Комментарии 6
По сути, такие системы идеально работают, когда атакующий ничего не знает об инфраструктуре, в которую лезет. Это выглядит очень здорово в случае случайных атак. Но вот в случае направленных… Тут хотелось бы узнать, что о таких системах говорят практики с "той" стороны. :) Если атака направленная, это обычно подразумевает некую подготовку к ней. Допустим, хакер знает, что в инфраструктуре может стоять подобная штука. На мой (не самый подготовленный, впрочем) взгляд, любой инсайд (информация о реальных именах хостов, с которыми пользователи общаются, например) эффективность если не совсем сводит на нет, то крайне ослабляет. Или, скажем, вектор атаки типа "важное письмо из налоговой". Компрометируется пользовательский ПК (в более тяжелом случае терминальный сервер), некоторое время мониторится реальная активность — какие тут могут быть проблемы отличить реальную активность пользователя от фейковых токенов?
Что касается анализа поведения — тоже верно. Но не все токены одинаково бесполезны в таком случае:) Например, доп.записи и комментарии в hosts файле, которые будут вести куда то на «бекап» сервер (куда по логике не ходят каждый день), фейковые сервисные учетки, которыми тоже каждый день не пользуются, будут вполне себе успешно работать против такого осторожного злоумышленника.
1.Какая средняя стоимость решения.
- Сейчас модно атаковать средства защиты. Тут у нас постоянно торчат порты куда-то. Что у данного средства реализованно по части самозащиты?
2. Хороший вопрос. И консоль управления, и TSA сами по себе тоже являются специфическиии ловушками. Поэтому любое обращение к ним за рамками штатного функционала вызывает сработку и оповещение.
Ну и, само собой, трафик шифруется, audit log тоже присутствует.
Дыра как инструмент безопасности – 2, или как ловить APT «на живца»