Технологии обмана (Deception)
Что такое Технологии обмана (Deception)?
Технологии обмана (Deception)Подход к защите, при котором по сети, конечным точкам, AD и облаку размещают приманки, хлебные крошки и поддельные ресурсы для точного обнаружения, дезориентации и изучения атакующих.
Технологии обмана (deception) распределяют приманки по всей инфраструктуре — фальшивые серверы, пользователи, учётные данные, файлы и токены — так, что любое взаимодействие с ними по определению подозрительно. В отличие от инструментов на сигнатурах, deception даёт крайне мало ложных срабатываний: легитимные процессы никогда не обращаются к приманкам. Коммерческие платформы Attivo Networks (теперь часть SentinelOne), TrapX Security и Illusive Networks популяризировали этот подход в 2015–2020 годах, а сегодня он встроен во многие решения XDR и ITDR. Особенно эффективен против латерального перемещения, злоупотребления учётными записями и разведки шифровальщиков.
● Примеры
- 01
Приманки Attivo BOTsink, имитирующие SCADA-узлы в OT-сегменте.
- 02
Хлебные крошки Illusive на рабочих станциях, заманивающие атакующего на контролируемый сервер-приманку.
● Частые вопросы
Что такое Технологии обмана (Deception)?
Подход к защите, при котором по сети, конечным точкам, AD и облаку размещают приманки, хлебные крошки и поддельные ресурсы для точного обнаружения, дезориентации и изучения атакующих. Относится к категории Защита и операции в кибербезопасности.
Что означает Технологии обмана (Deception)?
Подход к защите, при котором по сети, конечным точкам, AD и облаку размещают приманки, хлебные крошки и поддельные ресурсы для точного обнаружения, дезориентации и изучения атакующих.
Как работает Технологии обмана (Deception)?
Технологии обмана (deception) распределяют приманки по всей инфраструктуре — фальшивые серверы, пользователи, учётные данные, файлы и токены — так, что любое взаимодействие с ними по определению подозрительно. В отличие от инструментов на сигнатурах, deception даёт крайне мало ложных срабатываний: легитимные процессы никогда не обращаются к приманкам. Коммерческие платформы Attivo Networks (теперь часть SentinelOne), TrapX Security и Illusive Networks популяризировали этот подход в 2015–2020 годах, а сегодня он встроен во многие решения XDR и ITDR. Особенно эффективен против латерального перемещения, злоупотребления учётными записями и разведки шифровальщиков.
Как защититься от Технологии обмана (Deception)?
Защита от Технологии обмана (Deception) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Технологии обмана (Deception)?
Распространённые альтернативные названия: Deception-платформа, Киберобман.
● Связанные термины
- network-security№ 485
Ханипот
Имитирующая реальную систему или сервис приманка, намеренно выставленная наружу для привлечения атакующих, изучения их методов и отвлечения от продуктивных активов.
- defense-ops№ 483
Ханифайл
Файл-приманка в хранилище, который запускает оповещение при чтении, копировании или эксфильтрации злоумышленником или инсайдером.
- defense-ops№ 487
Хани-юзер (Honeyuser)
Поддельная учётная личность в каталоге и HR-системе: любая попытка входа или перечисления сразу выдаёт злоумышленника.
- network-security№ 486
Ханитокен
Поддельные данные — учётные данные, файл, запись или API-ключ — у которых нет легитимного применения и обращение к которым сразу вызывает оповещение.
- defense-ops№ 012
Активная защита
Стратегия защиты, выходящая за рамки пассивного мониторинга и предполагающая взаимодействие, дезинформацию и срыв действий противника в пределах собственных ресурсов.
- defense-ops№ 606
Латеральное перемещение (Lateral Movement)
Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.