На конференції BSides Exeter компанія Microsoft представила свою інноваційну стратегію боротьби з кіберзлочинністю, яка базується на використанні складних ханіпотів та активному підході до виявлення загроз. Ця методологія дозволяє збирати критично важливу інформацію про тактики та інструменти зловмисників, суттєво підвищуючи ефективність захисту користувачів Azure та інших сервісів компанії.

Архітектура та функціонал ханіпотів Microsoft

Ханіпоти Microsoft – це ретельно розроблені віртуальні середовища, які імітують реальні тенанти Azure. Вони включають кастомні доменні імена, тисячі облікових записів та симуляцію внутрішніх комунікацій. Ці “пастки” призначені для приваблення як недосвідчених кіберзлочинців, так і висококваліфікованих хакерів, потенційно пов’язаних з державними структурами.

Проактивний підхід до виявлення загроз

На відміну від традиційних методів пасивного очікування, команда Microsoft під керівництвом Росса Бевінгтона, головного інженера з безпеки, застосовує активний підхід. Щодня фахівці компанії моніторять близько 25 000 фішингових сайтів, виявлених системою Microsoft Defender. На 20% з них цілеспрямовано вводяться облікові дані, пов’язані з ханіпотами, що суттєво підвищує шанси виявлення та аналізу реальних атак.

Збір розвідданих та протидія кібератакам

Коли зловмисники отримують доступ до ханіпоту (що відбувається приблизно у 5% випадків), активується система логування, яка фіксує кожну їхню дію. Це дозволяє збирати цінну інформацію про тактики, методи та інструменти кіберзлочинців, включаючи IP-адреси, дані про браузери, геолокацію та використання VPN або VPS.

Тактика уповільнення атак та аналіз даних

Microsoft застосовує тактику навмисного уповільнення часу відгуку системи при взаємодії зловмисників з фальшивими обліковими записами. Це дозволяє зайняти кіберзлочинців на термін до 30 днів, істотно ускладнюючи їхню діяльність. Аналіз зібраних даних дозволяє пов’язати атаки з відомими фінансово-мотивованими угрупованнями або навіть державними хакерськими групами, що є критично важливим для розуміння ландшафту кіберзагроз.

Результати та перспективи інноваційної стратегії

Завдяки цьому інноваційному підходу Microsoft вдається збирати унікальні дані про загрози, недоступні через традиційні джерела. Близько 90% виявлених IP-адрес є новими і не фігурують в існуючих базах даних загроз. Це значно розширює можливості компанії щодо запобігання та відбиття кібератак, а також дозволяє розробляти більш ефективні стратегії захисту.

Стратегія Microsoft з використання складних ханіпотів демонструє, як креативний підхід та передові технології можуть суттєво підвищити ефективність боротьби з кіберзлочинністю. Цей досвід може стати цінним прикладом для інших компаній та організацій, що прагнуть посилити свою кібербезпеку в умовах постійно еволюціонуючих загроз. Впровадження подібних інноваційних методів розвідки та активного захисту може стати ключовим фактором у протистоянні сучасним кіберзагрозам та забезпеченні безпеки цифрового простору.