uložite desetine i stotine hiljada evra u različite sigurnosne sisteme, ali nećete dobiti stoprocentnu garanciju. To znači da se IT bezbednost suštinski bavi smanjenjem rizika: ulaganjem u nju, vi u stvari smanjujete rizik od potencijalnih proboja ili krađe podataka.

Da li ste znali?
18% organizacija je prijavilo ransomware napad u 2020. godini.

Ipak, nije sve baš tako crno. Deception tehnologija je u poslednje vreme postala važan strateški alat u mnogim organizacijama: iskusni profesionalci sajber-bezbednosti su već dobro upoznati sa MITRE. Poznat po MITRE ATT&CK pristupu, MITRE pomaže u razvoju modela pretnji i odbrambenih metodologija – kako za privatnu, tako i za javnu zajednicu sajber bezbednosti. MITRE je nedavno u svoj portfolio dodao i MITRE Shield, aktivnu bazu znanja koja beleži i organizuje bezbednosne tehnike u skladu sa MITRE ATT&CK merama.

Da li ste znali?
Sajber napad se odvija na svakih 39 sekundi.

MITRE Shield metodologija je fokusirana na aktivnu odbranu i angažovanje napadača, što menja tradicionalnu pasivnost mrežne odbrane. Ovo je prvi put da se Deception referencira u okviru MITRE metodologije, i to je veoma važno.

Sajber kriminalci stalno razvijaju i unapređuju svoje taktike, što tradicionalna rešenja čini nedovoljnim za odbranu od današnjih sofisticiranih napada. Kompanije više ne smeju da sede mirno, u nadi da će firewall biti dovoljan za zaštitu kritičnih sistema i informacija: umesto toga, treba da razmotre upotrebu „aktivne odbrane“ opisane u MITRE Shield metodologiji, kako bi borba sa napadačima bila ravnopravnija.

Da li ste znali?
Ransomware napadi su se zbog Covid-19 krize u martu 2020. povećali za 148%.

Zašto Deception?

Važnost Deception tehnologije ogleda se u tome što ona prevazilazi jednostavnu detekciju, kako bi se identifikovalo i sprečilo lateralno pomeranje – jedan od najtežih aspekata odbrane mreže. Poslednjih nekoliko meseci su bili posebno izazovni za sigurnosne timove: globalna pandemija i nagli prelazak na rad na daljinu su učinili mnoge organizacije ranjivijim. Sajber kriminalci su ovoga itekako svesni, i to stanje jako dobro koriste.

Broj odliva podataka u 2020. godini gotovo se udvostručio u poređenju sa prethodnom godinom, sa više od 3.950 incidenata u avgustu. Tu čak nisu uračunati proboji koji još uvek mogu biti neotkriveni, a u kojima su napadači dobili pristup mreži kompanije i planiraju svoje poteze nedeljama ili mesecima pre nego što pokrenu napad.

Da li ste znali?
Prosečna ransomware isplata se povećala za 33% – na $111,605 – u poređenju sa Q4 2019.

Deception je praktično mreža u senci. Zamke ne dodiruju stvarnu infrastrukturu, što je čini izuzetno korisnim rešenjem za najrazličitija okruženja, uključujući IT, OT i Internet of Things (IoT) uređaje.

Kako Deception funkcioniše?

Postavljajući asete koji su praktično mamci i kreirajući lažne podatke, Deception predstavlja lažni sloj (layer) u vašoj infrastrukturi. Ovo je efikasna odbrana od pretnji, jer će samo sistem ili osoba koji nešto aktivno traže (ili ako je reč o pogrešnoj konfiguraciji) doći u kontakt sa lažnim slojem.

Osim toga, ukoliko unutrašnja pretnja uđe u interakciju sa lažnim slojem, ugrozivši pri tome pravi aset –  to znači da je zaobišla sve vaše sigurnosne kontrole. Zbog toga su forenzički podaci Deception rešenja veoma važan deo vaše svesti o pretnji. Oni omogućuju otkrivanje proboja u ranoj fazi: onog trenutka kada dobijete prvo upozorenje od Deception sistema, možete da razmišljate o tome da li vam je potrebna dodatna forenzika, kako da organizujete eksperte koji će ukloniti pretnju, i tako dalje.

Osim što „hrani“ postojeće alate informacijama, Deception tehnologija je takođe korisna za donošenje sigurnosnih odluka. Šta da se radi sa napadačem? Treba li ga zadržati, nadgledati, umanjiti ili uništiti? Na koji način možete da iskoristite forenzičke podatke? Da li možete da iskoristite identifikovani IoC (Indicator of Compromise) i pronađete uređaje sa istim profilom infekcije? Da li možete da zaustavite procese kako biste uklonili rizik?

Konačno, koristeći forenzičke podatke, možete da ojačate svoju firewall infrastrukturu i blokirate maliciozne IP adrese povezane sa kampanjom. Ukoliko je napadač ubrizgao maliciozni kod u vaš sistem kako bi obezbedio spoljni pristup, ovaj kod može da se analizira i skladišti u sigurnosni ekosistem kako bi se sprečila C&C (Command and Control) aktivnost pre nego što napad uopšte i započne. Sa druge strane, možete promeniti kredencijale pri prvom znaku kompromitovanog naloga.

Kao što vidite, Deception tehnologija koristi klasične, dobro poznate alate iz vašeg sigurnosnog arsenala. Ovi alati vam pomažu da unapredite sigurnosni ekosistem, i to tako da može da se odbrani i od napada koji vam promaknu.

OSTAVITE ODGOVOR

Ваша адреса е-поште неће бити објављена. Неопходна поља су означена *