Кейс: как облегчить жизнь специалистам информационной безопасности при выявлении реальных киберинцидентов

Представьте среднестатистическую компанию: внутренние сервисы для сотрудников, внешние приложения для клиентов и подрядчиков, офисы в разных регионах, доступ к внутренним информационным ресурсам через личные девайсы сотрудников. Чтобы обеспечить информационную безопасность всей этой инфраструктуры компании внедряют различные системы защиты: для контроля почты — антиспам решения, для контроля веб-трафика — межсетевые экраны уровня веб-приложений, для безопасного подключения к сети компании через личные устройства — MDM-системы, защищенное VPN-соединение, многофакторную аутентификацию и множество других средств и мер. И если какая-то система зафиксировала подозрение на несанкционированный доступ к защищенной информации, то уведомление о нем, как правило, передается в специальные системы мониторинга (SIEM) или целые центры мониторинга киберинцидентов и реагирования на них (SOC). Если компания имеет масштабную и разрозненную ИТ-инфраструктуру, то количество таких уведомлений может достигать десятки тысяч, а иногда и миллионы. И зачастую — это не всегда реальная попытка злоумышленника атаковать ваш бизнес, а ложное срабатывание, которое может быть вызвано неправильной настройкой политик систем кибербезопасности или человеческим фактором (например, когда сотрудник попытался войти в систему, которая не входит в зону его ответственности).

Основная задача специалистов, которые занимаются анализом всех эти уведомлений — отделить ложные срабатывания от реальных попыток хакеров получить доступ к вашей инфраструктуре. Чтобы снизить нагрузку на специалистов, можно использовать решения, которые могут помочь «подсвечивать» реальные киберинциденты. В этой статье на примере реального кейса Александр Щетинин, генеральный директор Xello, резидент программы StartHub.Moscow, рассказал о том, как решить эту задачу с помощью Xello Deception — платформы для защиты бизнеса от целенаправленных атак с помощью технологии киберобмана.

Какие задачи ставил клиент?

К нам пришла девелоперская компания, которая является одним из лидеров строительного рынка. У них достаточно масштабная инфраструктуры — более трех тысяч серверов и более полутора тысяч рабочих мест. В компании уже реализован мониторинг событий безопасности и обмен данными об инцидентах между самостоятельными дочерними структурами. Автоматизированы процессы по управлению инцидентами и уязвимостями. И несмотря на регулярные ИТ и ИБ-аудиты, предоставление доступа сторонним исполнителям к инфраструктуре создает большой поток ложных срабатываний в Центр мониторинга инцидентов безопасности и реагирования на них (SOC). Отсутствие актуальных знаний об активах компании в свою очередь создает риски несанкционированного доступа к данным и системам компании.

Как результат — появилась необходимость в решении, которое помогло бы приоритезировать все события, поступающие в SOC. Выбор пал на класс решений Distributed Deception Platform (DDP).

Какие требования предъявлялись к внедряемому решению?

Ключевыми требованиями при выборе технологического решения стали следующие:

  • отсутствие дополнительной нагрузки на эксплуатирующий персонал в процессе управления;
  • возможность гибкой интеграции с существующими системами защиты;
  • отсутствие ложных срабатываний.

Какие работы были проведены в ходе реализации пилотного проекта?

Основной принцип работы Xello Deception — это создание ложного слоя данных из приманок и ловушек по всей корпоративной сети. Они позволяют имитировать реальные ИТ-активы компании (сервисы, базы данных, учетные записи и другие). И если хакеру все же удаётся проникнуть в сеть, то в процессе перемещения по ней, он с большой долей вероятности попадется или на приманку или в ловушку. И наткнуться на них может только злоумышленник, так как для действий с ними нет легитимного бизнес-процесса.

В ходе пилотного проекта строительная компания выбрала пул рабочих станций и серверов и распространила на них приманки (это более 80% от всей инфраструктуры компании). В короткие сроки была настроена отправка событий безопасности в систему мониторинга (SIEM).

Каких результатов удалось достичь?

В процессе пилотирования решения был проведен внешний пентест. Xello Deception успешно выявила действия пентест-команды, которая пыталась заполучить в своё распоряжение учетные данные привилегированных пользователей, обладающих правами на множестве хостов корпоративной сети, но натолкнулась на приманки.

Более того в организации были выявлены наиболее уязвимые группы пользователей, которыми оказались бухгалтерия, секретариат и ИТ-департамент, на основании атрибутов которой системой были созданы ложные учетные записи в Active Directory.

Благодаря тому, что уведомления от Xello Deception являются высокодоверенными, компания приоритезировала их при обработке всех поступающих событий в SOC. И как результат — сокращение числа ложных срабатываний нагрузки на аналитиков компании.

33
3 комментария

Хорошая задумка, молодцы. Но можно было бы проще: создать скрипт, который при условиях имя/пароль 6 символов создает учетку и пускает хакера по лабиринтам комп бюрократии. В итоге 1 учетка, доступ в которую с любыми данными для входа. Может в будущем придумаете такое

Добрый день, у нас уже реализованы приманки в виде ложных учетных записей. И это один из возможных имитационных активов, а их в платформе на данный момент более 30 типов приманок и ловушек (ложные конфигурационные файлы, учетные записи, сохраненные пароли в памяти OC или браузерах и другие). И управлять ими можно из единого веб-интерфейса. Скрипты же вам необходимо будет регулярно руками обновлять и настраивать.