Специалисты-аналитики, работающие в центрах мониторинга и реагирования на всевозможные киберинциденты, взаимодействуют с огромным числом реакций, сравнивают ряд данных и параметров, часто используя статическую модель выявления киберугроз. Алексей Викторович Кузовкин, генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада», представляет упреждающую модель – технологию киберобмана или Deception, которая серьезно повышает уровень эффективности мониторинга и реагирования.
Сегодня каждая организация по-своему исполняет функции мониторинга и реагирования на киберугрозы, используя отличающиеся и по типу производителя, и по классу решения, ориентируясь на технологический потенциал и специфику конкретной корпоративной сети. Наиболее универсальным решением, применяемым с целью идентификации злоумышленников, воспринимаются правила корреляции. При этом злоумышленники отличаются умом и проворностью, имеют широкое поле возможностей и всеми способами стараются обходить корреляционные правила.
Эксперт отмечает: современная технология киберобмана, как показывает практика, является наиболее эффективным инструментом, который может повысить оптимизацию процессов мониторинга и реагирования и улучшить их. Deception-системы способны выявлять нелигитимные действия, корректируя и делая мало узнаваемыми специфические особенности характера действий и используемых мошенниками инструментов.
Deception-система вынуждает злоумышленников взаимодействовать с серверами-ловушками, используя сочетание методик обмана и хитрых приманок. Основной характерной чертой всевозможных Deception-систем, отличающей их от популярных и раскрученных honeypot-систем (так называемых ханипотов), является метод «подталкивания» к посещению сервера. Применение каких-либо предварительных сведений об определенном мошеннике или фиксированной кибератаке тактики киберобмана не предполагают.
Алексей Кузовкин отмечает: большинство специалистов IT-сферы привыкло к традиционным инструментам защиты данных, но Deception-системы функционируют по-другому. Их главная задача – помочь быстро и точно идентифицировать мошенников, привлекая их в специально созданную псевдоинфраструктуру посредством логично распределенных между IT-активами организации приманок и ловушек.