Как развивается отечественный рынок систем для создания инфраструктур ложных целей после ухода западных вендоров? Каково место продуктов класса Distributed Deception Platform (DDP) среди других средств информационной безопасности? Как правильно «пилотировать» DDP-систему и в какую сторону будут развиваться функциональные возможности таких решений?
- Введение
- Российский рынок DDP
- Технические особенности и нюансы DDP-систем
- Прогнозы экспертов
- Итоги эфира
- Выводы
Введение
За два года, которые прошли с момента нашего первого прямого эфира, посвящённого технологиям для создания инфраструктуры ложных целей, российский рынок DDP претерпел значительные изменения. Если ранее отечественные вендоры «догоняли» западных, стараясь обеспечить своим решениям соответствующие функциональные возможности, то теперь они находятся в свободном плавании и могут развивать имеющийся продукт ориентируясь лишь на запросы рынка и собственный взгляд на него.
Что сегодня происходит на российском рынке DDP? Привёл ли уход западных вендоров к резкому росту продаж отечественных разработок? Какие мотивы влияют сегодня на развитие продуктов и чем на самом деле является Distributed Deception Platform — полноценным ИБ-инструментом, вспомогательной системой или средством последней надежды? Эти и другие вопросы мы обсудили на очередной онлайн-конференции AM Live с представителями российских вендоров и системных интеграторов, специализирующихся на DDP.
Рисунок 1. Участники прямого эфира AM Live
Спикеры прямого эфира:
- Никита Ступак, руководитель направления по развитию бизнеса сетевой и инфраструктурной безопасности компании «Инфосистемы Джет»;
- Антон Чухнов, генеральный директор компании «АВ Софт»;
- Иван Шаламов, менеджер продукта Threat Deception Platform компании R-Vision;
- Александр Щетинин, генеральный директор компании Xello.
Ведущий и модератор дискуссии: Александр Русецкий, заместитель технического директора компании Positive Technologies.
Российский рынок DDP
Что такое DDP
Как обычно, мы начали прямой эфир с определений. Модератор предложил гостям студии рассказать, что такое Distributed Deception Platform, а также привести примеры задач, которые может решать этот класс продуктов. Александр Русецкий отметил, что в его практике внедрение DDP часто рассматривалось как «вишенка на торте» — дополнительное средство безопасности, когда основная защита уже построена.
Александр Русецкий, заместитель технического директора компании Positive Technologies, ведущий и модератор дискуссии
Никита Ступак:
— В моём понимании Distributed Deception Platform — это система или платформа, которая помогает выявить злоумышленника на этапе горизонтального перемещения, так называемого «lateral movement». Это может быть не только внешний, но и внутренний злоумышленник.
Иван Шаламов:
— DDP может быть использована для «ловли на живца». Так, у нас есть кейс, когда заказчик с целью выявить внутреннего нарушителя подготовил с помощью Distributed Deception Platform базу данных с ложными сведениями. Человек, который уже находился внутри инфраструктуры, слил эти данные и был пойман за руку.
Иван Шаламов, менеджер продукта Threat Deception Platform компании R-Vision
Антон Чухнов:
— Основные составляющие DDP-платформ — это ловушки и приманки. Задача приманок — заманить злоумышленника в те ловушки, которые мы расставляем как внутри инфраструктуры, так и за её периметром. DDP используется для того, чтобы на этапе бокового перемещения завести злоумышленника не на реальную инфраструктуру, а на ложные объекты.
Александр Щетинин:
— Согласно матрице MITRE ATT&CK, DDP работает не только в случае «lateral movement», но и на фазах «credential access», «collection» и так далее. По собранной нами информации, крупные заказчики действительно чаще используют такие системы как «вишенку на торте», а небольшие — как дешёвый и эффективный ИБ-мониторинг.
Александр Щетинин, генеральный директор компании Xello
Distributed Deception Platform решает задачи выявления внешних злоумышленников, которые могут долго бездействовать после проникновения в сеть. Такие системы также позволяют обнаруживать внутренних злоумышленников, включая тех сотрудников, которые могут принести компании вред по незнанию. «Приманками» могут быть, например, учётные данные и другие объекты, расположенные непосредственно на хостах. «Ловушки» же — это эмуляция сетевых объектов, серверов, IoT.
Есть ли у систем класса Distributed Deception Platform отраслевая специфика? Эксперты AM Live рассказали, что DDP-системы могут использоваться в различных отраслях. Безусловно, специфика есть, поскольку необходимо эмулировать различные, характерные для определённой области деятельности, системы. Для этих целей важно иметь возможность индивидуализации ловушек. Заказчик может самостоятельно настроить ловушки в соответствии со сферой своей деятельности (при наличии достаточного уровня экспертности) или же обратиться за помощью к интегратору.
Как изменился рынок DDP за последний год
Повлияли ли на российский рынок DDP события последнего года? Стало ли российским компаниям легче продвигать свои решения, возрос ли спрос на такие платформы?
Эксперты отметили, что за последний год число кибератак существенно возросло, причём в киберпреступность вовлечены не только опытные злоумышленники, но и те люди, которые только погрузились в этот процесс. DDP помогает выявить в том числе и таких новичков. Ещё одним стимулом роста является уход зарубежных вендоров, работавших в этом сегменте отечественного рынка. По словам спикеров, спрос на DDP в последнее время постоянно растёт.
С другой стороны, в данный момент у многих заказчиков есть первоочередные задачи смены так называемых «базовых» инструментов безопасности (с зарубежных на отечественные), поэтому компании, которые проявляли интерес к инструментам обмана злоумышленников, сейчас нередко откладывают принятие решения о покупке. Гости студии высказали мнение, что в целом российский рынок DDP развивается в русле общемировых тенденций, однако имеет свою специфику, связанную с импортозамещением и поддержкой отечественных операционных систем.
Прямой эфир AM Live собрал заинтересованную аудиторию, которая неплохо разбирается в теме. Об этом свидетельствуют результаты опроса зрителей, из которых следует, что 37 % специально изучали тему DDP, а 13 % — «пилотировали» одно из таких решений. Ещё 9 % респондентов внедрили и используют Distributed Deception Platform для обеспечения безопасности своей компании. Слышали о DDP ещё в 90-х, но с тех пор не интересовались этой темой 24 % зрителей, а 17 % впервые услышали о таких ИБ-инструментах из анонса онлайн-конференции.
Рисунок 2. Оцените ваш уровень знакомства с обманными системами / технологиями DDP
Distributed Deception Platform: аргументы для заказчика
Как убедить заказчика в необходимости покупки DDP? Есть ведь множество бесплатных систем этого класса. Спикеры в студии считают «пилотирование» системы одним из наиболее удобных способов показать потенциальному клиенту эффективность обмана злоумышленников. Полезным вариантом «пилотирования» является проведение пентеста, который способен наглядно показать полезность Distributed Deception Platform для информационной безопасности компании. Ещё одним способом обосновать покупку платформы для создания ложных целей могут быть экономические аргументы, понятные бизнесу. Ущерб от утечки данных или деятельности программы-шифровальщика можно рассчитать вполне точно. Финансовую оценку ущерба от реализации угроз можно сравнить с ценой решения, которое может эти угрозы предотвратить.
Бесплатные системы, по мнению наших экспертов, не так уж и бесплатны для компании-пользователя. Ведь для их эксплуатации и внедрения нужны специалисты, время, ресурсы, причём обеспечить всё это должна сама организация. В случае с коммерческим решением часть расходов ложится на плечи вендора и интегратора, которые обеспечивают экспертную и техническую поддержку, дают консультации, выпускают обновления. В общем случае проприетарные решения проще в эксплуатации и безопаснее, чем системы создаваемые сообществом разработчиков на «общественных началах». Кроме того, коммерческие вендоры часто готовы реализовывать специфические требования крупных заказчиков, в то время как команды разработчиков открытого кода не предоставляют такого сервиса.
Технические особенности и нюансы DDP-систем
Какие модули входят в состав Distributed Deception Platform
Второй блок онлайн-конференции, посвящённый техническим особенностям реализации DDP-систем, ведущий начал с вопроса об архитектуре таких решений, попросив экспертов рассказать, какие модули входят в состав Distributed Deception Platform. По мнению гостей студии, классическая DDP включает в себя:
- Сервер управления, обеспечивающий работу ловушек и приманок.
- Серверы в сети, реализовывающие работу ловушек (трап-серверы).
- Сети с ловушками, подключённые к трап-серверам.
- Приманки, размещённые на хостах сети.
Важно, что между сервером управления и хостом пользователя не должно быть прямой сетевой связи. Distributed Deception Platform может строиться как агентское, безагентское или гибридное решение. Агенты в ряде случаев могут быть удобнее, но они могут быть заметны на оконечном устройстве, поэтому необходимо маскировать их. Системы могут различаться также способами распространения целей и вариантами работы с ловушками.
Большинство зрителей AM Live применяют для обнаружения атак или аномалий во внутренней сети предприятия сетевые IDS. Такой ответ в ходе проведённого нами опроса дали 49 % нашей аудитории. Используют хостовые решения EDR / XDR 12 % респондентов, а ещё 6 % применяют два или более инструментов этого класса. Сетевые системы NTA / NDR не набрали ни одного голоса. Вообще не используют систем обнаружения атак во внутренней сети 33 % наших зрителей.
Рисунок 3. У вас есть система обнаружения атак или аномалий во внутренней сети предприятия?
Ловушки и приманки
Продолжая разбираться в технических особенностях реализации DDP-систем, мы решили спросить у спикеров AM Live, чем ловушки отличаются от приманок и какие их типы сейчас используются. Эксперты пояснили, что приманки размещаются на реальных хостах. Это могут быть учётные данные, приложения, кешированная информация — всё, что может заинтересовать злоумышленника. Ловушки же — это эмуляция некоторых объектов, которые могут быть интересны атакующему. Приманки и ловушки взаимосвязаны: первые ведут ко вторым.
Как достигается реалистичность ловушек для злоумышленников? По мнению наших экспертов, ловушки должны содержать элементы, на которые обычно обращают внимание хакеры. Например, специально сгенерированный трафик может имитировать работу конкретного устройства. Высокоуровневые ловушки взаимодействуют со злоумышленником, реагируя на команды так же, как это сделал бы настоящий сервер. Иногда заказчики разворачивают целую виртуальную сеть, которая полностью имитирует работу реального сегмента. Попав туда, злоумышленник уже не может добраться до реальной инфраструктуры; офицеры безопасности могут наблюдать за всеми его перемещениями и изучать поведение.
Может ли заказчик самостоятельно создать некоторые объекты инфраструктуры, которые будут выступать в качестве ловушек и приманок, осуществляя их мониторинг через SIEM? По словам экспертов в студии, поддержка такой самодельной DDP будет обходиться дороже готового решения, поскольку надо будет регулярно обновлять ловушки и приманки, что является весьма трудоёмким процессом. Среднее рекомендуемое время обновления приманок — от недели до одного-двух месяцев. При этом существуют приманки, которые можно и нужно обновлять ежедневно.
Кто может быть заказчиком DDP
Как определить, достигла ли компания достаточной зрелости, чтобы внедрять Distributed Deception Platform? Как отметили наши эксперты, в первую очередь в организации должен быть реализован мониторинг инцидентов в безопасности и организовано реагирование на них. При этом инвентаризация активов не имеет решающего значения: важно общее представление об инфраструктуре и сегментах, которые являются критически значимыми или наиболее уязвимыми. Как минимум, до начала внедрения можно опросить заказчика, чтобы понимать масштаб инфраструктуры.
Distributed Deception Platform могут лицензироваться по количеству ловушек, по количеству подсетей, которые защищаются системой, или по количеству хостов с приманками. Сколько нужно разместить ловушек и приманок, чтобы обеспечить защиту заказчика? Конечно, чем больше элементов DDP будет задействовано, тем лучше, однако количество сетевых ловушек во многом зависит от инфраструктуры заказчика, в частности — числа свободных адресов.
В каком качестве платформы DDP могут быть интересны вашей организации? Такой вопрос мы задали зрителям прямого эфира AM Live. Почти половина (48 %) нашей аудитории в первую очередь заинтересованы в Distributed Deception Platform как в средстве раннего обнаружения атак. Считают его средством последней надежды, которое поможет тогда, когда остальные СЗИ не сработали, 8 % опрошенных. Полагают, что DDP поможет замедлить развитие атаки, 5 % респондентов. Не заинтересованы в применении обманных целей 5 % участников опроса, а 34 % зрителей затруднились с ответом.
Рисунок 4. В каком качестве платформы DDP могут быть интересны вашей организации?
Комментируя результаты опроса, эксперты отметили, что DDP способна закрыть все вышеперечисленные потребности, и особенно подчеркнули то, что решения такого класса заслуженно считаются средством последней надежды. Если злоумышленник уже проник в сеть и не был обезврежен всеми прочими СЗИ, значит, атака прошла успешно и у нарушителя развязаны руки для дальнейших действий. Distributed Deception Platform не конкурирует с другими средствами безопасности, однако если обманные цели сработали, это повод задуматься о том, как настроены и насколько эффективно работают прочие инструменты.
Интеграция Distributed Deception Platform с другими системами
В продолжение беседы Александр Русецкий попросил спикеров онлайн-конференции рассказать, с какими средствами информационной безопасности могут быть интегрированы системы DDP и в чём выгода заказчика от такой интеграции. Гости студии пояснили, что Distributed Deception Platform может быть интегрирована с EDR, песочницами, SOAR-системами и другими ИБ-инструментами. Применение такой платформы позволяет сократить время на расследование инцидентов, а минимальное количество ложных срабатываний даёт возможность оперативно проводить анализ произошедшего.
В первую очередь интеграция DDP может быть выполнена с системами мониторинга, которые получают от инфраструктуры ложных целей уведомления с высокой степенью достоверности. Второе направление интеграции — совместная работа с инструментами реагирования, которые на основании данных DDP блокируют вредоносную активность или, как минимум, получают индикаторы компрометации.
«Пилотирование» DDP-систем
Как проходит «пилот» Distributed Deception Platform? Какие нюансы могут появиться в ходе его проведения? Какие существуют критерии успеха? Наши эксперты рассказали, что после проявления интереса к «пилотированию» продукта заказчик должен заполнить опросник. Далее специалисты вендора или интегратора готовы в кратчайший срок развернуть минимальную конфигурацию DDP на работающем или специальном тестовом сегменте сети. Целью «пилотирования» может быть как обнаружение реальных кибератак, так и тестирование функций и возможностей системы.
Для снятия вопросов об эффективности DDP-решений специалисты рекомендуют совместить «пилотирование» с пентестом. Атака Red Team сможет на практике показать, как работает конкретный инструмент безопасности. Без моделирования атаки на инфраструктуру можно проверить Distributed Deception Platform в реальной работе, однако в этом случае инцидента можно ждать долго. По результатам «пилотирования» заказчик получает отчёт, в котором отражены критерии оценки и результат работы системы в разрезе каждого из них. Одним из таких критериев является влияние DDP на ИТ-инфраструктуру заказчика.
По мнению зрителей AM Live, основным недостатком DDP-систем является их недостаточная индивидуализация. Такого мнения придерживается 21 % опрошенных нами зрителей. Варианты «Высокая стоимость» и «Большая нагрузка на ИТ-инфраструктуру» набрали по 17 % голосов. Ещё 8 % участников опроса считают, что обманные платформы несовершенны и легко обнаруживаются злоумышленниками. Ровно четверть опрошенных затруднились ответить на этот вопрос.
Рисунок 5. Каков главный недостаток платформ DDP с вашей точки зрения?
Прогнозы экспертов
Как будут развиваться отечественные DDP-системы и что ждёт российский рынок обманных целей в ближайшие несколько лет? Спикеры AM Live поделились своими прогнозами.
Никита Ступак:
— Логическое развитие DDP-систем — это дополнение каких-то модулей в соответствии с видением продукта вендором и обратной связью со стороны заказчика. Вторая возможность развития — это учёт отраслевой специфики, например АСУ ТП, которые сегодня на подъёме и, безусловно, будут развиваться.
Никита Ступак, руководитель направления по развитию бизнеса сетевой и инфраструктурной безопасности компании «Инфосистемы Джет»
Иван Шаламов:
— Обязательно будет развитие в сторону EDR / XDR или ITDR, поскольку хостовая защита, обнаружение и реагирование очень важны. Возможно, это не вопрос ближайшего года, но мне кажется, что в течение трёх лет все решения перейдут от «чистого» Deception к смеси DDP и защиты на хостах.
Антон Чухнов:
— Помимо интеграции я бы добавил ещё и автоматизацию рутинных задач. Три кнопки — «Установить», «Развернуть», «Запустить» — это направление, по которому сейчас развиваются все продукты. Также важный момент с точки зрения развития DDP — это поддержка отраслевого оборудования и софта.
Антон Чухнов, генеральный директор компании «АВ Софт»
Александр Щетинин:
— Хочется пожелать нам всем развивать свои продукты красиво, потому что можно «перекачать» какой-то определённый модуль и потерять связь с реальностью. Я с настороженностью отношусь к тенденции «обрастания» Deception разными модулями: этот процесс должен развиваться в правильном направлении.
Итоги эфира
Как обычно, в конце эфира мы поинтересовались у зрителей их мнениями о DDP-системах по результатам дискуссии в студии. Как оказалось, 41 % опрошенных заинтересовались технологией ложных целей и собираются её тестировать. Столько же участников опроса нашли тему интересной, но пока неактуальной для своей компании. Считают DDP больше хайпом, нежели реальным инструментом SecOps, 7 % респондентов, такое же количество зрителей выразили мнение, что спикеры в студии были недостаточно убедительны. Не поняли, о чём шла речь во время эфира, 4 % зрителей.
Рисунок 6. Каково ваше мнение относительно DDP после эфира?
Выводы
Одним из ключевых трендов российского рынка DDP сегодня является движение в сторону отраслевой специализации. Заказчики заинтересованы в том, чтобы приманки и ловушки максимально соответствовали реальным элементам их инфраструктуры, а значит, DDP для медицинского учреждения и для промышленного предприятия должны обладать разными арсеналами обманных целей. Для лучшей индивидуализации ложных объектов всё больше будет использоваться машинное обучение, а сами системы развёртывания «обманок» станут проще.
В будущем DDP, с одной стороны, ещё плотнее интегрируются со средствами мониторинга и реагирования, а с другой — начнут сами «обрастать» дополнительными модулями, превращаясь в универсальный инструмент защиты внутри сети. Впрочем, для этого вендорам предстоит преодолеть некоторое сопротивление заказчиков, по-прежнему считающих Distributed Deception Platform неким необязательным, дополнительным средством защиты, а не полноценным ИБ-инструментом.
Проект AM Live продолжает держать руку на пульсе отечественного рынка информационной безопасности и в рамках прямых эфиров обсуждать с экспертами наиболее актуальные проблемы индустрии. Чтобы не пропускать новые выпуски, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!
