Павел Рибжик, изпълнителен директор на Labyrinth Security Solutions, разкри как технологията на неговата компания отвежда кибернападателите в… капана (снимка: TechNews.bg)
Традиционният подход в опазването на активите – огражденията, ключалките и резетата, тайните пароли и секретните ключове – дават доста добро ниво на защита, но винаги могат да бъдат надхитрени от остроумни крадци. Същото важи с пълна сила за киберзащитата и опазването на дигиталните активи. Един различен поглед към този проблем ни предлага да напълним дома си с ценности, коя от коя по-скъпи. Само че… фалшиви.
„Ако един ден се събудите и откриете, че топлоизолацията на къщата ви е прогризана, лесно ще се досетите, че това е работа на мишка. Какво ще направите? Естествено, ще вземете няколко капана и ще ги заложите тук-там, със сиренце вътре“, разказа Павел Рибжик, изпълнителен директор на полската компания за киберсигурност – Labyrinth Security Solutions, която е новият партньор на дистрибутора КОМПЮТЪР 2000 България.
Фирмата не случайно се казва така. Основната цел на нейната технология е именно да създаде лабиринт – само че дигитален – в който натрапникът да се лута, да се натъкне на „сиренце“ и да бъде примамен от него. Докато той се мотае в търсене на ценности, атакуваната организация печели време, за да „щракне капана“.
Защита чрез примамки
„Това е технология, която подвежда. Кибернападателят се оказва хвърлен в лабиринт, където няма как да знае кое от всичко, което атакува, е истинско – и кое не“, разказа Рибжик. Тук подходът е различен от традиционната защита от атаките. Не става дума за защитни стени, филтриране на трафика, SIEM и други подобни технологии. Рибжик сравнява технологията по-скоро с поле, осеяно с маскирани ями – колкото и тихо да вървиш, неизбежно ще стъпиш в някой трап.
Софтуерът на системата попада в категорията „технологии за защита чрез примамки“ (Deception Technology Software). Това обаче не са традиционните примамки, които мнозина специалисти по киберсигурност са виждали още преди много години (т.нар. honeypots), уточни шефът на полския разработчик.
“Нека да сме наясно: примамките не се слагат навън. Те са вътре. Също като детектора за дим, който слагаме в офиса си – ако той е навън, най-вероятно ще реагира на дима от колите или барбекюто на съседа. За да ни върши работа, трябва да е вътре“, категоричен е Рибжик.
Топологията на мрежата определя къде точно ще стоят примамките. За да симулира атрактивни обекти, технологията предлага множество емулации на какви ли не бизнес системи – над 30 вида технологии. Това включва бази данни, BIM системи, смарт-устройства и изобщо всичко, което нападателят би могъл да използва като вход за нечия чужда инфраструктура.
Лесно внедряване
Характерно за технологията е лесното ѝ внедряване. Тя е изцяло инсталационна („on premise”), но не изисква специфични ресурси или пренастройване на каквото и да е в технологичния свят на организацията-потребител. Има нулево влияние върху производителността.
„Това е изцяло пасивен продукт. Не се иска нищо за неговата работа. Тук няма логове, няма копиране на трафика, няма промени в мрежата. Единствено са нужни IP адреси“, подчерта Рибжик.
Технологията на Labyrinth не е замислена да измести друга защитна система. По-скоро тя допълва съществуващите EDR, NDR, XDR. Интегрира се лесно с други системи за сигурност.
„Практиката показва, че това работи най-ефективно за малки и среди предприятия. За по-големите организации се явява нов компонент в техния SOC”, поясни Павел Рибжик. Препоръката на екипа му е при внедряване на подобна система броят на примамките да се равнява на поне 15% от обектите в реалните, продуктивни системи.
“Примамка” като услуга
България е в обхвата на европейските и глобалните изисквания и регулации за защита на дигиталните данни и цифровите ИТ системи, затова подобно решение може да представлява интерес за много организации , особено тези от държавната администрация.
Ютилити фирмите също се възползват добре от иновативния подход, а практиката в Полша показва, че технологията е отлична за фирми с множество офиси (напр. над 25) с малък брой работни места (от порядъка на 10 в офис). За такива структури Labyrinth разработва и хардуерно устройство, което да изпълнява гореописаната функция, но без да се налага някой да инсталира и настройва. То ще е „plug and play”.
За малките фирми и микропредприятията обаче – а това е преобладаващата част от бизнеса у нас – технологията на Labyrinth може да се използва като външна дигитална услуга. Това означава да работи на абонаментен принцип чрез външен за фирмата доставчик.
„От самото си начало продуктът на Labyrinth е проектиран за доставчиците на управляеми услуги за сигурност. За много потребители това е по-изгодно от наличието на собствен център за сигурност. От гледна точка на доставчика системата предлага всичко за множество отделни клиенти“, каза Рибжик. Практиката е известна още като „Deception as a Service”.
В момента вече е на ход първият проект на Labyrinth в България. Той стана възможен, благодарение на дистрибутора КОМПЮТЪР 2000 България и негов партньор. Тепърва обаче внедрителската мрежа на двете фирми ще се разраства и началото на това разгръщане беше поставено именно днес с първия партньорски семинар на Labyrinth у нас.