Використання рішення deception у проєкті впровадження SOC для «Концерн Галнафтогаз»

Майстер-клас: секрети випікання найсмачніших млинців!

17.04.2024

Кібербезпека це безперервна боротьба команд захисту та нападників. Інструменти та види атак постійно змінюються, але є одна аксіома — хакери завжди шукають найслабші ланки в кіберзахисті компанії. Так, навіть ті організації, що повністю впевнені у захисті своєї зовнішньої мережі, можуть постраждати від вразливості зсередини. У цьому кейсі розглянемо застосування рішення класу deception для розв’язання проблем захисту внутрішньої мережі.

Запит клієнта

Один із наших клієнтів — компанія «Галнафтогаз», що володіє мережею АЗК в Україні. Надання безперебійних послуг клієнтам у цій галузі надзвичайно важливе. Тому підтримка 100% захищеності своєї IT-інфраструктури для них є ключовим завданням.
Ми співпрацюємо з «Галнафтогаз» уже тривалий час і цей клієнт завжди був відкритий до наших нестандартних рішень та пропозицій. Завдяки вибудованій довірі, вони не бояться ризикувати в пошуках інновацій, випробовувати нові рішення та використовувати новітні інструменти кібербезпеки.
Раніше ми вже впроваджували низку заходів з кібербезпеки для «Галнафтогазу», зокрема встановлення Security Operations Center (SOC) та інших інструментів кібербезпеки. Під час проведення планових пентестів з використанням симуляції атак (red/blue teams), ми виявили необхідність додаткового захисту внутрішньої мережі. З’ясувалось, що у випадку проникнення хакера до системи, він міг би тривалий час залишатися в системи непоміченим до здійснення атаки.
Наша команда почала шукати засіб захисту для внутрішньої мережі, оскільки атаки на IT-інфраструктуру бізнесу можуть бути надзвичайно руйнівними. Хакери можуть перебувати в системі тривалий час перед початком активних дій, наприклад, у випадку зламу Київстару, злочинці були в системі понад 9 місяців та залишалися непомітними.

Чому для захисту обрали рішення класу deception?

Deception — це клас інструментів захисту в кібербезпеці, що допомагають виявити можливі атаки та попередити організації про небезпеку на ранніх стадіях проникнення нападників до внутрішньої мережі. Таку систему також називають лабіринтом, оскільки вона створює мережу пасток або фіктивних цілей, що можуть імітувати реальні активи інформаційної системи. Ця технологія дає можливість не тільки виявити нападника на початковому етапі його проникнення в мережу, але й нейтралізувати потенційну загрозу, перш ніж вона завдасть реальної шкоди.
«Ми вирішили запропонувати це рішення для «Галнафтогаз». Labyrinth Deception Platform — інструмент від команди українських розробників, рішення яких ми періодично використовуємо для наших проєктів. На момент тендеру платформа перебувала на етапі активної розробки, тому рішення можна було персоналізувати та додавати функції, яких потребував клієнт — це стало ключовою перевагою. До того ми розглядали аналоги від західних розробників, але вони не давали такої гнучкості в ціновій політиці та інструментарії» — зазначає Дмитро Петращук, CTO IT Specialist
Дієвість deception-технологій ґрунтується на створенні ілюзії легкої здобичі. Це залучає хакерів до взаємодії з контрольованим середовищем, що містить фіктивні ресурси, такі як несправжні облікові записи користувачів або бази даних. Важливо зазначити, що в нормальних умовах ці ресурси залишаються недоступними та ізольованими від реальної мережі. Тому будь-яка спроба взаємодії з ними стає надзвичайно підозрілою та, фактично, є однозначним індикатором проникнення.

Особливості впровадження рішення

Спочатку ми впровадили пілотне рішення і клієнт був радше незадоволений, оскільки під час демонстрації система завжди працює штатно і загрози не спостерігаються. Однак, коли ми проводили глибші пентести з імітацією хакерських атак, ця deception-система показала свої сильні сторони у виявлені нетипової поведінки зсередини. 
«Deception — дуже перспективний напрямок. Такі рішення створюють умови, в яких перевага під час атак лишається на боці фахівця з кібербезпеки.Це змінює правила гри, де в нападників немає права на помилку, а IT-фахівець має лише зреагувати на неї та зупинити атаку Цей продукт створений на основі реальних потреб і реальних щоденних завдань. Для нас цей кейс — це портфоліо, референс та джерело рекомендацій для інших замовників». — каже Юрій Гатупов, керівник компанії iIT Distribution.
Особливістю реалізації проєкту стало глибока інтеграція з чинними системами моніторингу, зокрема з SIEM-системою, що дозволило створити двосторонній канал комунікації між deception-системою та інструментами аналізу безпеки. Така взаємодія забезпечила не лише виявлення атак в імітованому середовищі, а й аналіз активності на реальних хостах, розширюючи можливості для виявлення та нейтралізації загроз.
«Насамперед це рішення нас влаштовувало, бо задовольняло наші потреби у захисті зсередини. По-друге — це співвідношення ціни та якості. По-третє, ми отримали дуже персоналізоване рішення, яке неможливо знайти на ринку в готовому варіанті. Так, з цим рішенням ми отримали 3в1 і закрили наші запити у декількох напрямках». — зазначає Олег Матата, керівник департаменту кібербезпеки Галнафтогаз.
Додатково, ця інтеграція створює свого роду ще один орган чуття для аналізу інцидентів системою управління безпекою. Це дає змогу компанії ідентифікувати та перевіряти нетипову активність, зокрема використання фіктивних облікових записів на інших хостах.
Наша співпраця з «Галнафтогазом» у сфері кібербезпеки із застосуванням deception-рішення, стала прикладом того, як нові інструменти можуть бути корисними для компаній, що вже мають розбудований SOC.
У межах співпраці ми виявили в клієнта потребу в захисті внутрішньої мережі та запропонували рішення, яке допомогло розв’язати цю проблему. Ми є прихильниками персоналізованого підходу і намагаємось будувати з клієнтами довірчі відносини. Тому не боїмося пропонувати нові інструменти та підходи. З іншого боку, клієнти довіряють нам, тому вони не бояться експериментувати з нашими рішеннями та давати нам зворотний зв'язок для покращення продуктів. Це дозволило одним інструментом вирішити декілька запитів одночасно, запропонувати найкраще рішення з огляду на показник ціни і якості та додати до продукту ті функції, яких клієнт справді потребував.