Мнение Алексея Кузовкина: самым эффективным инструментом для выявления мошенников является Deception

В условиях обильного потока данных специалистам-аналитикам, работающим в центрах мониторинга и реагирования, приходится определять и подтверждать конкретные киберугрозы. Алексей Викторович Кузовкин, генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада», советует сотрудникам служб кибербезопасности, вынужденным взаимодействовать с внушительным числом реакций, сравнивать ряд параметров и данных, зачастую разрозненных, для повышения уровня эффективности обнаружения киберугроз прибегнуть к помощи технологии киберобмана или Deception, сменив статическую модель выявления мошенников на упреждающую.

Каждая организация, опираясь на специфику и технологический потенциал конкретной корпоративной сети, поясняет эксперт, по-своему исполняет функции мониторинга и реагирования на киберугрозы, применяя при этом отличающиеся и по типу производителя, и по классу решения инструменты. В сфере реагирования на кибератаки сегодня есть склонность к повышению числа правил корреляции и подписок на параметры компрометаций/атак (речь идет об IoC/IoA). При этом наиболее эффективным инструментом, способным улучшить оптимизацию процессов мониторинга и реагирования, значительно увеличить их результативность, является современная технология киберобмана, что подтверждает практика.

Часто инструменты защиты «догоняют» инструменты нападения, обращает внимание Алексей Кузовкин. Очень умелые, ловкие и умные, современные злоумышленники используют большое количество способов, чтобы обходить корреляционные правила, имея для этого массу возможностей. Характер их действий и используемые инструменты обладают определенными специфическими особенностями, позволяющими выявлять те или иные нелегитимные действия. Эти параметры можно подвергать коррекции или делать мало узнаваемыми.

«Подталкивание» злоумышленников к посещению серверов-ловушек с помощью различных методик обмана и хитрых приманок – это метод работы Deception-систем, характерная черта технологии, отличающая ее от раскрученных и популярных honeypot-систем. Применяя логично распределенные между IT-активами организации приманки и ловушки, имитирующие якобы реальную инфраструктуру, Deception быстро и точно идентифицирует преступников, привлекая мошенников в ограниченное пространство.