Technologia oszustwa

Technologia oszustwa to kategoria mechanizmów obrony cyberbezpieczeństwa , które zapewniają wczesne ostrzeganie o potencjalnych atakach cyberbezpieczeństwa i ostrzegają organizacje o nieautoryzowanej działalności. Produkty technologii oszustwa mogą wykrywać, analizować i bronić się przed typu zero-day i zaawansowanymi, często w czasie rzeczywistym. Są zautomatyzowane, dokładne i zapewniają wgląd w złośliwe działania w sieciach wewnętrznych , które mogą być niewidoczne dla innych rodzajów cyberobrony. Technologia oszustwa umożliwia bardziej proaktywną postawę bezpieczeństwa, próbując oszukać atakującego, wykryć go, a następnie pokonać.

Istniejące technologie cybernetyczne do obrony w głąb walczyły z rosnącą falą wyrafinowanych i wytrwałych osób atakujących. Technologie te mają przede wszystkim na celu ochronę granicy, ale zarówno zapory ogniowe , jak i zabezpieczenia punktów końcowych nie są w stanie obronić granicy ze 100% pewnością. Cyberprzestępcy mogą penetrować te sieci i poruszać się bez przeszkód przez wiele miesięcy, kradnąc dane i własność intelektualną . Heurystyka może znaleźć atakującego w sieci, ale często generuje tak wiele alertów, że krytyczne alerty są pomijane. Od 2014 roku ataki przyspieszyły i istnieją dowody na to, że cyberprzestępcy coraz szybciej penetrują tradycyjne mechanizmy obronne.

Technologia oszustwa bierze pod uwagę punkt widzenia osoby atakującej oraz metodę wykorzystania sieci i poruszania się po niej w celu identyfikacji i eksfiltracji danych. Integruje się z istniejącymi technologiami, aby zapewnić nowy wgląd w sieci wewnętrzne, udostępniać alerty o wysokim prawdopodobieństwie i informacje o zagrożeniach w istniejącej infrastrukturze.

Technologia: widok z wysokiego poziomu

Technologia oszukiwania automatyzuje tworzenie pułapek (wabików) i/lub wabików, które są mieszane pomiędzy istniejącymi zasobami informatycznymi i wewnątrz nich, aby zapewnić warstwę ochrony powstrzymującą atakujących, którzy przeniknęli do sieci . Pułapki (wabiki) to zasoby informatyczne , które albo wykorzystują licencjonowane oprogramowanie systemu operacyjnego , albo są emulacjami tych urządzeń.

Pułapki korzystające z emulacji mogą również imitować urządzenia medyczne , bankomaty, systemy punktów sprzedaży detalicznej , przełączniki, routery i wiele innych. Wabiki to na ogół prawdziwe zasoby informatyczne (pliki różnego rodzaju), które są umieszczane na rzeczywistych zasobach informatycznych.

Po przeniknięciu do sieci osoby atakujące próbują ustanowić backdoora , a następnie wykorzystują go do identyfikowania i eksfiltracji danych i własności intelektualnej. Zaczynają poruszać się poprzecznie przez wewnętrzne sieci VLAN i niemal natychmiast „spojrzą” na jedną z pułapek. Interakcja z jednym z tych „wabików” wywoła alarm. Alerty te są bardzo prawdopodobne i prawie zawsze zbiegają się z trwającym atakiem. Oszustwo ma na celu zwabienie atakującego – atakujący może uznać to za wartościowy zasób i kontynuować wprowadzanie złośliwego oprogramowania . Technologia oszukańcza zasadniczo umożliwia zautomatyzowaną statyczną i dynamiczną analizę tego wstrzykniętego złośliwego oprogramowania i zapewnia te raporty w sposób automatyczny personelowi ds. bezpieczeństwa. Technologia oszustwa może również identyfikować, za pomocą wskaźników kompromisu (IOC), podejrzane punkty końcowe, które są częścią cyklu kompromisu. Automatyzacja pozwala również na zautomatyzowaną analizę pamięci podejrzanego punktu końcowego, a następnie automatyczną izolację podejrzanego punktu końcowego. Wiele integracji partnerów pozwala na różne ścieżki implementacji dla obecnych klientów korporacyjnych i rządowych.

Aplikacje specjalistyczne

Internetu rzeczy (IoT) zwykle nie są dogłębnie skanowane przez starszą obronę i pozostają głównymi celami atakujących w sieci. Technologia oszukańcza może identyfikować osoby atakujące poruszające się poprzecznie do sieci w tych urządzeniach.

Zintegrowane gotowe urządzenia, które wykorzystują wbudowane systemy operacyjne , ale nie pozwalają na skanowanie tych systemów operacyjnych lub ścisłą ochronę za pomocą wbudowanego oprogramowania punktu końcowego lub oprogramowania do wykrywania włamań, są również dobrze chronione przez wdrożenie technologii oszustwa w tej samej sieci. Przykłady obejmują systemy sterowania procesami (SCADA) stosowane w wielu aplikacjach produkcyjnych na całym świecie. Technologia oszustwa została powiązana z odkryciem Zombie Zero , wektora ataku . Technologia oszukańcza zidentyfikowała tego atakującego za pomocą złośliwego oprogramowania osadzonego w czytnikach kodów kreskowych wyprodukowanych za granicą.

Urządzenia medyczne są szczególnie narażone na cyberataki w ramach sieci opieki zdrowotnej. Jako FDA znajdują się w systemach zamkniętych i nie są dostępne dla standardowego oprogramowania do cyberobrony. Technologia oszukańcza może otaczać i chronić te urządzenia oraz identyfikować osoby atakujące za pomocą umieszczania tylnych drzwi i eksfiltracji danych. Niedawne udokumentowane ataki cybernetyczne na urządzenia medyczne obejmują aparaty rentgenowskie , tomografy komputerowe , skanery MRI , analizatory gazometrii , systemy PACS i wiele innych. Sieci korzystające z tych urządzeń mogą być chronione przez oszukańczą technologię. , że ten wektor ataku, zwany porwaniem urządzenia medycznego lub medjack, przeniknął do wielu szpitali na całym świecie.

Wyspecjalizowane produkty technologii oszukańczej są teraz w stanie zaradzić wzrostowi liczby oprogramowania ransomware , oszukując oprogramowanie ransomware, aby zaangażowało się w atak na zasób wabika, jednocześnie izolując punkty infekcji i ostrzegając zespół ds. oprogramowania do obrony cybernetycznej.

Historia

Honeypots były prawdopodobnie pierwszą bardzo prostą formą oszustwa. Honeypot pojawił się po prostu jako niechroniony zasób technologii informacyjnej i prezentował się w atrakcyjny sposób potencjalnemu atakującemu już w sieci. Koncepcja pułapek miodu oszukujących atakujących, być może opóźniających ich i identyfikujących, a następnie ostatecznie wspierających wysiłki zmierzające do powstrzymania ataku była dobra. Pomijając potencjalne korzyści, większość wczesnych honeypotów wykazuje wyzwania związane z funkcjonalnością, integralnością i ogólną skutecznością w osiąganiu tych celów. Kluczowy był brak automatyzacji, który umożliwił wdrożenie na szeroką skalę. Strategia wdrażania obejmowałaby przedsiębiorstwo, w którym należy chronić nawet dziesiątki tysięcy sieci VLAN, nie byłaby ekonomicznie wydajna przy użyciu ręcznych procesów i ręcznej konfiguracji.

Przepaść między tradycyjnymi honeypotami a nowoczesną technologią oszukiwania zmniejszyła się z czasem i będzie się zmniejszać. Nowoczesne honeypoty stanowią dziś najniższą część przestrzeni technologii oszustwa.

Odróżnienie od technologii konkurencyjnych/kooperacyjnych

Tradycyjne technologie cyberobrony, takie jak zapory ogniowe i zabezpieczenia punktów końcowych, generują wiele alertów. W dużym przedsiębiorstwie liczba alertów może sięgać w niektórych przypadkach milionów alertów dziennie. Personel zajmujący się bezpieczeństwem nie może łatwo przetworzyć większości działań, jednak wystarczy jedna udana penetracja, aby zagrozić całej sieci.

Technologia oszustwa generuje alerty, które są produktem końcowym procesu binarnego . Prawdopodobieństwo sprowadza się zasadniczo do dwóch wartości: 0% i 100%. Każda strona, która chce zidentyfikować, wysłać sygnał , wejść, obejrzeć pułapkę lub użyć przynęty, jest natychmiast identyfikowana przez takie zachowanie. Każdy, kto dotyka tych pułapek lub przynęt, nie powinien tego robić. Jest to zaleta w porównaniu z metodami heurystycznymi i opartymi na prawdopodobieństwie oraz tysiącami zbędnych alertów generowanych przez te techniki.

Najlepsze praktyki pokazują, że technologia oszustwa nie jest samodzielną strategią. Technologia oszustwa to dodatkowa kompatybilna warstwa do istniejącej obrony w głąb cyberobrony. Integracje partnerów sprawiają, że jest to najbardziej przydatne, a celem jest dodanie ochrony dla najbardziej zaawansowanych i wyrafinowanych ludzi atakujących, którzy z powodzeniem przenikną przez granicę.

Wielkość rynku i przyjęcie

Innowacja techniczna technologii oszustwa została przyjęta przez rynek. Analityk branżowy zidentyfikował dziesięć najlepszych technologii bezpieczeństwa informacji w 2016 r., z których jedną była technologia oszustwa.

Analityk branżowy przewidział w sierpniu 2016 r., że rynek technologii oszukańczych wynosi obecnie (w 2016 r.) około 50–100 mln USD na całym świecie, a ponadto przewidywał 100–200 mln USD przychodów do 2018 r. Ten sam analityk zauważył wcześniej, że „do 2018 r. 10 procent przedsiębiorstw będzie stosować narzędzia i taktyki oszustwa oraz aktywnie uczestniczyć w operacjach oszustwa przeciwko atakującym”. Gartner zwrócił również uwagę na technologię oszukiwania jako „daleko niewykorzystaną technologię, która może zapewnić poważną przewagę nad atakującymi (cybernapastnikami)”.

Dwóch innych ważnych analityków przewidywało niedawno, że do 2020 r. wielkość rynku przekroczy 1 miliard dolarów. Adopcja jest częściowo napędzana przez ciągłe, dobrze widoczne ataki ukierunkowane na duże przedsiębiorstwa i instytucje rządowe na całym świecie.

Market Research Media szacuje łączną wartość rynku technologii oszustwa na 12 miliardów dolarów (2019-2024), rosnąc o około 19% CAGR.

Zobacz też

• Cyberprzestępczość
• Bezpieczeństwo sieci
• Proaktywna cyberobrona

Dalsza lektura

•   Lance Spitzner (2002). Honeypoty śledzące hakerów . Addison-Wesley . ISBN 0-321-10895-7 .
•   Sean Bodmer, CISSP, CEH, Dr Max Kilger, PhD, Gregory Carpenter, DrPH, CISM, Jade Jones, Esq., JD (2012). Reverse Deception: przeciwdziałanie zorganizowanym cyberzagrożeniom . Edukacja McGraw-Hill . ISBN 978-0071772495 . {{ cite book }} : CS1 maint: wiele nazwisk: lista autorów ( link )