Решение Illusive Networks – это зрелая технология защиты от нацеленных атак на основе технологий обмана, покрывающая всю сеть организации. Illusive представляет собой логическое развитие и переосмысление классических ханипотов и, вместо встраивания в среду заказчика сетевых ловушек, фокусируется на обмане на уровне реальных хостов. При этом поддерживаются рабочие станции и серверы как в физических, так и виртуальных средах.
Запатентованная компанией Illusive Networks система управления Deception Management System покрывает всю реальную инфраструктуру организации – каждую рабочую станцию и сервер, наряду с сетью, приложениями и данными – слоем ложной информации, которая вводит в заблуждение злоумышленников.
Модуль Attack Surface Manager (Управление поверхностью атаки)
Используя сочетание искусственного интеллекта и машинного обучения, Illusive анализирует и строит модель реальной сети компании, а затем создает и автоматически распространяет тысячи приманок – небольших фрагментов информации, которые адаптированы к тому, чтобы выглядеть аутентичными в ИТ-среде конкретной организации. Этот подход эффективен благодаря максимальной реалистичности и достоверности созданных приманок и постоянному их обновлению по мере естественного изменения окружающего ИТ-ландшафта.
Результат работы Illusive – это среда обмана, точно имитирующая реальные элементы ИТ-инфраструктуры, в том числе учетные данные, файлы и сервисы, типично присутствующие в каждой организации.
Важным аспектом решения Illusive Networks является выявление внутреннего движения злоумышленника по отношению к критичным системам организации (Crown Jewels). Распространяя обманные данные по всей сети, Illusive ставит злоумышленников в положение с искусственно увеличенным количеством вариантов латерального (внутреннего) движения по каждому потенциальному вектору, заставляя нацеленных хакеров или инсайдеров обнаруживать себя задолго до того, как они смогут достичь чувствительных данных и приложений.
Когда злоумышленники вступают во взаимодействие с приманкой или ловушкой, генерируется уведомление, а также запускается автоматический сбор форензики с источника атаки, в том числе информации об IP-адресе источника атаки, используемых инструментах злоумышленника, категории затронутых объектов и типе взаимодействия, что важно при последующем расследовании инцидента.
Дополнительно стоит отметить две возможности решения, которые помогают организациям активно укреплять свои сети для предотвращения самой возможности внутреннего движения. Модуль Attack Surface Manager выявляет скрытые артефакты, которые нарушают политики доступа к системам организации, к примеру, сохраненные пароли в браузерах. Такие артефакты, как правило, упрощают вредоносные действия злоумышленника, но слишком многочисленны для эффективной отработки вручную сотрудниками службы информационной безопасности. Автоматизировав обнаружение и исправление таких нарушений с помощью Illusive, аналитики SOC могут сосредоточиться на инцидентах, требующих более пристального внимания.
Второй особенностью является флагманский модуль Attacker View, отображающий карту внутренней сети организации. Этот взгляд на сеть организации существенно отличается от данных, которые предоставляют EDR-решения; мы видим учетные данные и то, как устройства взаимосвязаны во внутренней сети, на основании чего могут строиться потенциальные векторы атаки. Данный модуль позволяет наблюдать за вторжением с точки зрения злоумышленника и визуализировать направление движение атаки, однако у данного модуля есть и другие применения.
Аналитикам SOC модуль Attacker View позволяет четко видеть, как выглядит повседневное поведение устройств в среде организации, когда рабочая станция взаимодействует с типичным для нее сервером с использованием определенных учетных данных. Значимость этого заключается в том, что большинство инструментов поведенческой аналитики или анализа сетевого трафика будут наблюдать за аномальным поведением системы и не обращать внимания на нечто типичное, например, компьютер, изначально взаимодействующий с определенным сервером. SIEM также не выделят такие события как инциденты. Но с Attacker View аналитики SOC лучше знакомы с нормальным поведением в сети организации и могут гораздо быстрее понимать, когда происходит что-то нестандартное.
Решение Illusive Networks обладает привлекательным интерфейсом и масштабируется, используя технологии виртуализации и контейнеризации. Illusive применяется в организациях самых различных размеров, сети некоторых заказчиков насчитывают 200 хостов, а самое большое внедрение защищает 500.000 конечных точек. Фактически, чем больше хостов находятся под защитой Illusive, тем больше шансов детектировать злоумышленника в самом начале его движениям по внутренней сети организации. Большее число хостов позволяет создавать более масштабную среду обмана.
Чтобы протестировать Illusive Networks, обращайтесь в Тайгер Оптикс.
