Компания Microsoft раскрыла свою инновационную стратегию по борьбе с киберпреступностью на конференции BSides Exeter. Специалисты технологического гиганта применяют передовой подход, создавая сложные ханипоты, имитирующие реальные тенанты Azure, для сбора критически важной информации о тактиках и методах злоумышленников.
Ханипоты Microsoft: архитектура и функционал
Ханипоты Microsoft представляют собой тщательно разработанные виртуальные среды, включающие кастомные доменные имена, тысячи учетных записей и имитацию внутренних коммуникаций. Эти «ловушки» созданы для привлечения как неопытных киберпреступников, так и высококвалифицированных хакеров, предположительно связанных с государственными структурами.
Активный подход к обнаружению угроз
В отличие от традиционных методов, когда ханипоты пассивно ожидают действий злоумышленников, команда Microsoft под руководством Росса Бевингтона, главного инженера по безопасности, применяет проактивный подход. Специалисты компании ежедневно мониторят около 25 000 фишинговых сайтов, обнаруженных системой Microsoft Defender, и целенаправленно вводят на 20% из них учетные данные, связанные с ханипотами.
Сбор разведданных и противодействие атакам
Когда злоумышленники получают доступ к ханипоту (что происходит примерно в 5% случаев), активируется система логирования, фиксирующая каждое их действие. Это позволяет собирать ценную информацию о тактиках, методах и инструментах киберпреступников, включая IP-адреса, данные о браузерах, геолокации и использовании VPN или VPS.
Замедление атак и анализ данных
Microsoft применяет тактику преднамеренного замедления времени отклика системы при взаимодействии злоумышленников с фальшивыми учетными записями. Это позволяет занять киберпреступников на срок до 30 дней, существенно затрудняя их деятельность. Анализ собранных данных позволяет связать атаки с известными финансово-мотивированными группировками или даже государственными хакерскими группами.
Результаты и перспективы
Благодаря инновационному подходу Microsoft удается собирать уникальные данные об угрозах, не доступные через традиционные источники. Около 90% выявленных IP-адресов являются новыми и не фигурируют в существующих базах данных угроз. Это значительно расширяет возможности компании по предотвращению и отражению кибератак, а также позволяет разрабатывать более эффективные стратегии защиты для пользователей Azure и других сервисов Microsoft.
Инновационная стратегия Microsoft по использованию ханипотов демонстрирует, как креативный подход и передовые технологии могут существенно повысить эффективность борьбы с киберпреступностью. Этот опыт может стать ценным примером для других компаний и организаций, стремящихся усилить свою кибербезопасность в условиях постоянно эволюционирующих угроз.
