Kibernetinėje erdvėje vyksta nuolatinis mūšis tarp užpuolikų ir saugumo specialistų. Deja, šių dienų realybė, kad visų įsilaužėlių „sugaudyti“ neįmanoma, tačiau pasitelkdami kibernetinės apgaulės (angl. cyber deception) metodus, galime rinkti CTI naudingus duomenis apie jų naudojamas taktikas ir įrankius. Taip pat gerinti savo grėsmių aptikimo sistemas ir papildomai švaistyti įsilaužėlių laiką, nes kiekviena minutė praleista prie fiktyvių sistemų/duomenų yra minutė išlošta kritinėms sistemoms.

Kas yra kibernetinės apgaulės (angl. cyber deception)?

Tai specialiai sukurti fiktyvūs duomenys, serveriai, tinklų struktūros, duomenų bazės, vartotojai, failai ir t.t., kurie gali atrodyti patrauklūs įsilaužėliams ir yra naudojami, kaip masalas atitraukti dėmesį nuo tikrųjų. Šis metodas dažnai padeda anksti aptikti grėsmes ir į jas sureaguoti, taip pat rinkti žvalgybinę informaciją ir ją panaudoti įspėjant kitas organizacijas, pavyzdžiui, per MISP platformą. Jis pasižymi žemu False-Positive kiekiu, kadangi niekas (apart įsilaužėlių) neturi intereso su šiais duomenimis sąveikauti ir apie juos nieko nežino.

Dažniausiai naudojami kibernetinių spąstų būdai

1. Honeypot

Tai – pažeidžiama sistema, kuri atrodo kaip tikra ir vertinga tinklo dalis, kurios tikslas  sugundyti įsilaužėlius, stebėti jų veiksmus ir surinkti informaciją apie grėsmes.

2. Honeynet

Tai yra visa tinklo sistema, sudaryta iš kelių honeypot‘ų, kuri suteikia platesnę aplinką  užpuolikams veikti ir padeda geriau atskleisti įsilaužėlių naudojamus metodus ir įrankius, pavyzdžiui, judant tinkle tarp skirtingų įrenginių.

3. Decoys (jaukai)

• Decoy duomenys – tai duomenys, kurie atrodo kaip svarbi informacija, pavyzdžiui, asmeniniai įrašai, finansiniai duomenys ar konfidencialūs dokumentai. Tokie duomenys yra suklastoti ir nėra naudingi, tačiau jie tik sukuria iliuziją, kad užpuolikas prieina prie realių ir vertingų duomenų.
• Decoy paskyros – tai netikros paskyros, atrodančios kaip įprasti vartotojai, tačiau neturi tikros prieigos ar teisės atlikti jokių realių veiksmų. Užpuolikas, bandydamas panaudoti šias paskyras, sukels automatinius pranešimus saugumo komandai apie savo veiksmus, net ir vieno nesėkmingo prisijungimo atveju.
• Decoy failai – tai suklastoti failai, neturintys realios vertės ir dažniausiai padėti lengvai pasiekiamose vietose, kaip Desktop, Documents, .docx, xlsx failų tipai. Jie yra skirti apgauti užpuoliką ir įtikinti jog tai vertingi duomenų šaltiniai, kad susiviliotų juos užšifruoti ar išsikelti iš sistemos.

Kibernetinių spąstų atnešamos naudos

• Greitesnis grėsmių aptikimas: Decoys ir honeypots padeda SOC komandai greitai nustatyti, kai užpuolikai bando patekti į tinklą arba jau pateko jeigu sąveikaujama su paskyromis arba failais ir užkirsti kelią tolimesniems veiksmams.
• Mažiau False-Positives: suteikia mažesnį klaidingų įspėjimų kiekį, nes tik užpuolikai su jais sąveikauja.
• Automatinis reagavimas: Kai įsilaužėlis sąveikauja su decoy, galima automatiškai įvykdyti tam tikras reakcijas, tokias kaip užblokavimas, įspėjimo siuntimas ar sistemos izoliavimas.
• Saugumo spragų identifikavimas: Decoys ir honeypots leidžia organizacijai identifikuoti potencialias saugumo spragas.
• Sistemos atsparumo didinimas: leidžia testuoti ir tobulinti saugumo sistemas ir reagavimo procedūras, nes jos simuliuoja tikrąsias atakas, suteikdamos organizacijai galimybę įvertinti, kaip efektyviai jų sistemos atremia grėsmes.
• Padeda nustatyti naujas grėsmes: Stebėdamos užpuolikus per decoys ir honeypots, CTI komandos gali atskleisti naujas atakas arba atakų metodus, kurie dar nėra gerai žinomi, įskaitant zero-day pažeidžiamumus.
• Grėsmių informacijos rinkimas ir dalijimasis: Decoys ir honeypots leidžia surinkti tikslesnę informaciją apie užpuolikus, jų taktikas ir naudojamus įrankius, gauti kenkėjiškų programų ar laiškų pavyzdžių ir tokiu būdu padėti CTI komandai sukurti labiau personalizuotas grėsmių prognozes. Taip pat susipažinti kokie APT gali į juos taikytis, atnaujinti žvalgybos duomenų bazes ir dalintis šia informacija su kitomis organizacijomis.
• Testavimas ir mokymai: Mokymo tikslams galima kurti scenarijus su šiais įrankiais, kad organizacijos darbuotojai galėtų praktikuotis reagavimo į incidentus ir grėsmes įgūdžius. Tai padeda pagerinti reagavimo greitį ir tikslumą realiuose incidentuose.
• Atgrasymas: kadangi įsilaužėliai dažnai siekia lengvo ir greito pelno, supratę, kad sąveikauja su honeypots ir decoys, gali būti atbaidyti, suprasdami, kad organizacija yra rimtai investavusi į savo saugumą ir bandys ieškoti lengvesnės aukos.

Renkant duomenis iš honeypot, svarbu koncentruotis į informaciją, kuri leidžia tiksliai identifikuoti grėsmes. Pavyzdžiui, IP adresai iš kurių matomi bandymai bruteforce ataka prisijungti prie honeypot serverio ar išnaudoti kokius jame esančius pažeidžiamumus, o ne vien SYN prievadų skenavimai, nebent jie yra pastoviai pasikartojantys ir labai agresyvūs. Norint sumažinti False-Positive signalus, reikėtų išfiltruoti žinomus skenerius ir koncentruotis tik į aktyvią bei įtartiną veiklą. Tai leidžia sukurti vertingesnę žvalgybinę informaciją.

Šiuo metu MISP platformoje yra integruotas duomenų srautas iš mūsų honeypot sistemos, kuri automatiškai įkelia IP adresus, susijusius su potencialiomis grėsmėmis. Šiame sraute yra 30 266 IP adresai, iš kurių 3 634 koreliuoja su kitais duomenų šaltiniais ir dažnu atveju vienas IP koreliuoja su keliais srautais vienu metu. Šie duomenys suteikia didesnį pasitikėjimą jų patikimumu ir padeda aptikti tas pačias grėsmes, kurios jau buvo užfiksuotos kituose tinkluose, kadangi šie duomenys yra integruoti ir į SIEM platformas ir taip padeda aptikti šias grėsmes mūsų SOC paslaugos klientams. Taip pat aukšto patikimumo duomenys galėtų būti automatiškai siunčiami į ugniasienės blocklist, iš anksto užkertant kelią grėsmei.

Daugelis šių duomenų koreliuoja su užsienio duomenų srautais, kurie ne visuomet tiesiogiai atspindi Lietuvos organizacijų patiriamus pavojus. Dalijimasis aktualiais IoC suteikia galimybę geriau suprasti ir valdyti grėsmes, su kuriomis susiduriame čia, Lietuvoje. Tai ne tik padeda organizacijoms veiksmingiau apsisaugoti, bet ir stiprina šalies bendrą kibernetinį atsparumą, todėl manome, kad kuo daugiau Lietuvos organizacijų prisijungtų prie šio projekto, tuo naudingiau, tai būtų visiems šios iniciatyvos dalyviams, matant koreliuojamus duomenis būtent iš mūsų šalyje pastebimų atakų. Kviečiame prie šio proceso prisijungti ir Jus.

Kibernetinė apgaulė (cyber deception) yra efektyvus metodas, skirtas padidinti organizacijų kibernetinį atsparumą. Naudodama apgaulingas sistemas, tokias kaip honeypotai, decoys, ši technologija sukuria klaidinančią aplinką, kurioje užpuolikai gali „įstrigti“ ir atskleisti savo veiksmus, net jei jie sugebėjo įveikti įprastines apsaugos priemones. Cyber deception suteikia galimybę anksti identifikuoti kibernetinius įsilaužimus, sumažinti klaidingų įspėjimų kiekį, ir greičiau reaguoti į grėsmes. Be to, cyber deception yra naudingas tiek didelėms organizacijoms su išvystytomis saugumo sistemomis, tiek ir mažesnėms įmonėms, kurios nori efektyviai apsisaugoti nuo sudėtingų grėsmių, net turėdamos ribotus išteklius.

Apibendrinant, kibernetiniai spąstai yra naudingas gynybos būdas, galintis palengvinti kovą su kibernetiniais nusikaltėliais, suteikdamas organizacijoms galimybę ne tik reaguoti į atakas, bet ir proaktyviai rinkti naudingą informaciją apie įsilaužėlių metodus, įrankius, IoC, kuria vėliau galima dalintis su kitomis organizacijomis užkertant kelią grėsmėms.

Šis įrašas publikuotas kaip dalis „SOCshare“ projekto (Nr. 101145843) , kuri vykdome kartu su Vilniaus miesto savivaldybe. Jis yra dalinai fnansuojamas Europos Sąjungos. Išreikštos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.