Система киберобмана: что это и зачем это нужно? 

Представьте, что у вас есть сигнализация, которая срабатывает, когда злоумышленник только замышляет преступление. Именно так работают системы киберобмана, или Deception Technology.

Что такое Deception Technology?

Если просто – это расставленные по вашей IT-инфраструктуре мышеловки. Только вместо сыра там – фальшивые файлы, фиктивные учетные записи, приманки-серверы. Они выглядят как настоящие, но на самом деле в работе не используются. Как только злоумышленник попытается с ними взаимодействовать – система тут же поднимет тревогу. Преступник выдает себя сам еще до того, как доберется до реальных данных.

Как это работает?

Допустим, сотрудник по неосторожности перешел по фишинговой ссылке. Злоумышленник получил доступ к его рабочей станции. Он начинает исследовать сеть, видит в общей папке файл «бюджет_2026.xlsx», открывает его – и тут же срабатывает ловушка. Система мгновенно блокирует его сессию и шлет оповещение команде безопасности. 

«Попадая в такие структуры, злоумышленники лишаются главного своего преимущества – скрытности, – поясняет Алексей Мышалов. – Система докладывает об их активности, и весь состав информационной безопасности приводится в боевую готовность».

Почему мы в восторге от этой технологии?

Недавно мы завершили пилотный проект по испытанию российской системы раннего обнаружения вторжений. 

Внутри виртуального периметра безопасности, имитирующего реальную ИТ-инфраструктуру заказчика, были размещены так называемые ловушки – ложные цели, активирующие сигнализацию при попытке несанкционированного доступа.

Как только злоумышленник пытается проникнуть во внешний контур, система мгновенно фиксирует атаку и локализует ее в горизонтальной плоскости. «Автоматически такие системы не только передают сигналы тревоги, – подчеркивает Алексей Мышалов, – но и могут эффективно блокировать продвижение нарушителя в периметре фейковой виртуальной инфраструктуры, обеспечивая защиту целевых информационных систем». Это принципиально отличает решение от традиционных систем мониторинга: оно не просто предупреждает – оно активно сдерживает развитие инцидента.

Пилотный проект был организован совместно с вендором и технической командой заказчика. В течение двух месяцев мы еженедельно проводили сессии в формате видеоконференций. Все этапы – от установки до настройки и взаимодействия с текущей ИТ-средой – были подробно задокументированы, включая видеозаписи развертывания. 

Нам очень понравилось, как работает эта технология: она сочетает высокую точность обнаружения с простотой интеграции и встраивается в существующие процессы без избыточной нагрузки на инфраструктуру. Внедрение не требует перестройки сетевой архитектуры, замены SIEM или отказа от EDR-решений. Наоборот, система киберобмана дополняет их, предоставляя SOC-командам точечные, высокоуверенные инциденты, которые можно сразу расследовать и блокировать. 

Почему это актуально именно сейчас?

Актуальность внедрения систем киберобмана резко возросла в связи с выходом Приказа ФСТЭК №117, который вступает в силу 1 марта 2026 года. Документ обязывает организации, работающие с государственными информационными системами и в критически важных отраслях, обеспечивать раннее обнаружение скрытых атак внутри инфраструктуры. Именно здесь на помощь приходят системы киберобмана: они заставляют злоумышленника выдать себя на самых ранних этапах компрометации, задолго до того, как он успеет добраться до ценных данных.

Основные требования Приказа №117

• Обязательное внедрение средств раннего обнаружения атак, включая технологии, способные выявлять несанкционированную активность внутри периметра (например, перемещение злоумышленника по сети, использование легитимных учетных данных, попытки повышения привилегий).
• Необходимость непрерывного мониторинга внутренней инфраструктуры, а не только внешних угроз.
• Минимизация времени реакции на инциденты.
• Учет современных тактик хакеров, таких как Living-off-the-Land (LotL) – когда злоумышленники используют стандартные системные инструменты (например, PowerShell, WMI), чтобы остаться незамеченными.

Система киберобмана меняет саму логику защиты. Мы не ждем, пока злоумышленник нанесет удар. Мы заставляем его сделать неверный шаг и ловим с поличным.