R‑Vision TDP

Имитация ИТ-инфраструктуры для обнаружения кибератак

R‑Vision TDP

О продукте

R‑Vision Threat Deception Platform (TDP) - это комплекс технологий цифровой имитации элементов ИТ-инфраструктуры для обнаружения злоумышленников, проникших в корпоративную сеть, замедления их продвижения внутри сети и предотвращения развития атаки на ранних этапах.

 

Преимущества

  • Обнаружение атак, которые невозможно детектировать другими средствами

    (APT, 0-day и другие угрозы)

  • Снижение скорости горизонтального перемещения киберпреступника внутри сети,

    искажение периметра ложными элементами ИТ-инфраструктуры

  • Возможность обнаружения атак на ранних стадиях

    и предотвращение ущерба

  • Понимание инструментов и тактик злоумышленника в отношении конкретной организации,

    выявление слабых мест в защите инфраструктуры

  • Низкий процент ложных срабатываний:

    любое взаимодействие с ловушками и приманками с высокой вероятностью свидетельствует об инциденте

Как работает?

С помощью набора ловушек и приманок R‑Vision TDP детектирует присутствие киберпреступника, замедляет его продвижение внутри сети, запутывая среди ложных объектов, и дает возможность ИБ-специалистам остановить развитие атаки до того, как она приведет к значимому ущербу. Ловушки размещаются на отдельных серверах Trap Manager, в то время как управление платформой и всей эмулированной инфраструктурой происходит на сервере Control Center, где осуществляется сбор и обработка событий безопасности, обеспечивается взаимодействие с внешними системами, а также управление ловушками, приманками и серверами Trap Manager. Для инфраструктур крупных организаций задача масштабирования легко решается за счёт добавления необходимого количества серверов Trap Manager.

Схема работы R‑Vision TDP

Особенности

  • Гибкая адаптация ловушек и приманок к реальной инфраструктуре организации

    Гибкая адаптация ловушек и приманок к реальной инфраструктуре организации

  • Реалистичность для злоумышленника, имитация живой системы с характерной деятельностью пользователей

    Реалистичность для злоумышленника, имитация живой системы с характерной деятельностью пользователей

  • Высокая скорость внедрения и масштабирования за счет автоматического развертывания ловушек и приманок

    Высокая скорость внедрения и масштабирования за счет автоматического развертывания ловушек и приманок

  • Выявление скомпрометированных систем и автоматизация реагирования за счет интеграции с другими продуктами R-Vision

    Выявление скомпрометированных систем и автоматизация реагирования за счет интеграции с другими продуктами R-Vision

Гибкая адаптация ловушек и приманок к реальной инфраструктуре организации

Гибкая адаптация ловушек и приманок к реальной инфраструктуре организации

Реалистичность для злоумышленника, имитация живой системы с характерной деятельностью пользователей

Реалистичность для злоумышленника, имитация живой системы с характерной деятельностью пользователей

Высокая скорость внедрения и масштабирования за счет автоматического развертывания ловушек и приманок

Высокая скорость внедрения и масштабирования за счет автоматического развертывания ловушек и приманок

Выявление скомпрометированных систем и автоматизация реагирования за счет интеграции с другими продуктами R-Vision

Выявление скомпрометированных систем и автоматизация реагирования за счет интеграции с другими продуктами R-Vision

  • Автоматическое разворачивание ловушек

    Платформа R‑Vision TDP позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра. Ловушка – это ресурс, представляющий интерес для злоумышленников. R‑Vision TDP позволяет создавать ловушки различных типов, которые воссоздают широкий спектр систем в инфраструктуре организации:

    • Рабочие станции/серверы Windows, Linux;
    • Эмуляция сервисов SSH, SMB, FTP, RDP, HTTP(s), FTP;
    • Промышленные контроллеры (Ловушки АСУ ТП);
    • Ложные учетные записи в Active Directory.

    Чтобы ловушки были привлекательными и более правдоподобными, их объединяют в группы взаимодействующих хостов, сервисов или приложений, совместная работа которых имитирует компьютерную сеть.

  • Генерация и расстановка приманок

    Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки. Приманкой служит информация, которая представляет ценность для злоумышленника, проникнувшего в сеть:

    • Конфигурационные файлы популярных утилит администрирования;
    • Файлы с данными;
    • Учетные записи пользователей;
    • Сохраненные в браузерах учетные данные;
    • Ключи SSH;
    • Учетные данные для подключения к СУБД.
  • Оповещение об инциденте и реагирование

    Ловушки и приманки предназначены исключительно для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, поэтому любое взаимодействие с ними с высокой вероятностью свидетельствует об инциденте.

    R‑Vision TDP собирает события при регистрации взаимодействия с эмулированными объектами инфраструктуры, осуществляет их обработку и направляет оповещение ИБ-специалисту.

    Также платформа может передавать события и необходимый контекст во внешние системы, такие как IRP/SOAR, SIEM, TIP для реагирования и предотвращения развития атаки.

  • Интеграция с продуктами R-Vision

    Для создания максимально реалистичных ловушек и приманок R-Vision TDP позволяет использовать данные об активах из систем R-Vision SOAR или R-Vision SGRC, с которыми настроена интеграция. Платформа R‑Vision TDP детектирует взаимодействие как внешних, так и внутренних нарушителей с ловушками и направляет оповещения ИБ-специалисту. 

    Для расследования события могут быть направлены в систему R-Vision UEBA, что позволит автоматически построить таймлайны, отражающие взаимодействие с ловушками, предоставляя необходимый контекст аналитику SOC. Полученные инциденты можно передать в R-Vision SOAR и автоматизировать реагирование на них с помощью плейбуков.

    Атрибуты и индикаторы компрометации, собранные R‑Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу анализа информации об угрозах R-Vision TIP. Платформа R-Vision TIP, в свою очередь, позволит обогатить эти данные, выявить взаимосвязи с другими доступными данными TI, настроить автоматический мониторинг в событиях SIEM и экспорт индикаторов компрометации на средства защиты для блокировки. 

Запрос на демо

Хотите посмотреть систему в действии, узнать стоимость и получить коммерческое предложение? Отправьте запрос и мы свяжемся с вами.