Ловушка для киберпреступников

13 Dec 2017
777
Прослушать

Профессионалы в области сетевой безопасности сегодня стали использовать новый метод борьбы с кибератаками на фоне продолжающихся усилий по защите персональной медицинской информации - они создают так называемые обманные сети (deception networks).

Обманная сеть выглядит как реальная и ведет себя также как обычная, за исключением того, что она "играет" с киберпреступниками, заставляя их думать, что одно неверное движение позволит заметить их присутствие в сети, что одновременно замедляет их деятельность и облегчая их поимку.

Сам метод представляет собой всего лишь несколько строк кода, который помещается в стратегических местах в сети. Т.е. обманная сеть представляет собой многочисленные наборы приманок и ловушек, которые размещены внутри реальной сети и в ее конечных точках. Она создается таким образом, чтобы привлекать, замедлять и обеспечивать обнаружение действий киберпреступников в сети атакованной организации, когда они стараются найти проход к своей цели.

В больницах самой типичной и наиболее актуальной угрозой является использование вымогательского программного обеспечения, поскольку доля риска по отношению к возможному доходу невелика, а деньги получить вполне реально. И когда в сети медицинской организации инсталлируется обманная сеть, специалистам этой организации необходимо обратить особое внимание на "приманки", которые способны выявлять действия вымогателей и соответствующим образом настраивать "ловушки".

Использование обманных сетей — это совершенно новый и проактивный подход к кибербезопасности, и он исходит из того предположения, что вредоносный код уже находится в сети. Если продвинутые киберпреступники уже смогли "пройти" мимо основных систем контроля периметра сети, то технология обманной сети обеспечивает второй уровень защиты, охраняя ценные информационные активы медицинской организации, ее наиболее важные данные и зоны.

Помимо защиты ценных данных, система кибербезопасности на базе обманной сети способствует мониторингу сети, который проводится с целью скорейшего обнаружения и смягчения последствий киберугроз, минимизируя таким образом воздействие на бизнес-операции медицинской организации. Особенно учитывая, что некоторые атаки, которые получили название распределенные атаки повышенной сложности (Advanced Persistent Threats), могут незаметно длиться в течение многих месяцев прежде, чем их обнаружат. С атаками такого типа организации сталкиваются не каждый день, но когда они происходят, то могут стоить медицинской организации десятков миллионов долларов, не говоря уже о репутационных потерях.

При таких угрозах атака проводится автоматизированным образом и вредоносный код начинает картографировать сеть, выискивая хосты и данные, которые он хочет зашифровать. И когда он попадает на обманный общий ресурс или попробует зашифровать обманный файл, любое дальнейшее действие можно будет остановить.

Обманную сеть легко внедрять и во многих случаях даже не требуется инсталляция дополнительного программного агента на системах конечных пользователей. Она не требует особенного обслуживания и незаметно располагается на конечных точках сети, не потребляя каких-либо существенных ресурсов.

По словам вице-президента глобальных управляемых сервисов компании Kudelski Security Элтона Киззиа,

Когда я думаю о самом главном достоинстве обманной сети, я вспоминаю, насколько трудно специалистам в сфере информационной и сетевой безопасности обнаружить угрозу, продираясь сквозь половодье ежедневных сигналов нарушения защиты. Каждая новая продвинутая система защиты является еще одним источником таких сигналов, которые необходимо обработать. Технологии управления событиями и информацией, связанной с защитой, конечно помогают, но и они не решают проблему, поскольку защищающиеся всегда находятся позади атакующих, а не перед ними. Добавление технологии обманной сети позволяет изменить парадигму - как только такая система выдает сигнал, организация немедленно начинает реагирование, поскольку здесь очень низок уровень фальшивых срабатываний.