Gartner назвал Deception самой важной новой технологией защиты информации
В новом исследовании Gartner назвал Deception одной из наиболее важных новых технологий ИБ, которую организации могут использовать для улучшения своих способностей по выявлению и реагированию на угрозы. На чем основано такое мнение и каковы основные преимущества обманных технологий?
В последние годы сотни новых технологий и тысячи поставщиков пытаются завоевать внимание ИБ-рынка. Поэтому неудивительно, что CISO и другим сотрудникам ИБ-департаментов так тяжело оставаться в курсе всех новинок.
Тем примечательней новый отчет Gartner «Радар новейших технологий и тенденций: Безопасность» («Emerging Technologies and Trends Impact Radar: Security»), который дает актуальное представление о том, какие новые технологии действительно помогают противостоять все более изощренным методам злоумышленникам. Среди прочего аналитики Gartner пришли к выводу, что обманные технологии (Deception) дают «простой в развертывании, высокоточный и эффективный способ обнаружения угроз в организациях всех размеров»; они получили максимальную оценку значимости по оси времени — «Сейчас». Опыт подсказывает, что на практике это приведет к тому, что технология будет принята большинством покупателей в течение этого года. При этом Deception также получили высокую оценку по оси массы: это значит, что технология значительно повлияет на очень и очень многие сектора рынка и изменит существующие продукты и услуги.
Иными словами, Gartner считает, что Deception-решения в этом году станут обязательными в стеке безопасности любой организации, вне зависимости от ее размера или отрасли. Это связано с тем, что эффективность такого подхода была неоднократно продемонстрирована в масштабных проектах, которые не потребовали привлечения дополнительных ресурсов.
Преимущества технологии Deception
Ниже приведены некоторые из преимуществ, которыми аналитики Gartner обосновывают вой выбор.
Высокоточные уведомления при обнаружении угрозы
Gartner отмечает, что технология Deception позволяет обнаруживать хакерскую активность с помощью поддельных или ложных элементов, которые незаметны ни для кого, кроме злоумышленников. Следовательно, «поскольку никакое взаимодействие с поддельными ресурсами не является легитимным, любое взаимодействие становится сигналом об угрозе». Если бы пользователь не пытался сделать что-либо нелегитимное, например, не предпринимал бы попытку несанкционированного латерального движения или не изучал бы память в кэшированных учетных данных, то уведомление бы не возникло.
При использовании обманных технологий каждый инцидент имеет значение и оправдывает немедленную реакцию. Это прямо противоположно подходам к обнаружению угроз, основанным на поведенческих данных или аналитике, которые часто генерируют большое количество ложных положительных срабатываний. Эти вероятностные подходы основаны на факторах, которые могут потенциально коррелировать с ранее случавшимися инцидентами, но не позволяют окончательно доказать, что выявлена активная атака. Недавние исследования показывают, что технологии, использующие такой подход, создают до 70% ложных срабатываний. Расследование алертов, которые оказываются на поверку ложными, не просто тратит время и ресурсы SOC: становится все более очевидным, что они являются главным фактором, ответственным за высокую текучесть аналитиков SOC и выгорание в индустрии безопасности.
Понятный ROI для любого типа организации
Зачастую бывает сложно определить, будет ли соответствовать ожиданиям какой-либо конкретный ИБ-продукт или сервис, и сможет ли он обезвредить злоумышленников до того, как они получат доступ к критическим данным. Тем не менее, эксперты Gartner отмечают, что обманные технологии не только «положительно показывают себя при тестировании» и «хорошо реализуются в цикле продаж», но и «являются достойным решением для добавления в стек технологий заказчика».
Клиенты компании Illusive Networks, которая является одним из лидеров российского рынка Deception-решений, своим опытом доказывают эффективность инвестиций в обманные технологии. Например, юридическая фирма в три раза увеличила размер мнимой площади атаки, что предоставило ей преимущество в защите и заставило злоумышленников быстро выдать себя. Серьезный разработчик ПО смог остановить прежде непобедимую red team с навыками атаки на уровне государства, используя Illusive Networks. А один из крупнейших ритейлеров сократил время анализа угроз с часов или дней до нескольких минут с помощью функционала форензики Illusive Networks, собираемой при обнаружении инцидентов.
Эти кейсы подтверждают мысль о том, что обманные технологии универсальны и не зависят от специфики конкретной отрасли. В Gartner отмечают, что «будучи ориентированными на широкий спектр размеров заказчиков, вертикалей и географий по всему миру, обманные технологии будут продолжать развиваться, поскольку организации по всему миру стремятся улучшить свои подходы к обнаружению угроз».
Простота использования и очевидная эффективность обманных систем делают эти технологии очевидным решением давних проблем безопасности, которое может использовать любая организация для быстрого улучшения своих возможностей по детектированию и реагированию на угрозы. Поскольку обманная система Illusive Networks автоматически генерирует данные, которые злоумышленник ожидает обнаружить на определенном хосте, то можно легко внедрить аутентичный слой обманных данных в компании из любой отрасли. Как указывают аналитики Gartner, «вертикальные Deception-технологии для медицинских систем, энергетики, производства или других встроенных систем управления (например, сетей) является наиболее сильными точками для обманных технологий», и Illusive предлагает индивидуальные способы обмана для каждой из этих вертикалей.
Быстрое и простое внедрение без затрат на поддержание системы
В Gartner верят, что обманные технологии «могут быть установлены и введены в эксплуатацию быстро, без чрезмерной нагрузки на администраторов». Из-за того, что подобные решения берут свое начало в классических ханипотах, они имеют репутацию сложных продуктов, требующих настройки множества серверов даже для самого малого количества удачно расположенных приманок. Однако Illusive Networks разработала новый принцип работы обманных технологий, который изменил положение дел в отрасли благодаря легкой реализации на уровне реальных хостов. По мнению исследователей, это добавляет возможность детекции угроз без «негативного вмешательства в деятельность систем».
Полностью безагентская программная реализация Illusive Networks уникальна тем, что ее развертывание и управление осуществляются с минимальными усилиями: не нужно длительно собирать данные для анализа, не требуется закупать новое оборудование, а удобный портал администратора, позволяющий распространять ложные данные и собирать форензику, являются основой простого и понятного процесса внедрения и эксплуатации.
Защита уникальных сред ИВ и АСУ ТП
В рамках своих рекомендаций по развертыванию обманных технологий Gartner рекомендует организациям «сосредоточить усилия на создании высокореалистичных и интерактивных приманок, которые могут автоматически имитировать среду, специфичную для клиента, в том числе интернет вещей (ИВ) и АСУ ТП».
Организациям часто приходится полагаться на различные системы и устройства, которые нельзя обновить, сложно контролировать и на которые нельзя установить новейшие СЗИ. Большое количество доступных сегодня ИВ-устройств также практически невозможно защитить, они становятся популярным местом атак злоумышленников для разведывания и кражи данных. АСУ ТП также становятся все более уязвимыми перед киберпреступниками, поскольку их возраст и специальные протоколы также не позволяют эффективно устранять уязвимости или осуществлять мониторинг.
Эмуляции ИВ и OT нового поколения Illusive Networks предназначены для имитации реальных технологических сред таким образом, чтобы запутать и детектировать атакующих, направив затем полноценный набор мер по реагированию на атаку, что нивелирует нетрадиционную ИТ-инфраструктуру в качестве успешного способа атаки для киберпреступников.
Deception как основа ранней детекции
Вывод исследования Gartner очевиден: обманные технологии стали для ИБ-департаментов простым способом улучшения раннего обнаружения угроз без дополнительной нагрузки на сотрудников. Технология надежна, хорошо протестирована крупными известными заказчиками и приносит существенную пользу. Поэтому ее следует считать важным компонентом современных стратегий безопасности. По этим и многим другим причинам 2020 г. станет годом, когда технологии Deception могут стать основной частью арсенала безопасности любой организации.
Вы можете заказать тестирование Illusive Networks в компании «Тайгер Оптикс», дистрибьюторе вендора в России и СНГ.