Объркване на киберпрестъпниците с илюзивни мрежи

Преди три години създадохме илюзивни мрежи, решени да разрешим въпроса за целенасочените атаки. Знаехме, че има изключително сложни атаки, които нараняват някои от най-големите организации в света.

Липсата на средство за откриване и спиране на напреднали постоянни заплахи (APT) от нападатели на национална държава и сложни киберпрестъпници беше един от най-сериозните проблеми, пред които са изправени бизнес лидерите и киберобщността.

Прекарах много години в работа в Check Point. Преди няколко години бях подслушван от Team8 за справяне с този проблем.

След месеци мозъчна атака и изследвания стигнахме до извода, че е необходима изцяло нова методология. Ако реагирате на нападателя, който непрекъснато обновява своите механизми и инструменти за атака, винаги ще бъдете на няколко крачки. Освен това, използвайки законни идентификационни данни, тези нападатели често избягват откриването чрез традиционните средства.

Така че ние се запитахме, има ли парадигма, в която можем да поставим нападателя в реактивно положение?

Това е предпоставката, на която се основава нашата измамна технология.

Казано по-просто, какво точно представлява технологията за измама?

Силата на илюзивния продукт наистина се активира едва след като нападателят проникне в мрежата. След като влязат и се движат странично, тогава започваме да играем.

За да отговори на въпроса си, човек първо трябва да разбере естеството на целенасочена атака. Да речем, че банката е атакувана чрез фишинг кампания. Служител е изтеглил злонамерен PDF файл и нападателят вече е вътре в мрежата. Нападателят има добре определена цел да стигне до конкретен набор от данни или система. Той е разположен в крайна точка, но не е сигурен къде е целта му или как да стигне до нея.

Представете си, че се опитвате да намерите пътя си в тъмна къща, в която никога не сте ходили, само с малко фенерче, оглеждайки се, за да видите какво можете да използвате, преценявайки къде са ценностите и как да стигнете до тях. Това е много сложно и може да отнеме нападател няколко месеца.

Естествено, този процес включва значително количество опити и грешки.

Нашите измами увеличават това предизвикателство за нападателя. Ние вливаме околната среда с фалшива информация заедно с реалната информация, за да променим възгледа на реалността на нападателя. Например, ако нападател кацне на крайна точка, която осигурява достъп, за да видите три истински корпоративни акции, нападателят може да види 10. След като нападател действа при измама, се задейства сигнал и илюзивно събира подробни криминалистични данни, базирани на източници.

Как да изложите измама, която е както лесна за разгръщане, така и от значение за нападателя, с напълно бездействащо решение?

В основата на нашето решение е нашата система за управление на измамите, управлявана от изкуствен интелект (DMS). Той анализира околната среда и предлага измамите, които са необходими, които се инсталират без агент и с много малко човешки усилия за управление. Веднъж работещ, DMS непрекъснато следи мрежата и автоматично се приспособява към промените в корпоративната среда и към поведението на атакуващия.

От решаващо значение е измамите да изглеждат автентични за нападателя, така че да не могат да разграничат какво е реално и кое е фалшиво. С помощта на Attacker View и криминалистичните характеристики на нашия продукт, анализаторът може да вижда ходовете на нападателя в реално време. Всяко решение, което нападателят взема, ни дава повече информация за техните намерения и тактики, която допълнително се използва за заблуждаване и капан.

Тъй като нашите клиенти включват водещи световни организации. Тъй като нашето решение е без агенти, не натоварва допълнително ИТ организацията и ние внимавахме в дизайна си, за да създадем прозрачен за крайния потребител продукт.

Кой е типичният ви клиент?

Като наши клиенти имаме десетки водещи компании по света. Нашата технология е внедрена в множество сектори, от доставчици на здравни услуги и застраховки до телекомуникационни компании, макар че ние имаме основен фокус върху финансовите институции. Имахме голям успех с големите банки и инвестираме в създаването на уникални решения, като Wire Transfer Guard, за да помогнем за техните специфични предизвикателства.

Как се справяте с неверни положителни резултати?

Едно от основните предимства на нашата технология е, че винаги можете да се доверите на нашите сигнали. Нашата система никога не генерира фалшиви положителни, само истински сигнали, които се изпращат направо до екипа за реакция на инцидента.

Това беше една от най-важните характеристики, когато проектирахме нашата система, тъй като фалшивите положителни материали губят ресурси и могат да причинят значителни щети. Може да пропуснете истински сигнали, ако имате толкова лъжливи позитиви, или прекарате часове в анализиране на нещо, което изглежда значително, но вероятно не е така. Това беше проблем при някои от най-новите публично изложени нарушения на сигурността ;, при потопа на лъжливи положителни, истинските и важни сигнали никога не получиха вниманието, което трябваше да имат..

Как хващате нападатели в реално време?

Първият етап е да се настроят измамите, за да се даде възможност за откриване. Веднъж действащ, илюзивен може да каже дали има атакуващ в мрежата.

Веднъж уловени, ние не казваме само „имаш нападател“. Ние вземаме криминалистични данни от системите, за да ви кажем кои процеси работят, какви мрежови връзки използват и много други подробности.

Ние даваме възможност на анализаторите да следят тяхното движение и тактика. Илюзивен знае колко далеч е нападателят от критични активи. С цялата тази информация реагиращите могат да определят най-благоприятното време за действие – преди нападателят да стигне до бижутата с короната.

Има изкуство към измамата. Но като разберем поведението на атакуващия, можем да създадем подходящи измами, за да примамваме нападателите – и да го кодифицираме в автоматизирано решение, което връща контрола обратно в ръцете на нашите клиенти.