Работающие в центрах мониторинга и реагирования на всевозможные киберинциденты специалисты-аналитики взаимодействуют с огромным числом реакций, сравнивают ряд данных и параметров. Как правило, ими используется статическая модель выявления киберугроз. Упреждающую модель – технологию киберобмана или Deception, которая серьезно повышает уровень эффективности мониторинга и реагирования, представляет Алексей Викторович Кузовкин, генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада».
Используя отличающиеся и по типу производителя, и по классу решения, ориентируясь на технологический потенциал и специфику конкретной корпоративной сети, каждая организация в настоящее время по-своему исполняет функции мониторинга и реагирования на киберугрозы. Правила корреляции воспринимаются наиболее универсальным решением, применяемым с целью идентификации злоумышленников. Умные и проворные мошенники располагают широким полем возможностей и всеми способами стремятся корреляционные правила обходить. Как показывает практика, наиболее эффективным инструментом, который может повысить оптимизацию процессов мониторинга и реагирования и улучшить их, является современная технология киберобмана, отмечает эксперт. Корректируя и делая мало узнаваемыми специфические особенности характера действий и используемых мошенниками инструментов, Deception-системы способны выявлять нелигитимные действия.
Используя сочетание методик обмана и хитрых приманок, Deception-система вынуждает злоумышленников взаимодействовать с серверами-ловушками. Главной характерной чертой всевозможных Deception-систем является метод «подталкивания» к посещению сервера – именно она отличает технологию киберобмана от популярных и раскрученных honeypot-систем (так называемых ханипотов). Тактики киберобмана не предполагают применение каких-либо предварительных сведений об определенном мошеннике или фиксированной кибератаке.
Большинство специалистов IT-сферы привыкло к традиционным инструментам защиты данных, отмечает Алексей Кузовкин, подчеркивая: Deception-системы действуют иначе. Помочь быстро и точно идентифицировать мошенников, привлекая их посредством логично распределенных между IT-активами организации приманок и ловушек в специально созданную псевдоинфраструктуру – их главная задача.