Статья Интересно Как ловить хакеров на живца.

[Emilio_Gaviriya]

В последние годы традиционные ханипоты, используемые для выявления хакеров, эволюционировали в более совершенную технологию под названием Deception. Deception представляет собой централизованную систему управления ложными сетевыми объектами, называемыми ловушками (decoys).

Как ловить хакеров на живца.

Суть технологии обмана.​

Deception относится к системам обнаружения вторжений (IDS), которые предназначены для выявления несанкционированного доступа к сети. Ловушки создаются для имитации реальных сетевых сервисов, чтобы привлечь хакеров и зафиксировать их действия.

Отличие от ханипотов.​

В отличие от ханипотов, которые являются отдельными сетевыми ресурсами, ловушки в Deception связаны с центральным сервером. Это позволяет централизованно управлять ловушками, создавать их с различными эмулируемыми сервисами и получать мгновенные уведомления о попытках взаимодействия с ними.

Агенты.​

Некоторые решения Deception включают агентов, которые устанавливаются на рабочие станции или серверы. Агенты выполняют различные функции, такие как сбор данных, распространение приманок и реагирование на инциденты. Агенты обычно работают скрытно, чтобы не привлекать внимание пользователей или хакеров.

Преимущества Deception.​

• Повышенная точность обнаружения атак благодаря имитации реальных сервисов.
• Централизованное управление ловушками для эффективного мониторинга и реагирования.
• Автоматизированное реагирование на инциденты для сокращения времени реагирования.
• Сбор индикаторов компрометации и уязвимостей для улучшения общей безопасности сети.

Deception является мощным инструментом для выявления и предотвращения кибератак. Его способность создавать реалистичные ловушки и предоставлять мгновенные уведомления позволяет организациям быстро реагировать на угрозы и защищать свои сети от злоумышленников.

Способы распространения приманок.​

Существует несколько способов распространения приманок. Если в Deception присутствуют агенты, они отвечают за разбрасывание приманок. В этом случае процесс можно автоматизировать: сервер управления отправляет команду агенту, который выполняет необходимые действия для установки приманки.

Если агентов нет, Deception-решение может предлагать готовые скрипты, которые необходимо вручную выполнить на рабочих станциях. У этого подхода есть недостатки: например, при перенастройке ловушек невозможно автоматически обновить приманки на рабочих станциях, а агенты позволяют это сделать.

Ограничение взаимодействия пользователей с приманками.​

Необходимо максимально ограничить взаимодействие реальных пользователей ПК с приманками. Однако слишком сильно скрывать ложные цели тоже нельзя. Если злоумышленник не сможет их найти, для чего они вообще нужны?

Правдоподобность приманок.​

Приманки должны быть правдоподобными. Например, приманка в виде SSH на компьютер бухгалтера может вызвать подозрения у атакующего.

Авторизационные данные.​

Часто приманка содержит авторизационные данные для доступа к ловушке — логин и пароль или ключ. Чтобы они выглядели правдоподобно, можно вести внутри Deception базу фейковых пользователей.