Киберобман (проактивная стратегия безопасности, использующая ложные цели и приманки) может быть отличным способом обнаружения новых угроз и выявления скрытых уязвимостей, но организации сталкиваются с рядом препятствий и рисков, связанных с такими программами. Об этом предупреждает Национальный центр кибербезопасности (NCSC).
На днях организация поделилась результатами пилотного проекта, реализуемого в рамках программы Active Cyber Defence (ACD) 2.0, в котором участвует 121 британская компания и 14 поставщиков продуктов в области киберобмана. Было обозначено пять выводов:
- Показатели, основанные на результатах, требуют доработки. Данные и контекст имеют решающее значение для получения валидной информации, а не просто инфошума;
- Терминология в индустрии киберобмана часто непоследовательна. Это затрудняет для организаций понимание того, что именно предлагают вендоры;
- Отсутствие рекомендаций означает, что часто недостает беспристрастных советов, реальных примеров из практики и гарантий эффективности и безопасности инструментов. Несмотря на наличие обширного рынка поставщиков, новичкам бывает сложно в нём ориентироваться;
- Если инструменты настроены неправильно, существует риск того, что они не смогут обнаружить угрозы, создадут ложное чувство безопасности и даже позволят злоумышленникам проникнуть в сети. Необходима постоянная тонкая настройка и регулярные обновления;
- 90% организаций предпочитает не афишировать применение методов киберобмана. Однако, по некоторым данным, когда атакующие знают, что компания использует ловушки для них, то становятся менее уверенными в своих действиях.
Цель NCSC в рамках этого пилота — масштабировать стратегию, чтобы понять, как данная технология может быть внедрена в рамках ACD 2.0. План предусматривает запуск как минимум 5000 решений с низким и высоким уровнем взаимодействия в британском интернете, а также 20 тыс. решений с низким уровнем взаимодействия во внутренних сетях. Центр планирует развернуть ещё 200 тыс. решений в облачных средах и два миллиона «медовых токенов» — фейковых ИТ-ресурсов, предназначенных для обнаружения преступной деятельности.
«Заставляя злоумышленников тратить время и ресурсы на создание ложных сред, поиск поддельных учётных данных или попытки угадать доступ к ним, киберобман может замедлить атаки и повысить вероятность обнаружения. Это соответствует более широким целям национальной устойчивости, делая Великобританию более сложной и дорогостоящей целью», — объяснили в NCSC.
Авторы стратегии убеждены, что их инициатива служит тому, чтобы больше британских организаций могло использовать «возможности обмана», наряду с мониторингом и поиском угроз, для более эффективного обнаружения, понимания и реагирования на опасности в Сети.
Усам Оздемиров
