«Обманную учетку в Active Directory (AD) сделать несложно. Сложно сделать ее привлекательной и убедительной — в ней более сотни атрибутов, и нужно продумать значение каждого из них»
Привет, Хабр!
В поле нашего зрения попал технический доклад Сурила Десай (Suril Desai), вице-президента Acalvio — цитата, с которой мы начали эту статью, как раз оттуда. Выступление было посвящено тому, как создать «ложные активы» для злоумышленников по-суворовски: не числом, а умением.
Под катом пересказываем доклад со всеми подробностями и нашими инсайтами — всё, как вы любите. Поехали.
Суть deception-технологий
Свое выступление Сурил начал с ключевого вопроса: какова же роль deception-технологий (методов киберобмана) в ИБ, и что они собой представляют? В основе этой концепции лежит принцип расстановки ловушек и приманок для злоумышленника. Они создаются с фокусом на цели атакующего — например, на доступ к критическим системам или компрометацию ключевых учетных записей. Важно, что такие ложные активы — будь то «случайно» оставленный файл с паролями, сохраненная сессия или закладка в браузере — не задействованы в реальных рабочих процессах. Их специально внедряют для обнаружения злоумышленника или для проактивной охоты на него (Threat Hunting). Любое взаимодействие с ловушкой или использование данных из приманки — это достоверный сигнал о вредоносной активности.
Такие методы обнаружения не зависят от конкретных тактик, техник и процедур (TTP) атакующего. Неважно, какой эксплойт или скрипт использует злоумышленник, — система реагирует не на метод, а на его намерение получить доступ к тому, к чему прикасаться не следует. Благодаря этому deception-системы остаются эффективными, даже когда арсенал злоумышленников постоянно меняется и развивается.

Для «синей команды» (blue team) deception-технологии дают возможность реализовывать несколько сценариев.
Deception-системы служат высокоточным инструментом для обнаружения угроз на раннем этапе вне зависимости от используемого инструментария.
Они помогают в проактивной охоте на злоумышленников и минимизации возможного ущерба. Современному атакующему не обязательно «пробивать» защиту в лоб — ему достаточно сделать ее обслуживание слишком дорогим. Deception-технологии меняют экономику атаки. Злоумышленникам приходится вхолостую тратить ресурсы на взаимодействие с ложными целями, раскрывая свои тактики, в то время как защитники фокусируются на действительно важных активах, а не пытаются контролировать всё подряд.
Реализуется сценарий вовлечения противника (adversary engagement). Он дает возможность взаимодействовать с атакующим в контролируемой среде, чтобы в реальном времени изучить его поведение, инструменты и цели, не подвергая риску реальные активы компании.
Мышление атакующего: цели, разведка и инструменты
Чтобы выстроить эффективную защиту, для начала нужно понять, как мыслит противник. Здесь предлагаем сместить фокус и посмотреть на инфраструктуру глазами злоумышленника, который уже получил первоначальный доступ. Главная задача атакующего после проникновения в сеть — добраться до по-настоящему ценных активов. Ими может быть что угодно: от базы данных с клиентской информацией до контроллера домена, компрометация которого дает полный контроль над всей инфраструктурой.
Но прежде атакующему нужно решить две ключевые задачи:
Определить, где именно в этой огромной и незнакомой сети находятся те самые ценные активы, а также найти учетную запись с необходимым уровнем привилегий для доступа к этим ценным активам.
Когда цель найдена, нужно проложить к ней маршрут (вектор атаки).
Для решения этих задач атакующий проводит разведку. Он сканирует скомпрометированную машину, сеть и службы каталогов вроде Active Directory или DNS в поисках зацепок: учетных данных, конфигурационных файлов, информации о других хостах. Опытные противники, например, из APT-группировок, действуют по принципу «семь раз отмерь … »: они работают медленно и методично, чтобы не оставлять следов и не вызывать подозрений у службы безопасности. Тщательно планировать атаку злоумышленнику сегодня помогают специализированные инструменты, и один из самых известных — BloodHound.
Почему факт сканирования сети могут пропустить установленные в компании СЗИ?
Текущие системы привязаны к ТТР (Tactics, Techniques, and Procedures), сигнатурам и поведенческим моделям. Поэтому всегда существует окно, когда злоумышленник уже начал использовать новый инструментарий, а СЗИ еще не выявляют его. И только системы киберобмана полностью не зависят от техник, сигнатур или моделей, используемых злоумышленником. Причем ловушка позволяет выявить не только попытку сканирования, но и попытки ее пропинговать, а также попытки обращений по известным сервисным портам. Подобная активность, скорее всего, не будет детектирована классическими СЗИ, только если в системах не настроен контроль любых обращений к IP-адресам ловушек.
Инциденты из deception-cистем могут стать отличным подспорьем для работы других СЗИ. Они помогают провести дополнительный скоринг инцидентов, автоматизировать процедуры работы, в том числе в плане автоматизации блокировок или помещения в карантин потенциально подозрительных хостов.
После того как мы разобрались с целями злоумышленников, можно переходить к построению оборонительной стратегии. Начнем с выбора инструментария.
Deception-инструментарий
Говоря о конкретных инструментах deception, Сурил разделил их на четыре основных типа: учетки-приманки, токены-приманки, ловушки и наживки. Хотя по факту есть всего две ключевые сущности: приманки и ловушки.
Приманки
Приманки бывают двух видов: доменные (honey accounts) и хостовые (honey tokens, baits).
Доменные приманки
В эту категорию входят как ложные учетные данные в каталоге домена, так и сервисные УЗ. Например, SPN-приманки.

Deception-система может, как самостоятельно генерировать ложные учетные данные для использования в приманках, используя различные словари имен, так и в качестве таких данных в систему может быть загружена информация. Например, неиспользуемые или отключенные записи из каталога домена.
Хостовые приманки
Сюда попадают любые артефакты, которые deception-система создает на рабочих станциях. Например, это могут быть текстовые (password.txt) или файловые приманки (config.yaml).

Кроме того, к хостовым приманкам относятся закладки, история в браузере, записи в реестре Windows, история команд и т.п.
Хостовые приманки, в отличие от доменных, содержат не только УД, но и ссылку либо указание на ловушку.
Хостовые приманки размещают на рабочих станциях и серверах, чтобы подтолкнуть атакующего в нужном направлении.
В качестве примеров таких наживок можно привести сохраненные в браузере пароли от несуществующего внутреннего портала, записи в файле hosts, историю команд в PowerShell, поддельные файлы конфигурации для удаленного доступа или даже «случайно» оставленный на рабочем столе файл passwords.txt. Как только злоумышленник воспользуется такой наживкой, он попадет в заранее подготовленную и контролируемую среду, где его действия можно будет изучить без риска для реальной инфраструктуры.
С помощью наживок также можно выявлять риски, связанные с действиями инсайдеров (см. схему ниже).

Ловушки
Вторая ключевая сущность в deception — ловушки (decoy), ранее известные как «ханипоты» (honeypots), — это фальшивые цели в сети. Если раньше для создания такой ловушки требовалось разворачивать полноценный сервер, то современные ловушки — это, как правило, легковесные эмуляторы реальных систем.
Они могут имитировать что угодно: от файлового сервера с открытым доступом до веб-приложения с известными уязвимостями или SSH-порта на «линуксовом» сервере. Такие ловушки служат новыми целями для атакующего и позволяют обнаружить его активность в сети (см. рисунок ниже).

Проектирование deception-архитектуры
Традиционно теория киберобмана строилась вокруг простого и, казалось бы, логичного понятия «плотности»: чем больше ловушек мы расставим, тем выше шанс, что атакующий в одну из них угодит. Однако в реальной среде такая «ковровая бомбардировка» приманками не только неэффективна, но и откровенно непрактична.
Сколько нужно ловушек?
Если сделать очень мало наживок (даже максимально идентичных реальным активам компании), есть вероятность, что злоумышленник банально не найдет их, особенно в крупной распределенной сети. Обеспечить полное покрытие, как рекомендует Gartner, — тоже не лучшая идея. Дело в том, что злоумышленник примерно понимает, какая численность штата, может косвенно оценить емкость сети. Иными словами, если увеличить покрытие в два раза, это сразу будет вызывать подозрения.
Для определения оптимального количества ловушек и приманок рекомендуем для начала ответить на следующие вопросы:
Какие сегменты хотим защитить. Категория А — ценные активы и системы компании, категория Б — там, где может быть точка входа и первого закрепления злоумышленника.
Какие системы, сервисы или активы имеют ценность в этих подсетях для компании и для злоумышленника.
Какие действия могут выполнять легальные пользователи и системы.
Затем, уже исходя из этой информации, наполнять подсети релевантными наживками. Предлагаемый подход можно сравнить с рыбалкой. У каждого рыбака есть свои «лайфхаки»: в каком месте ловить рыбу, какие выбрать снасти, какой должна быть наживка, как подсекать.
Главная задача тут — встать на место атакующего и понять, что может быть интересно и привлечет внимание.
Ниже несколько ключевых принципов, которые следует учитывать при разработке стратегии киберобмана.
Размещение, реалистичность и привлекательность. Приманки должны не просто органично вписываться в окружение, но и выглядеть соблазнительно для атакующего. Если он использует BloodHound для поиска кратчайшего пути к доменным админам, то наши ложные учетки должны лежать как раз на этом пути, выглядя, как «легкая добыча».
В качестве дополнительного инструмента для выбора мест размещения приманок Сурил рекомендует использовать моделирование угроз. Такая модель помогает определить, какие именно активы с наибольшей вероятностью станут мишенью атакующего. После этого защитники могут окружить такие активы ловушками, а на вероятных путях подхода к ним разместить наживки в виде токенов-приманок. Так мы не только обнаружим злоумышленника на ранних этапах, но и направим его в сторону контролируемой среды.
Этот же подход эффективен и для сегментированных сетей. Например, в инфраструктуре могут существовать разные зоны с разными уровнями доверия, такие как DMZ и внутренний контур дата-центра. Моделирование угроз помогает выявить ограниченное число путей, по которым злоумышленник может попытаться переместиться из одной зоны в другую. Разместив приманки на этих «пограничных переходах», можно получить раннее предупреждение о попытках пересечения границ доверия и точнее оценить общий уровень риска.
Изоляция. Предоставляя злоумышленнику ложные активы, мы должны быть уверены, что с их помощью он не сможет расширить поверхности атаки и нанести больший ущерб.
Любая ловушка не должна стать точкой закрепления злоумышленника, все действия атакующего в ловушке должны фиксироваться и анализироваться, любые артефакты, размещаемые злоумышленником в ловушку, должны перемещаться в изолированную среду — «песочницу», где их запуск безопасен.
Учетные данные, находящиеся в приманках, как доменных, так и хостовых, не должны позволить получить с их помощью доступ. При этом логи неуспешных аутентификаций должны контролироваться на предмет УД из приманок.
Динамичность. Инфраструктура и тактики атакующих постоянно меняются. Поэтому и система не должна быть статичной. Приманки и ловушки нужно периодически обновлять и изменять, чтобы они оставались актуальными и не были раскрыты со временем.
Сколько должна жить ловушка или приманка?
Здесь, к сожалению, нет единой для всех «рыболовов» рекомендации. Но что важно?
Ложный слой должен быть, релевантным реальным активам компании. Это значит, что сеть компании растет и развивается. Чтобы ложный слой также отражал данные изменения, нужно регулярно отслеживать появление новых устройств, приложений, переход на последние версии приложений и ОС.
Кроме того, ложный слой должен выглядеть достоверным для злоумышленника. Вряд ли файл password.txt с датой создания более года назад будет интересен. С какой частотой его нужно обновлять? Каждая компания, при решении этого вопроса, опирается на свою практику и процедуры. Например, если пользовательские пароли обновляются каждые три месяца, то эта информация может стать известной злоумышленнику еще на этапе подготовки и в целом сбора информации о компании а значит, от этой периодичности нужно планировать и обновление данных приманок.
Как сделать приманку убедительной
Переходим к практической части. В своем выступлении Сурил отметил, что внедрение deception-технологий — это та область, где требуются глубокие знания и скрупулезный подход. И мы с этим согласны. Просто «натыкать» ловушек по всей инфраструктуре недостаточно. Специалисту по ИБ, решившему развернуть такую систему, придется ответить на множество вопросов: Какого типа должны быть наживки? Где их разместить, чтобы они выглядели органично в конкретной среде?
В своем докладе Сурил на примере создания ложной учетной записи в Active Directory разобрал, на что важно обращать внимание, чтобы ловушка или приманка были убедительными. На первый взгляд, задача создания ложной учетки в AD кажется тривиальной.
Но в реальности каждый объект-пользователь в AD обладает более чем сотней атрибутов, доступных через интерфейсы ADSI (Active Directory Service Interfaces).

И чтобы приманка была убедительной, нужно тщательно продумать значение каждого из них. Сурил обратил особое внимание на атрибут userAccountControl — это не просто поле, а битовая маска, где каждый бит служит флагом, определяющим свойства учетной записи: «аккаунт отключен», «пароль не требует смены», «нельзя сменить пароль» и так далее. Специалисту придется решить, какую комбинацию этих флагов выставить, чтобы учетка не выглядела как свежесозданная болванка.

Далее нужно понять, кого будет имитировать приманка: обычного пользователя или сервисную учетку? В какое организационное подразделение (OU) ее поместить, чтобы она не вызывала подозрений? Давать ли ей расширенные права? Именно из таких вопросов и рождается стратегия обмана. Ее цель — не просто развернуть инструменты, а создать для атакующего убедительную, но полностью контролируемую альтернативную реальность, где каждое его действие будет под контролем.
Что привлекательнее для атакующего: привилегированные учетки или обычные креды?
Таргетированная атака сейчас чаще всего начинается с кражи или покупки учетных данных легального пользователя, а значит, «просто креды» злоумышленнику не так уж и нужны. Ему подавай привилегированные учетки, которые откроют доступ к критическим системам.
Уровни взаимодействия ловушек
Важным параметром при проектировании ловушек является уровень их интерактивности. Он определяет, насколько глубоко атакующий может взаимодействовать с активом (целью).
Внимательный читатель, возможно, уже задался вопросом: «А насколько интерактивной должна быть ловушка, чтобы от нее был толк?». Ловушки делятся на три уровня интерактивности: низкий, средний и высокий. В качестве примера Сурил привел реализацию на эмулированном SSH-сервисе (см. рисунок ниже).

Низкий уровень интерактивности (low-interaction). Система просто открывает порт 22 и фиксирует все попытки подключения, не позволяя атакующему пройти дальше. По сути, это просто «звонок в дверь», на который никто не отвечает.
Средний уровень интерактивности (medium-interaction). Ловушка позволяет обмениваться данными по протоколу SSH, давая злоумышленнику возможность пытаться авторизоваться или перебирать учетные данные, но безрезультатно. Атакующий может «подергать ручку двери», но она никогда не откроется.
Высокий уровень интерактивности (high-interaction). Хакер может успешно аутентифицироваться и войти в систему, попадая в полностью изолированную и контролируемую среду, где каждое его действие тщательно отслеживается.
Выбор уровня интерактивности напрямую зависит от цели защитников.
Если задача — простое обнаружение угроз или «охота» (Threat Hunting), то достаточно ловушек с низким или средним уровнем взаимодействия. Они сработают как «растяжка», сообщив о несанкционированной активности и ее источнике. Однако если цели шире — например, сбор данных об угрозах (Threat Intelligence) или профилирование атакующего, — то потребуются системы с высоким уровнем взаимодействия. Чтобы понять намерения атакующего, изучить его инструменты и тактики, нужно позволить ему действовать в контролируемой среде. Такие ловушки помогают ответить на вопросы: пытается ли он получить доступ к конкретным данным или осуществить горизонтальное перемещение в другой сегмент сети?
Возникает еще один резонный вопрос: «А что, если атакующий поймет, что попал в ловушку?».
По мнению Сурила, к тому моменту, как злоумышленник это осознает, сигнал тревоги уже будет отправлен. Если главная цель — раннее обнаружение, то даже простая ловушка с низкой интерактивностью свою задачу выполнит.
Практические подходы к защите
Один из наиболее эффективных подходов — это построение deception-стратегии вокруг ключевых активов (так скажем, активоцентричный метод). Задача — остановить злоумышленника прежде чем он доберется до ценных активов. Для этого защитники должны сначала определить, что именно в их среде является таким активом (об этом чуть ниже).
Используя инструменты планирования атак вроде того же BloodHound, но уже с позиции защитника, можно проанализировать возможные пути, ведущие к этим активам. Такой подход позволяет заранее увидеть свою сеть глазами злоумышленника и выявить маршруты, которые он, скорее всего, выберет. Когда эти пути известны, у команды защиты появляется карта для расстановки ловушек. Как уже сказано выше, замысел в том, чтобы обнаружить атакующего на подходе к реальному активу и безопасно перенаправить его в контролируемую среду-ловушку.
Вернемся к ценным активам. Ими могут выступать не только серверы Tier 0, такие как контроллеры домена Active Directory, службы ADFS или Entra Connect. Это могут быть и бизнес-приложения (ERP, CRM, системы обработки платежей), и рабочие базы данных, особенно если речь идет о базах с данными платежных карт (PCI DSS). Не стоит забывать о ноутбуках топ-менеджеров, которые могут стать целью для получения конфиденциальной финансовой или стратегической информации.
После определения критичных активов следующий шаг — понять, каким образом злоумышленник может к ним двигаться внутри инфраструктуры. Именно поэтому в deception-архитектуре важно не только защищать сами активы, но и контролировать пути, ведущие к ним. И тут в игру вступает матрица MITRE ATT&CK. Она дает четкую классификацию техник и протоколов, которые используются на различных этапах атаки. Например, протоколы SMB, HTTP, SSH, RDP и другие.
Матрица MITRE ATT&CK — по сути, справочник, аккумулирующий известные на текущий момент используемые злоумышленниками приемы, техники и тактики. Соотнесение действий атакующего упрощает анализ и ускоряет реагирование, поэтому этот справочник — обязательная настольная книга для ИБ-специалистов.
Еще один полезный лайфхак при выборе места размещения ловушек — это проактивный поиск угроз для проверки конкретной гипотезы. Например, если ИБ-специалист предполагает, что из сети происходит утечка данных, он может разработать и разместить узкоспециализированные приманки, нацеленные на конкретные техники эксфильтрации. В этом случае система киберобмана используется уже не для общего мониторинга, а для целенаправленного поиска подтверждений сформулированной гипотезы.
Кроме вышесказанного, полезными источниками информации служат:
результаты прошлых кампаний по поиску угроз. Даже алерты с низким уровнем достоверности могут указывать на подозрительную активность в определенном сегменте сети. Эту информацию тоже можно использовать для более точечного размещения ловушек.
анализ архитектуры сети. Постоянное изучение возможных векторов атак и путей продвижения злоумышленника помогает выявлять слабые места.
отчеты об угрозах (Threat Intelligence). Данные от поставщиков средств защиты и ИБ-исследователей позволяют узнать о тактиках, которые применяют конкретные группировки (например, атакующие медицинские учреждения), и подготовить приманки, нацеленные на их излюбленные инструменты и методы.
Сценарии применения deception-технологий
Чтобы лучше понять, как описанные выше подходы работают на практике, рассмотрим несколько типовых сценариев применения deception-технологий.
Первый сценарий. Злоумышленник, получив доступ к рабочей станции пользователя, прибегает к тактике living off the land, при которой злоумышленник использует легитимные ПО и инструменты, имеющиеся в системе, маскируя свою вредоносную деятельность под действия легального пользователя. С помощью команды SetSPN он ищет в домене зарегистрированные сервисы и натыкается на SPN, указывающий на, казалось бы, рабочий SQL-сервер с «говорящим» именем. Его следующая цель — атаковать этот сервер. Но на самом деле этот SPN — ловушка, специально созданная и привязанная к учетке-приманке. Как только атакующий попытается запросить Kerberos-билет для этого сервиса (например, в рамках упомянутой выше атаки Kerberoasting), система защиты немедленно зафиксирует тревогу.
Описанные в сценарии действия атакующего — это не что иное, как техника Kerberoasting. Она до сих пор остается одной из самых популярных способов компрометации учетных данных. Такие атаки сложно детектировать классическими средствами. Запрос билета выглядит как легитимное действие, вредоносного ПО нет, а трафик не выходит за рамки штатного Kerberos‑протокола. В этом случае мы рекомендуем использовать разнообразный инструментарий. Например, связку SIEM, EDR и deception‑технологий.
Сценарий иллюстрирует MITRE-ориентированный подход, где deception покрывает конкретные техники атакующего (credential access и lateral movement). SPN-приманка размещается на типовом маршруте атаки внутри домена и срабатывает на уровне конкретного действия.
Второй сценарий. Особенно эффективны deception-технологии, по мнению Сурила, в борьбе с внутренними угрозами, которые сложно обнаружить традиционными средствами. Он привел в пример обиженного администратора из отдела управления доступом (IAM), в обязанности которого входит создание и отключение учетных записей с помощью скриптов, которые работают под служебным аккаунтом из системы управления привилегированным доступом (PAM).
Однажды, решив навредить компании, такой админ может зайти на сервер, получить легитимный доступ к служебной учетке через PAM и запустить скрипт, который начинает массово отключать пользователей. С точки зрения EDR, SIEM или PAM, всё выглядит штатно: легитимный сотрудник в рабочее время выполняет свои обычные функции. Никакой аномалии. Обнаружить такую атаку практически невозможно. Но, как подчеркнул Сурил, здесь и кроется сила deception-технологий. Если в Active Directory заранее создать учетку-приманку, то попытка инсайдера отключить ее немедленно вызовет тревогу, что позволит вовремя заблокировать злоумышленника и остановить атаку.

В этом кейсе реализуется активоцентричный подход, где защита строится вокруг критичных сущностей (учетных записей и привилегий). Deception срабатывает не на технику атаки, а на попытку воздействия на заранее определенный ценный объект.
Третий сценарий, который разобрал Сурил, связан с облачными средами. Здесь злоумышленники используют тактику living off the cloud, при которой эксплуатируется не вредоносное ПО, а встроенные API и SDK облачных провайдеров для разведки и перемещения. Например, получив доступ к облачной рабочей нагрузке, атакующий начинает искать способы повысить привилегии, перечисляя роли и служебные учетные записи. В этой ситуации защитник может разбросать по конфигурационным файлам или метаданным виртуальных машин токены-приманки — фальшивые API-ключи или учетные данные. Любая попытка использовать такой токен для доступа к облачным ресурсам немедленно сгенерирует алерт.

Все эти примеры показывают, как можно выстраивать продуманную архитектуру обмана: защищать ключевые активы, систематически покрывать векторы атак с помощью матрицы MITRE ATT&CK и создавать прицельные ловушки под конкретные сценарии угроз.
С чего начать внедрение стратегии киберобмана
«Молодым» компаниям Сурил рекомендует начать внедрение deception-технологий с приманок (honey tokens). Свою точку зрения он аргументирует тем, что у них минимальный «вес» при развертывании: достаточно создать обманные фрагменты данных и разместить их там, где требуется обеспечить раннее оповещение. Такие токены-приманки служат своего рода «стартовым пакетом». По мере развития программы киберобмана можно переходить к развертыванию ловушек в стратегически важных точках сети. Сурил утверждает, что при таком подходе можно собирать весьма детальную информацию о попытках горизонтального перемещения и эксплуатации уязвимостей.
Мы не совсем согласны с Сурилом в части «стартового пакета». Для эффективной работы системы deception необходимы и приманки, и ловушки. Какие именно будут приманки и ловушки, где они будут размещены и в каком количестве – это как раз определяется функциональными возможностями выбранной компанией deception-системы, а также практическим опытом интегратора решения.
В разработке эффективной стратегии ключевую роль играет мнение пентестеров. Поскольку главная задача защитника — мыслить как атакующий, лучший способ понять его логику — это проконсультироваться с «этичными хакерами». Специалист по защите может задать пентестеру прямой вопрос: «Какие техники ты бы использовал для атаки на наш дата-центр или среду Active Directory?» Ответы помогут понять, стоит ли ожидать атак вроде Kerberoasting, Pass-the-Hash или Pass-the-Ticket. Основываясь на этой информации, можно спроектировать и разместить релевантные ловушки, которые с большей вероятностью привлекут внимание реального злоумышленника.
Сурил также отмечает, что как и с любым другим инструментом обнаружения, с deception-системами возникает проблема демонстрации их ценности (ROI), особенно если они «молчат». Решение такое — проводить регулярные учения с привлечением «красной команды» (Red Team). Таким командам ставится конкретная цель — например, за определенное время получить права администратора домена, используя скрытые техники. Если «красные» достигают цели, не активировав ни одной ловушки, значит, архитектура обмана неэффективна и требует доработки. Если же хотя бы одна приманка срабатывает, это доказывает, что средства контроля работают и компания готова к отражению реальных атак. Такие учения наглядно демонстрируют пользу deception-технологий как на этапе внедрения, так и в ходе эксплуатации.
Обучение deception-технологиям должно включать два компонента: практику и проектирование.
Что касается практики, то существует множество open-source реализаций ловушек, таких как Kippo (SSH-ханипот среднего и высокого взаимодействия) или Dionaea (ханипот, эмулирующий различные сетевые протоколы для поимки вредоносного ПО). Развернув такие инструменты, специалист может на собственном опыте понять принципы их работы.
Проектирование требует от защитника глубокого понимания методов и векторов атак, а также уязвимостей, которые злоумышленник может использовать для перемещения по сети. Такое сочетание наступательных и оборонительных знаний — его часто называют purple teaming — позволяет создавать по-настоящему эффективные deception-системы.
В завершение своего доклада Сурил затронул еще одну важную тему. Речь о ситуации, когда защитники начинают полагаться на «скрытность» ловушек и считают, что злоумышленник их не обнаружит только потому, что они недостаточно очевидны.
Это ошибочное допущение. Атакующие постоянно совершенствуют методы обнаружения ловушек, например, проверяя, как SSH-ханипот вроде Cowrie обрабатывает команды или одновременные сессии. Учитывая это, следует ориентироваться на принцип Огюста Керкгоффса из криптографии: «Стойкость шифра должна определяться только секретностью ключа». Применительно к deception-системе это означает, что ее надежность не должна зависеть от секретности ее устройства. Для обеспечения этой надежности используются два подхода:
Реализация ловушки (например, код SSH-ханипота). Эту информацию можно и нужно делать публичной, так как сообщество помогает находить и устранять уязвимости.
Детали развертывания в конкретной среде (как приманки называются, где размещены, как сконфигурированы). Именно эти аспекты должны оставаться в секрете и быть уникальными для каждой инфраструктуры, чтобы ловушка выглядела аутентично и не вызывала подозрений.
