Дмитрий Евдокимов, Luntry: Kubernetes открывает новые возможности для информационной безопасности

Рост интереса бизнеса к вопросам информационной безопасности порождает необходимость подробнее рассказать об инструментах ее осуществления. В рамках международной конференции по практической кибербезопасности OFFZONE Дмитрий Евдокимов, основатель и технический директор Luntry, рассказал Cyber Media об особенностях применения deception-инструментов в инфраструктуре компании, в частности, в проектах на Kubernetes.

Cyber Media: Почему Вы решили рассказать о deception-инструментах именно в контексте Kubernetes?

Дмитрий Евдокимов: Для этого есть две причины. Первая связана с ростом популярности Kubernetes как формы организации приложений. Она эффективна и удобна, дает много возможностей для масштабирования и управления.

Контейнеризованная система управления нагрузками и сервисами – это эффективное решение, которое соблюдает баланс между возможностями стандартизации и кастомизации. Многие компании изначально разрабатывают свои сервисы и приложения для дальнейшего развертывания контейнерным методом.

Вторая причина напрямую выходит из особенностей платформы – простота и структурированность позволяют эффективно и сравнительно просто интегрировать deception-инструменты в работу сервисов. Там, где при классической системе, Windows или Linux, потребуется работа профильного специалиста, в рамках Kubernetes можно обойтись своими силами.

Компании, которые работают с Kubernetes, часто оперируют персональными данными пользователей: от платежной информации до паспортных данных. Для такой чувствительной информации нужны передовые методы защиты, один из которых – это создание ловушек, в которые злоумышленник может попасть и выдать свое присутствие в инфраструктуре.

Cyber Media: Фактически, deception – это обман атакующего с целью провокации на демаскирующие действия. Насколько часто злоумышленники «ведутся» на такие объекты?

Дмитрий Евдокимов: Такой статистики нет. Но если говорить о поведении злоумышленников, то deception одинаково эффективен при любом уровне атакующего. И профессиональный хакер, и любитель – это в первую очередь человек, которому свойственно воспринимать желаемое как действительное.

При этом важно помнить, что deception и honeypot – это маркеры обнаружения. Сами по себе они не противодействуют преступнику и не замедляют его, но выдают присутствие злоумышленника в системе.

Разумеется, решения класса SIEM или IDS покажут большую результативность и предоставляют больший функционал. Но они требуют совсем других ресурсов, в то время как deception в рамках Kubernetes можно развернуть сравнительно «малой кровью» и качественно насытить, обогатить защитную инфраструктуру.

Cyber Media: Если говорить о deception в контексте Kubernetes, есть ли какая-то специфика интеграции «ловушек» в инфраструктуру?

Дмитрий Евдокимов: Если сравнить Kubernetes с пользовательскими машинами и корпоративными сетями, то в первых внедрять deception-инструменты банально проще. Во втором случае компании, скорее всего, понадобится помощь профильных специалистов.

В случае с Kubernetes можно обойтись своими силами, во всяком случае в вопросах интеграции решений такого класса. Есть небольшая проблема проектирования в контексте психологического аспекта. Проще говоря, нужно понимать, как сделать deception «вкусным» для злоумышленника.

Cyber Media: Насколько deception актуален для бизнеса?

Дмитрий Евдокимов: Deception – это не тот инструмент, который компания будет реализовывать в первую очередь. На мой взгляд, этому есть две причины:

1. Техническая сложность. Создать и интегрировать ловушку в инфраструктуру компании вне контекста контейнерной разработки – достаточно сложно.

2. Приоритезация. Deception – это не первичная потребность ИБ. Есть более востребованные и функциональные инструменты, за которые компании берутся в первую очередь.

В результате выходит, что интеграция deception актуальна, в большей степени, для зрелых в плане ИБ компаний. Но в контексте Kubernetes ситуация немного иная, поскольку процесс создания и интеграции существенно проще. В итоге, компания может быстро, собственными силами насытить периметр своей инфраструктуры маркерами, которые позволят выявить злоумышленника.

При этом нельзя забывать, что выявление не равно противодействию, и deception – это не самостоятельное, «коробочное» решение, а вспомогательный инструмент. Его интеграция в защитную инфраструктуру – это то, к чему следует стремиться, как к маркеру сильной и развитой системы информационной безопасности компании.

Cyber Media: Один из трендов последнего времени – это увеличение количества APT-атак. Ввиду высокого класса исполнения и растянутости во времени их довольно сложно обнаружить. Может ли развитие и популяризация deception-инструментов стать ответом на такой вид хакерской активности?

Дмитрий Евдокимов: За наиболее громкими и эффективными APT-атаками стоят профессиональные хакеры. От всех остальных их, на мой взгляд, отличает продолжительность подготовительного этапа – целевая система «до соприкосновения» изучается досконально, учитывается опыт предыдущих известных атак, проводится OSINT и другие мероприятия, в том числе – с использованием социальной инженерии.

Поэтому мы предполагаем, что злоумышленник еще до атаки хорошо знаком с оборонительным арсеналом компании. В данном случае deception может стать для атакующего неприятным сюрпризом, поскольку с превентивной защитой компании он знаком, а значит – понимает как ее пройти.

Как я уже сказал ранее, deception не останавливает атакующего напрямую. Но этот инструмент решает две другие важные задачи:

1. Обнаружение. Если преступник смог пройти периметр компании неузнанным, а это часто случается при APT-атаках, он может неделями и месяцами перемещаться по системе, учитывая особенности ее защиты. Deception никаких признаков защитного инструмента не имеет, поэтому вероятность того, что преступник «клюнет» – выше.

2. Замедление. Здесь можно выделить два фактора. Если преступник знает о имеющихся ловушках – он будет действовать осторожнее, а значит – медленнее. Если же он о них не знает – он все равно потратит время, взламывая пустышку.

Если до обнаружения злоумышленник может «жить» в системе месяцами, то после – ему остаются минуты и часы. Deception – это ловушка, которая эффективно работает как с условными любителями, так и с профи. Потому что эксплуатирует человеческий фактор, тягу воспринимать желаемое за действительное.

Cyber Media: Можете ли Вы дать прогноз относительно развития deception-инструментов в ближайшие годы?

Дмитрий Евдокимов: Первое, о чем стоит сказать – уровень информационной безопасности в российских компаниях будет в ближайшие годы расти, поскольку растет агрессивность среды. На этом пути неизбежны как общие, так и частные трудности, но также неизбежен и общий рост зрелости ИБ.

Когда инструменты первой необходимости будут освоены большинством организаций – настанет время детализации и «кастомизации» защиты компаний. И здесь у deception есть все шансы стать ходовым инструментом.

В контексте Kubernetes это особенно актуально, поскольку внедрять такие решения гораздо проще. Единственная проблемная область – это популяризация таких решений.