В наших статьях мы неоднократно говорили о том, что когда речь заходит об информационной безопасности, то недостаточно просто действовать реактивно: крайне важно осуществлять превентивные действия, потому что лучший способ защиты от атаки – это идти на опережение, чтобы упредить и предотвратить ее.

По этой причине в своем стремлении идти на опережение все большее число компаний выделяют часть своих корпоративных ресурсов по информационной безопасности на изучение новых тенденций и анализ последних стратегий кибер-преступлений для того, чтобы быть способными защитить ИТ-инфраструктуру своей компании более эффективным способом, избегая проблем даже до их возникновения.

В этом случае мы начинаем видеть две концепции, которые очень распространены в секторе ИБ: honeypots и sandboxing. Это две стратегии предотвращения ИТ-рисков, которые, на первый взгляд, могут показаться идентичными, но на самом деле, они имеют ряд различий.

Что такое honeypot?

Honeypot (приманка) – это стратегия информационной безопасности, которая среди прочего предназначена для обмана потенциальных кибер-преступников. Будь то с помощью специального ПО или в результате человеческих действий, но компания, используя данную стратегию, создает специальные «приманки» для кибер-преступников, т.е. «делает вид», как будто существуют способы проникновения в ее системы, якобы не защищенные должным образом.

Тактика следующая: на первом шаге компания якобы создает серверы и системы с какой-то конфиденциальной и чувствительной информацией (или службами). Причем все это делается так, словно случайно на них остаются точки несанкционированного проникновения – такие серверы или системы кажутся уязвимыми. Как только приманка сделана, начинается игра в «ловлю на живца»: необходимо привлечь злоумышленников, чтобы они среагировали на данный вызов и попытались проникнуть в систему. Однако кибер-преступник не знает об этом, и он не знает о том, что как только он воспользовался данной уязвимостью, компания начинает наблюдать за ним и контролировать все его действия.

Все это дает компании тройное преимущество: во-первых, она может остановить действительно опасные атаки; во-вторых, она может «загрузить работой» хакера, измотать его и вынудить его зря потратить свое время; наконец, она может проанализировать все его перемещения и использовать эту информацию для обнаружения новых стратегий атак, используемых в секторе.

Honeypots подобно так называемой кибер-контрразведке, которая также использует стратегию размещения «слабых мест» информационной безопасности, которые, в силу своей кажущейся уязвимости, заманивают хакеров и обманывают их, усложняя их попытки, а также шпионя за ними, анализируя их передвижения и осуществляя за ними контроль.

На самом деле существуют способы сделать данную тактику еще более сложной. Если приманки расставлять не в неиспользуемых сетях, а в реальных приложениях и системах (это когда мы начинаем говорить о honeynet), то это позволит еще больше ввести в заблуждение кибер-преступников и заставить их поверить в то, что они атакуют самое сердце ИТ-безопасности компании.

В конечном итоге, honeypots – это стратегия, которая может быть очень полезной, особенно для крупных компаний, т.к. они обычно хранят огромный объем конфиденциальной информации и, в результате активной деятельности, являются очень привлекательными целями для потенциальных хакеров.

Что такое sandbox?

Sandbox в переводе с английского – это песочница. Песочницы имеют несколько элементов, которые их отличают от honeypots. Это гораздо менее рискованная тактика, и она осуществляется в том случае, если компания подозревает, что некоторые ее программы или приложения могут содержать вредоносные программы.

В этом случае компания полностью изолирует процесс выполнения такой программы. Т.е. программа запускается на одном отдельном компьютере, при этом контролируется, чтобы этот компьютер не устанавливал никаких соединений с другими устройствами в компании. В результате проверяется работа программы на компьютере, анализируется ее поведение, приводит ли работа программы к заражению, осуществляет ли программа установление внешних соединений и т.д.

Таким образом, цель honeypot – заманить хакеров и избежать их атак, в результате чего они тратят свое время и силы на лишние действия, которые компания тщательно анализирует. А sandboxing сосредоточен на том, чтобы оценить возможные инфекции, которые уже могли поразить систему, и запуск подозрительных программ в изолированной среде так, чтобы они не могли повлиять на другие компьютеры в компании.

Получается, что sandboxing – это идеальная стратегия для компаний, работающих с материалом, скачиваемым из Интернета, который потенциально может скомпрометировать их ИТ-безопасность. Такой подход может быть также полезен в том случае, когда сотрудник в силу недостатка обучения и осведомленности об ИТ-безопасности, загружает вложение, способное представлять угрозу для ИТ-систем компании.

Есть одна вещь, которую все компании должны четко понимать: независимо от их размера, прямо сейчас все они могут быть атакованы и все они могут пасть жертвой кибер-преступления. Таким образом, в этом контексте крайне важно расширять свой инструментарий и предотвращать ИТ-риски.