О продукте
R‑Vision Threat Deception Platform (TDP) - это комплекс технологий цифровой имитации элементов ИТ-инфраструктуры для обнаружения злоумышленников, проникших в корпоративную сеть, замедления их продвижения внутри сети и предотвращения развития атаки на ранних этапах.
Преимущества
-
Обнаружение атак, которые невозможно детектировать другими средствами
(APT, 0-day и другие угрозы)
-
Снижение скорости горизонтального перемещения киберпреступника внутри сети,
искажение периметра ложными элементами ИТ-инфраструктуры
-
Возможность обнаружения атак на ранних стадиях
и предотвращение ущерба
-
Понимание инструментов и тактик злоумышленника в отношении конкретной организации,
выявление слабых мест в защите инфраструктуры
-
Низкий процент ложных срабатываний:
любое взаимодействие с ловушками и приманками с высокой вероятностью свидетельствует об инциденте
Как работает?
С помощью набора ловушек и приманок R‑Vision TDP детектирует присутствие киберпреступника, замедляет его продвижение внутри сети, запутывая среди ложных объектов, и дает возможность ИБ-специалистам остановить развитие атаки до того, как она приведет к значимому ущербу. Ловушки размещаются на отдельных серверах Trap Manager, в то время как управление платформой и всей эмулированной инфраструктурой происходит на сервере Control Center, где осуществляется сбор и обработка событий безопасности, обеспечивается взаимодействие с внешними системами, а также управление ловушками, приманками и серверами Trap Manager. Для инфраструктур крупных организаций задача масштабирования легко решается за счёт добавления необходимого количества серверов Trap Manager.
Особенности
-
Гибкая адаптация ловушек и приманок к реальной инфраструктуре организации
-
Реалистичность для злоумышленника, имитация живой системы с характерной деятельностью пользователей
-
Высокая скорость внедрения и масштабирования за счет автоматического развертывания ловушек и приманок
-
Выявление скомпрометированных систем и автоматизация реагирования за счет интеграции с другими продуктами R-Vision
Гибкая адаптация ловушек и приманок к реальной инфраструктуре организации
Реалистичность для злоумышленника, имитация живой системы с характерной деятельностью пользователей
Высокая скорость внедрения и масштабирования за счет автоматического развертывания ловушек и приманок
Выявление скомпрометированных систем и автоматизация реагирования за счет интеграции с другими продуктами R-Vision
-
Автоматическое разворачивание ловушек
Платформа R‑Vision TDP позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра. Ловушка – это ресурс, представляющий интерес для злоумышленников. R‑Vision TDP позволяет создавать ловушки различных типов, которые воссоздают широкий спектр систем в инфраструктуре организации:
- Рабочие станции/серверы Windows, Linux;
- Эмуляция сервисов SSH, SMB, FTP, RDP, HTTP(s), FTP;
- Промышленные контроллеры (Ловушки АСУ ТП);
- Ложные учетные записи в Active Directory.
Чтобы ловушки были привлекательными и более правдоподобными, их объединяют в группы взаимодействующих хостов, сервисов или приложений, совместная работа которых имитирует компьютерную сеть.
-
Генерация и расстановка приманок
Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки. Приманкой служит информация, которая представляет ценность для злоумышленника, проникнувшего в сеть:
- Конфигурационные файлы популярных утилит администрирования;
- Файлы с данными;
- Учетные записи пользователей;
- Сохраненные в браузерах учетные данные;
- Ключи SSH;
- Учетные данные для подключения к СУБД.
-
Оповещение об инциденте и реагирование
Ловушки и приманки предназначены исключительно для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, поэтому любое взаимодействие с ними с высокой вероятностью свидетельствует об инциденте.
R‑Vision TDP собирает события при регистрации взаимодействия с эмулированными объектами инфраструктуры, осуществляет их обработку и направляет оповещение ИБ-специалисту.
Также платформа может передавать события и необходимый контекст во внешние системы, такие как IRP/SOAR, SIEM, TIP для реагирования и предотвращения развития атаки.
-
Интеграция с продуктами R-Vision
Для создания максимально реалистичных ловушек и приманок R-Vision TDP позволяет использовать данные об активах из систем R-Vision SOAR или R-Vision SGRC, с которыми настроена интеграция. Платформа R‑Vision TDP детектирует взаимодействие как внешних, так и внутренних нарушителей с ловушками и направляет оповещения ИБ-специалисту.
Для расследования события могут быть направлены в систему R-Vision UEBA, что позволит автоматически построить таймлайны, отражающие взаимодействие с ловушками, предоставляя необходимый контекст аналитику SOC. Полученные инциденты можно передать в R-Vision SOAR и автоматизировать реагирование на них с помощью плейбуков.
Атрибуты и индикаторы компрометации, собранные R‑Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу анализа информации об угрозах R-Vision TIP. Платформа R-Vision TIP, в свою очередь, позволит обогатить эти данные, выявить взаимосвязи с другими доступными данными TI, настроить автоматический мониторинг в событиях SIEM и экспорт индикаторов компрометации на средства защиты для блокировки.