Case Study від Labyrinth: Використання рішення Deception для Галнафтогазу

Наші партнери, компанії Labyrinth та IT Specialist нещодавно опублікували інформативне дослідження випадку використання платформи Deception у впровадженні SOC для Галнафтогазу.

Концерн Галнафтогаз, мережа заправних станцій OKKO, є одним із лідерів української промисловості з часткою ринку понад 18% у торгівлі легкими нафтопродуктами. З понад 400 заправними станціями під брендом OKKO, компанія також має найбільшу мережу дорожніх ресторанів в Україні.

Виклик клієнта

Галнафтогаз, який управляє мережею заправних станцій в Україні, прагне забезпечити безперебійне обслуговування клієнтів у цій сфері, тому забезпечення 100% безпеки їх ІТ-інфраструктури є вирішальним.

Раніше Labyrithm реалізувала низку заходів кібербезпеки для Галнафтогазу, включаючи створення центру оперативної кібербезпеки (SOC) та інші інструменти кібербезпеки. Під час рутинних тестів на проникнення за допомогою симуляцій атак (червоні/сині команди) було виявлено необхідність додаткового захисту внутрішньої мережі. Стало очевидно, що в разі злому хакери можуть залишатися непоміченими в системі довгий час до початку атаки.

Рішення Deception для захисту

Deception представляє собою складний клас інструментів кібербезпеки, спрямований на проактивне виявлення потенційних загроз і попередження організацій про ризик на найраніших етапах інфільтрації зловмисників у внутрішню мережу. Часто називаючи його лабіринтом, ця система створює мережу пасток або симульованих цілей, які імітують реальні активи в інформаційній системі. Ця технологія не тільки сприяє ідентифікації нападників на початкових етапах інфільтрації в мережу, але й дозволяє нейтралізувати потенційні загрози до того, як вони завдадуть реальної шкоди.

Ефективність технологій Deception полягає у створенні ілюзії легкої здобичі. Це залучає хакерів до взаємодії з контрольованим середовищем, що містить симульовані ресурси, такі як фіктивні користувацькі облікові записи або бази даних. Важливо відзначити, що ці ресурси залишаються недоступними і ізольованими від реальної мережі в звичайних умовах. Тому будь-яка спроба взаємодії з ними стає високо підозрілою і ефективно служить явним показником вторгнення.

Значною особливістю реалізації проекту була глибока інтеграція з існуючими системами моніторингу, зокрема з системою SIEM. Це дозволило створити двосторонній комунікаційний канал між системою Deception та інструментами аналізу безпеки. Ця взаємодія сприяла виявленню атак у симульованому середовищі та аналізу активності на реальних хостах, розширюючи можливості для виявлення та нейтралізації загроз.

«Deception — це дуже перспективний напрямок. Такі рішення створюють умови, коли перевага під час атак залишається на боці команди кібербезпеки. Це змінює правила гри, тепер нападникам не залишається місця для помилок, а ІТ-професіоналам потрібно лише реагувати та зупиняти атаку. Цей продукт розроблено на основі реальних потреб та щоденних завдань. Для нас цей кейс служить як портфоліо, рекомендація та приклад для інших клієнтів», каже Юрій Гатупов, голова компанії iIT Distribution.