Александр Щетинин, Xello: О скепсисе ко всему новому, возможностях технологии киберобмана и планах развития

Александр Щетинин: Интерес к ханипотам (honeypot) у меня был всегда (впервые я познакомился с этим подходом еще в университете). Когда начал работать, столкнулся с решениями класса Distributed Deception Platform (далее — DDP). Они, по сути, являются новым уровнем развития ханипотов, но значительно превосходят их по многим параметрам. Поработав с ними, увидев их ценность, я загорелся идеей популяризации этого подхода. На тот момент в России мало кто знал о них — и это больше всего удивляло.

Как известно, наиболее сложным этапом при детектировании атаки является проникновение злоумышленника в корпоративную сеть и его горизонтальное передвижение (Lateral Movement). Для сокрытия вредоносных действий и распространения кибератаки используются безопасные процессы и инструменты, уже установленные и получившие легитимность на хостах в корпоративной сети. Зачастую это протоколы удаленного доступа: WMI, WinRM, PsExec, SSH, RDP и даже VNC. И как только он получает административные привилегии и более глубокий доступ к сети, дальнейшие его действия сложно обнаружить, — они будут казаться «обычным» сетевым трафиком. И как раз здесь вступают в игру DDP-системы.

Они создают инфраструктуру из ложных активов, которая охватывает конечные точки, сеть и каталоги типа LDAP (чаще всего Active Directory). Таким образом киберпреступник, совершая тысячи, а иногда и десятки тысяч действий с ИТ-активами компании в процессе передвижения по сети, не имеет шанса избежать их.

Так я вместе с моим товарищем Алексеем Макаровым (ныне техническим директором Xello), собрав первую команду, начали разрабатывать российскую Deception-платформу.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.7 т

Поработав со всеми возможными западными решениями, наша команда выявила их «узкие места» — отсутствие адаптивности под российские реалии. Было забавно видеть приманки, которые никогда не могли бы встретиться в российских компаниях. Они сильно отличались от реальных ИТ-активов компаний.

Мы, как и многие аналитические агентства, уверены, что большинство кибератак начинаются с конечных устройств. Эту парадигму мы заложили в основу разработки нашего решения, делая упор на приманки и их адаптацию под конкретную инфраструктуру. Именно приманки позволяют генерировать наиболее привлекательные ложные активы для злоумышленника, которые раскладываются на реальных хостах пользователей.

Александр Щетинин: Ключевой особенностью технологии является другой подход выявления сложных угроз. В то время как большинство систем безопасности используют заранее известные знания об угрозе или злоумышленнике (сигнатуры, эвристику, индикаторы компрометации или атак и другие), технология киберобмана ориентирована на введение злоумышленника в заблуждение (предоставляет ему ложные данные и сервисы). К тому же это позволяет максимально затруднить дальнейшее передвижение по сети.

И, как следствие, взаимодействие с любым ложным активом с большей долей вероятности будет инцидентом безопасности, а не ложным срабатыванием. Это другая положительная сторона. Приманки и ловушки направлены исключительно на злоумышленника, поэтому технология не создает фонового шума при интеграции с SOC. Она позволяет приоритезировать события безопасности, предоставляя высокодоверенный индикатор компрометации.

Александр Щетинин: Приманками являются ложные сохраненные учетные данные, приложения, ветки реестра OC и стороннего ПО, сохраненные подключения к ресурсам и другие сущности. В общем, все то, на что злоумышленник обращает внимание в первую очередь. Поскольку для выполнения сложной кибератаки им необходимо принять сотни, а иногда тысячи решений и действий с различными активами компании, вероятность натолкнуться на приманку очень высока. Кроме того, мы используем математическое ожидание события ошибки, помогая «защищающимся» использовать теорию вероятности на своей стороне.

Ловушками, в свою очередь, являются FullOS Trap-серверы, которые позволяют имитировать ИТ-сервисы, протоколы, сетевые устройства, базы данных и другие ресурсы инфраструктуры.

Это еще одна из особенностей современных Deception-систем — они совмещают в себе и приманки, и ловушки.

Александр Щетинин: Ханипоты (Honeypot) — это заведомо уязвимые сетевые объекты, целью которых является привлечение внимания злоумышленника. Они хороши для исследовательской деятельности. Например, когда необходимо просто проанализировать поведение злоумышленника в определенной среде. Можно сопоставить полученные данные с другими системам безопасности, что поможет сформировать более точную и полную картину подозрительной активности в сети. Однако те, кто хоть раз сталкивался с ними, знают, как сложно их развертывать и эксплуатировать.

Про OpenSource, наверное, написана не одна статья и проведено множество дискуссий между экспертами. И ответ всегда один: если у вас есть ресурсы для развития продукта внутри компании на базе OpenSource, организованы все процессы разработки, внедрены практики DevSecOps, то это вполне рабочая схема.

Есть достаточно популярные проекты ханипотов с открытым исходным кодом (например, всем известный T-pot). Но при их использовании у вас не будет возможностей управления, мониторинга и распространения приманок по настоящим хостам в сети.

Когда заказчики просят доказать эффективность нашего решения, мы просто даем бесплатно его попробовать. Особых ресурсов и навыков для внедрения не требуется (при необходимости всегда готовы выделить собственные инженерные ресурсы для помощи). И можно не боятся, что платформа будет конфликтовать с существующими системами безопасности или создаст дополнительную нагрузку на инфраструктуру, так как Xello Deception является безагентским решением. Чтобы проверить его в «боевых условиях», рекомендуем внедрять параллельно пентесту. Это, как правило, снимает весь скепсис.

Александр Щетинин: Deception-системы не способны заменить «базовые» средства защиты информации (антивирус, NGFW, WAF и т.д.) или специализированные, например, для обеспечения кибербезопасности промышленных систем. Уверенность в каком-либо одном решении — это изначально проигрышная позиция. Технология киберобмана может стать стратегическим решением для детектирования сложных и целенаправленных атак и тех, которые давно присутствуют в сети. Перенаправление киберпреступника на поддельные данные и активы может стать ключом к защите реальных активов предприятия.

Мы видим перспективы в развитии решений данного класса: будут развиваться формы обмана злоумышленника, а также методы защиты данных, которые позволят технологически усложнить путь к ним. Уже сегодня они предоставляют командам информационной безопасности полноценные инструменты не только для раннего обнаружения и реагирования на инциденты безопасности, но и для исследования техник и тактик злоумышленника.

Александр Щетинин: Как я упоминал ранее, современные DDP-системы должны быть адаптивными: учитывать особенности конкретного хоста на конкретном предприятии и генерировать максимально реалистичные приманки. Xello Deception может идентифицировать, например, хост бухгалтера и распространить на него ложные базы данных 1C, сохраненные подключения к финансовым сервисам или текстовые файлы с якобы конфиденциальной информацией.

Как вы уже заметили, платформа делает все это в автоматическом режиме: специалистам по информационной безопасности не потребуется постоянно конфигурировать решение (создавать или распространять новые приманки самостоятельно). Продукт максимально автономен от ручного вмешательства.

Александр Щетинин: Наш продукт на рынке уже более трех лет. Сегодня в нашей платформе представлен наиболее обширный набор приманок и реализованы все возможные способы их распространения.

Xello Deception является пока единственным решением, поддерживающим инфраструктуру виртуальных рабочих мест (VDI) и терминальные серверы. Мы вовремя подхватили данный тренд (в разгар COVID-19) и реализовали эти возможности. В единой консоли управления представлена вся ключевая информация об инцидентах: таймлайн инцидента, отображение потенциальной точки входа, также системой производится корреляция всех событий.

Мы собираем и храним всю хостовую форензику: информацию об активных пользователях, запущенных службах и процессах, сетевых подключениях, историю bash, общую информацию о хосте и другую.

Что касается развития продукта: мы собираем обратную связь от наших клиентов, анализируем исследовательские отчеты о деятельности APT-группировок (какие инструменты и техники наиболее популярны) и на основе этих данных вносим изменения в наш бэклог.

Александр Щетинин: Западные коллеги достаточно давно используют киберобман для детектирования сложных угроз на ранних стадиях. Например, всем известная организация MITRE^[1] в рамках своей платформы Engage продвигает эту концепция для повышения эффективности борьбы с злоумышленником. Или компания SANS Institute^[2], которая обучает технологии на своих курсах.

Мы на российском рынке начали продвигать ее достаточно недавно. Но за последние пару лет наблюдаем значительное увеличение интереса к нашему решению со стороны заказчиков. По сравнению с 2021 годом количество пилотов в этом году выросло примерно в два раза. Но, если честно, прежде чем мы достигли этих результатов, пришлось «свернуть горы»: небольшой стартап, скепсис к абсолютно новой технологии на российском ИБ-рынке и отсутствие коммерческой базы (первоначальная команда, которая начала разработку и продвижение продукта — это технические специалисты без опыта работы в продажах).

Александр Щетинин: Нет, почему же, сталкиваемся. Но референсная база дает возможность подтвердить наши слова на реальных кейсах. В открытых источниках, конечно, вы не найдете информацию о реализованных проектах. Мы сами не рекомендуем нашим заказчика упоминать, что они используют киберобман в своей стратегии.

Александр Щетинин: На оба вопроса ответ «да». Мы в целом придерживаемся продуктового подхода, при котором ориентируемся на потребности наших клиентов. Это позволяет нам формировать актуальную дорожную карту развития продукта. Кстати, уже этой осенью у нас состоится масштабный релиз, где мы расскажем о новых возможностях платформы. Приоткрывая завесу, мы представим Xello Deception в абсолютно новом виде и не только.

Что касается расширения продуктового портфеля, планы есть. Из ближайшего — вывести в отдельный продукт модуль Credential Defender. Он позволяет управлять группами локальных администраторов, очищать закэшированные учетные данные пользователей, производить мониторинг теневых администраторов, что позволяет сократить поверхность атаки.