Обзор платформы Illusive Networks

Представляем новый обзор платформы Illusive Networks, актуальный на вторую половину 2019 года. За год, прошедший с последнего обзора, компания Illusive Networks не только существенно нарастила базовый функционал решения Deception и улучшила модуль кибергигиены ASM, но также выпустила новый модуль высокоинтерактивных ханипотов AIS.

Платформа противостояния нацеленным атакам Illusive Networks

Решение Illusive Networks создано для предотвращения, раннего обнаружения и исследования нацеленных и высокозначимых атак, направленных на корпоративные и промышленные сети компаний.

Платформа Illusive Networks состоит из трех модулей:

  • Attack Surface Manager (ASM, модуль управления поверхностью атаки) позволяет управлять кибергигиеной организации, выявлять наиболее вероятные пути злоумышленника в корпоративной сети и предотвращать атаки за счет нейтрализации этих путей,
  • Attack Detection System (ADS, модуль детекции атак) позволяет детектировать нацеленные атаки на их начальных стадиях благодаря покрытию реальных активов и сети компании плотным обманным слоем, проводить расследования и реагировать на обнаруженные инциденты,
  • Attack Intelligence System (AIS, модуль анализа атак) позволяет изучать, анализировать и наблюдать за действиями злоумышленников, взаимодействующих с сетью интерактивных ханипотов, а также генерировать собственную киберразведку на основе этих данных.

Рассмотрим каждый из этих модулей подробнее.

Модуль управления поверхностью атаки Attack Surface Manager (ASM)

Когда злоумышленник попадает в вашу сеть, по каким наиболее быстрым траекториям он может пройти к самым важным системам, и как снизить его возможности по незаметному движению в вашей сети? Традиционные СЗИ не дают ответ на этот вопрос.

Вы проанализировали политики безопасности на сетевых устройствах и закрыли все избыточные доступы. Но всегда остаются множество легитимных доступов и открытых портов, которые необходимы бизнесу, и они составляют вашу поверхность атаки. Фактические подключения в вашей сети непрерывно меняются в течение рабочего дня. Новые соединения устанавливаются. Права доступа изменяются. Учетные данные администраторов домена и другие пароли сохраняются там, где они не должны сохраняться — в открытом или хэшированном виде.

Модуль Attack Surface Manager

Эти учетные данные и подключения — естественные ИТ-артефакты, создаваемые бизнесом в своей деятельности — являются питательной средой для APT и других злоумышленников, использующих их для достижения своих целей. Чем больше подключений сохраняется, тем быстрее они могут двигаться. Даже в организациях с сильной сетевой безопасностью и кибергигиенией внешнему злоумышленнику или инсайдеру требуется лишь мгновение, чтобы воспользоваться этой возможностью, что приводит к нарушению конфиденциальности данных, краже интеллектуальной собственности, кибер-мошенничеству или нарушению работы критически важной инфраструктуры.

Attack Surface Manager (ASM) обеспечивает непрерывное выявление и выборочную автоматизацию, необходимую для поиска и удаления траекторий, учетных данных и паролей, сохраненных или оставшихся на машинах, и несущих наибольший риск, в том числе на масштабных инфраструктурах. С ASM вы постоянно создаете препятствия движению злоумышленника, не мешая бизнесу.

Возможности и преимущества ASM

Модуль ASM обеспечивает следующие возможности и преимущества:

  • Оценка уровня риска, которому подвержены ваши критические активы и привилегированные учетные записи
  • Отображение наиболее вероятных траекторий, которыми злоумышленники могут достичь ваших критически важных активов и привилегированных учетных записей
  • Выявление хостов, где случайно или преднамеренно закэшированы или сохранены доменные учетные данные с сохранением пароля или его хэша, в том числе привилегированные УЗ
  • Выявление локаций, где такое хранение УЗ является нарушением политики ИБ или нежелательным, автоматическое или ручное устранение этих данных, в том числе по расписанию
  • Аналитика по учетным записям с правами локального администратора, созданным на отдельных системах (недоменным)
  • Аудит работы решений типа PIM/PAM и корпоративных политик учетных записей
  • Выявление хостов с сохраненными подключениями с критичным активам, с паролем и без, возможность вычищения таких сохраненных данных
  • Выявление вредоносных процессов, пропущенных антивирусом, за счет сверки с базой VirusTotal
  • Ручное или автоматическое выявление и устранение нарушений по расписанию

Постоянное снижение поверхности атаки с помощью модуля ASM помогает предотвращать успешные атаки, выявлять попытки взлома на ранних стадиях за счет вынуждения злоумышленника действовать более агрессивно, используя более «очевидные» или «шумные» инструменты взлома, которые легче заметить аналитикам SOC, а также помогает модулю ADS за счет повышения вероятности выявления злоумышленника за счет обманных артефактов.

Вы не можете запретить пользователям подключаться к нужным им системам, но вы можете уменьшить риски кибербезопасности, постоянно снижая поверхность атаки, доступной для латерального движения и позволяя динамичной среде вашей организации работать с большей степенью устойчивости к атакам.

Модуль детекции атак Attack Detection System (ADS)

Большинство организаций сегодня понимает, что кибератака случится не «если», а «когда». И хотя мы понимаем, что кибератака рано или поздно произойдет, мы не можете предсказать, где именно злоумышленник изначально проникнет в вашу сеть, или где начнет действовать инсайдер. Система обнаружения атак Illusive Attack Detection System (ADS) покрывает всю реальную сеть организации ложной информацией, которая заставляет злоумышленников раскрывать себя.

Модуль Attack Detection System

После закрепления в своей начальной точке проникновения, следующий шаг злоумышленника состоит в том, чтобы понять его окружение и решить, куда он будет пытаться двигаться дальше. Злоумышленники могут быть вооружены самыми сложными инструментами кибератаки, но они остаются людьми; они не могут избежать необходимости принимать решения. Это — их критическая слабость, которая может быть использована против них.

Illusive помещает легкие обманные артефакты на каждой конечной точке, которые имитируют реальные данные, учетные записи и подключения, которые необходимы злоумышленнику. Столкнувшись с искаженным представлением о реальности, злоумышленнику фактически невозможно выбрать правильный корректный вариант движения. Хотя он и не знает, но всего лишь один его ошибочный выбор отправляет алерт команде безопасности.

Это меняет асимметрию сил в кибератаках в пользу защитников. Группы реагирования на инциденты видят, насколько далеко злоумышленник находится от важных бизнес-активов. Благодаря получению форензики в реальном времени они могут предпринять немедленные действия, блокирующие влияние атаки на бизнес.

Возможности и преимущества ADS

Система обнаружения атак ADS — это безагентная интеллектуальная технология, которая:

  • Показывает, как сеть организации выглядит для хакера
  • Без усилий создает плотную сеть обмана даже в самых крупных компаниях
  • Снижает шум и ложные срабатывания в SOC
  • Приоритизирует действия групп реагирования там, где это действительно важно
  • Устанавливается без существенного участия ИТ-команд
  • Является ненавязчивым и невидимым для конечных пользователей
  • Масштабируется для организаций любого размера

Модуль Illusive Networks ADS позволяет вам выявить и остановить кибератаки до того, как они остановят ваш бизнес.

Модуль анализа атак Attack Intelligence System (AIS)

Когда происходит инцидент, время, необходимое для анализа ситуации, может стать причиной значительного ущерба для бизнеса или помочь в предотвращением кризиса. Модуль Illusive Networks AIS позволяет получить точную форензику в режиме реального времени, представленную в удобном формате и дополненную картиной потенциального риска атаки для бизнеса.

Архитектура модуля Attack Intelligence System

Зачастую группы реагирования на инциденты оказываются погружены в массивы данных, которые не несут пользы. В то время как они занимаются анализом файлы журналов и собирают данные из множества локаций, им не хватает четкого понимания потенциального влияния атаки на бизнес, а волатильные системные данные могут быть утеряны.

Модуль Attack Intelligence System помогает группам реагирования следующими способами:

  • Форензика мгновенно собирается с скомпрометированных хостов при срабатывании алерта, и включает снимки экрана, волатильные и неволатильные системные данные
  • Модуль Decoy позволяет наблюдать за действиями злоумышленников в реальном времени на поддельных системах, созданных на базе реальных ОС, которые имитируют реальные приложения, на которые нацелен злоумышленник.
  • Специализированные IoT и другие сетевые устройства могут быть эмалированы с помощью простых в использовании предварительно созданных образов
  • Временная шкала форензики Forensics Timeline отображает сводку всех данных по инциденту в удобном для использования формате с отметкой времени и возможностью сортировки
  • Консоль управления Attacker View показывает близость злоумышленников к критически важным бизнес-системам организации

Возможности и преимущества модуля AIS для групп реагирования на инциденты

Модуль AIS позволяет получить следующие функции:

  • Приоритизация инцидентов на основе потенциального влияния на бизнес
  • Быстрая и точная оценка текущей ситуации (triage)
  • Эффективный сбор данных, необходимых для полноценного расследования инцидента
  • Получение понимания намерений и методов атакующего, что позволяет улучшить защиту в будущем

Модуль Illusive Networks Attack Intelligence System дает группам реагирования новые инструменты, которые помогают не только быстрее и точнее реагировать на атаки, но и понимать бизнес-риски и контекст инцидента, что помогает приоритизировать усилия.

Заключение

Типичные подходы к защите требуют от организаций быть правыми в 100% случаев, блокируя каждую угрозу, в то время как злоумышленникам достаточно провести лишь одну успешную атаку, чтобы получить доступ.

Комплексная платформа Illusive Networks меняет эту асимметрию в пользу защитников, создавая плотную среду обмана и требуя от злоумышленников быть правыми в 100% случаев. Одно неверное движение заставляет их выдать себя.

Illusive Networks успешно выстоял в более чем 100 пентестах против самых передовых и агрессивных Red Team мира благодаря уникальным технологиям и разработкам, созданным опытной командой специалистов. Решение успешно используется в компаниях по всему миру, в том числе в России и СНГ.

Вы можете заказать бесплатное тестирование Illusive Networks по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://tiger-optics.ru.