CASE STUDY ОТ LABYRINTH: ИСПОЛЬЗОВАНИЕ РЕШЕНИЯ DECEPTION ДЛЯ ГАЛНАФТОГАЗА

Наши партнеры, компании Labyrinth и IT Specialist недавно опубликовали информативное исследование случая использования платформы Deception во внедрении SOC для Галнафтогаза.

Концерн Галнафтогаз, сеть заправочных станций OKKO, является одним из лидеров украинской промышленности с долей рынка более 18% в торговле легкими нефтепродуктами. С более 400 заправочными станциями под брендом OKKO, компания также имеет самую большую сеть дорожных ресторанов в Украине.

Вызов клиента

Галнафтогаз, который управляет сетью заправочных станций в Украине, стремится обеспечить бесперебойное обслуживание клиентов в этой сфере, поэтому обеспечение 100% безопасности их ИТ-инфраструктуры является приоритетом.

Ранее Labyrithm реализовала ряд мероприятий кибербезопасности для Галнафтогаза, включая создание центра оперативной кибербезопасности (SOC) и другие инструменты кибербезопасности. Во время рутинных тестов на проникновение с помощью симуляций атак (красные/синие команды) была выявлена необходимость дополнительной защиты внутренней сети. Стало очевидно, что в случае взлома хакеры могут оставаться незамеченными в системе долгое время до начала атаки.

Решения Deception для защиты

Deception представляет собой сложный класс инструментов кибербезопасности, направленный на проактивное обнаружение потенциальных угроз и предупреждение организаций о риске на самых ранних этапах инфильтрации злоумышленников во внутреннюю сеть. Часто называя его лабиринтом, эта система создает сеть ловушек или симулированных целей, которые имитируют реальные активы в информационной системе. Эта технология не только способствует идентификации нападающих на начальных этапах инфильтрации в сеть, но и позволяет нейтрализовать потенциальные угрозы до того, как они нанесут реальный ущерб.

Эффективность технологий Deception заключается в создании иллюзии легкой добычи. Это привлекает хакеров к взаимодействию с контролируемой средой, содержащей симулированные ресурсы, такие как фиктивные пользовательские учетные записи или базы данных. Важно отметить, что эти ресурсы остаются недоступными и изолированными от реальной сети в обычных условиях. Поэтому любая попытка взаимодействия с ними становится высоко подозрительной и эффективно служит явным показателем вторжения.

Значительной особенностью реализации проекта была глубокая интеграция с существующими системами мониторинга, в частности с системой SIEM. Это позволило создать двусторонний коммуникационный канал между системой Deception и инструментами анализа безопасности. Это взаимодействие способствовало выявлению атак в симулированной среде и анализу активности на реальных хостах, расширяя возможности для выявления и нейтрализации угроз.

«Deception — это очень перспективное направление. Такие решения создают условия, когда преимущество во время атак остается на стороне команды кибербезопасности. Это меняет правила игры, теперь нападающим не остается места для ошибок, а ИТ-профессионалам нужно только реагировать и останавливать атаку. Этот продукт разработан на основе реальных потребностей и ежедневных задач. Для нас этот кейс служит как портфолио, рекомендация и пример для других клиентов», говорит Юрий Гатупов, глава компании iIT Distribution.