Адаптация статьи Better Together: Deterministic Lateral Threat Management and EDR, автор Пол Кивикинк (Paul Kivikink), директор по стратегическому развитию бизнеса Illusive
Меня часто спрашивают, чем может быть полезен Illusive — решение для активной защиты и управления латеральным движением на основе обманных технологий, если в компании уже развернут сильный стек других СЗИ для обнаружения нацеленных угроз.
Если вкратце, то основным преимуществом использования обманных технологий, работающих на уровне хоста, является то, что они не зависят от наличия вредоносного поведения (аномалии, процессы, команды powershell, вредоносы, инструменты взлома, эксплойты и т. д.), и часто используются в качестве мощного дополнения к EDR для обнаружения злоумышленников или вредоносных инсайдеров, которые используют существующие легитимные сетевые подключения и привилегированные учетные записи для перемещения внутри организации. Использование методов управления поверхностью атаки и обманных технологий для обнаружения и реагирования на нацеленные угрозы обеспечивает более глубокое понимание траекторий движения между конечными точками и критическими активами, которые злоумышленник будет использовать при распространении внутри организации, и дает возможность выявлять и предотвращать успешные атаки на самых ранних стадиях.
Философия Illusive заключается в детерминистическом выявлении атаки на уровне хоста при движении злоумышленника от скомпрометированных машин к критическим активам организации (так называемое латеральное движение). Эти возможности Illusive не требует установки агентов, быстро внедряются, не требуют больших усилий и расходов на текущую поддержку и работают как в сегментах ИТ и ОТ, так и в IoT-средах, локально и в облаках. Illusive дает пользователям представление обо всех путях злоумышленника внутри организации, постоянно оценивает уровень риска поверхности атаки, а также предотвращает и обнаруживает потенциальное латеральное движение.
Почему компаниям нужно сочетание Illusive и EDR – шесть конкретных кейсов
1. Выявление и пресечение вредоносной инсайдерской деятельности без знания «нормального поведения»
Вредоносные инсайдеры уже находятся внутри инфраструктуры компании, имеют легальные полномочия и мотивы для подключения к ценным активам для выполнения своей работы. Рассмотрим сотрудника, который украл учетные данные администратора и использует их для доступа к конечных точкам в сети. EDR не сможет определить, используется ли законная учетная запись администратора инсайдером со злым умыслом. В противоположность этому Illusive разместит обманные версии сетевых соединений, привилегированных учетных данных и файлов-маячков, которые могут побудить инсайдера взаимодействовать с ними и раскрывать себя организации. Эта синергетический функционал неоднократно был доказан в средах, где Deception и EDR дополняют друг друга.
2. Немедленная оценка близости инцидента ИБ к критически важным активам
Illusive и EDR является мощным сочетанием для эффективного выявления и пресечения инцидентов безопасности. Illusive предоставляет важную информацию аналитикам SOC при реагировании на алерты EDR, немедленно отвечая на вопросы «В скольких шагах этот инцидент от критического актива?» и «Какими путями злоумышленник может достичь критического актива?». Благодаря тому, что Illusive знает пути атаки, аналитик получает информацию о том, каким будет следующий шаг злоумышленника — Illusive предоставляет уникальную информацию о том, куда злоумышленник может двигаться, чтобы достичь критического актива, даже если злоумышленник еще ничего не предпринял. Возможность взглянуть на организацию «глазами злоумышленников» обеспечивает бесценный контекст об уровне риска и увеличивает скорость реагирования, помогая SOC определить приоритетность того, какие конечные точки нуждаются в самом непосредственном внимании.
3. Выявление траекторий движения к критическим активам и их удаление
Illusive постоянно анализирует и оценивает риск корпоративной среды, визуализируя траектории высокого риска и показывая, как злоумышленник или вредоносный инсайдер может достичь ценных активов. Illusive расширяет возможности SOC, показывая, какие подключения и привилегированные учетные записи представляют наибольший риск, а также дает возможность автоматического устранения наиболее рискованных траекторий по мере их появления. Это дает мощный инструмент для быстрого повышения кибергигиены организации и снижения поверхности атаки внутри организации, затрудняя движение злоумышленника в вашей сети и заставляя их прибегать к более заметным для СЗИ способам работы.
4. Защита и мониторинг сред, в которых невозможно установить агент EDR
Злоумышленники обращают все больше внимания на нетрадиционных поверхностях ИТ-атак в таких средах, как здравоохранение (медицинские приборы) и промышленность (АСУ ТП). В этих критических сценариях, когда размещение агента технически невозможно, безагентные эмуляции IoT- и устройств АСУ ТП могут быть использованы для обнаружения вредоносной активности в таких областях, как МРТ-машина или промышленный программируемый логический контроллер.
5. Применение MITRE ATT&CK и MITRE Shield
Для компаний, сверяющих свои возможности обнаружения с базой знаний MITRE ATT&CK и MITRE Shield, Illusive и EDR идеально дополняют друг друга. Как EDR, так и обманные технологии являются формами обнаружения, однако они работают на разных стадиях процесса атаки и являются принципиально разными, хотя и дополняющими друг друга технологиями безопасности.
Illusive дает контекст по привилегированным учетным данным и латеральному движению относительно того, какие учетные записи и подключения злоумышленник будет использовать для достижения самых ценных или критически важных активов. Возможности обнаружения Illusive обеспечивают ясное понимание того, какие УЗ и пути будут использоваться злоумышленником для того, чтобы смешаться с нормальным поведением сети, что имеет важное значение для обнаружения инсайдерской угрозы, где противник или инсайдер использует авторизованные подключения и легальные полномочия для движения в сторону важных активов (т.н. «питаться с земли» или “living off the land”).
Матрица активной защиты MITRE Shield формирует базу тактик и техник активной обороны (можно сказать, что это матрица ATT&CK, но для защитников). MITRE Shield структурирована так же, как и ATT&CK, и MITRE даже предоставляет полное наложение всех тактик ATT&CK на подходы активной защиты. Функционал «активной обороны» Illusive является ключевым преимуществом в защите организаций от продвинутых злоумышленников. Решения Illusive обеспечивают охват в общей сложности 27 из 33 техник активной защиты, описанных в MITRE Shield, включая разнообразие приложений, обманные учетные записи, обманный контент, сетевое разнообразие, «карманный мусор» и многое другое.
6. Детерминистическое выявление злоумышленников, использующих украденные учетные записи или крадущих конфиденциальные данные
Illusive предоставляет надежную и эффективную технологию обмана, которая защищает критически важные активы, автоматически «подкидывая» внутри сети привлекательные для злоумышленника цели, что позволяет выявлять угрозы, которые не используют вредоносное ПО или известные инструменты атаки. EDR эффективен при обнаружении инструментов и методов злоумышленников, но испытывает трудности при дифференциации между нормальным поведением пользователя или системы, в то время как Deception создан для его обнаружения. Illusive не использует агенты и создает уникальную обманную «легенду» для каждой защищаемой конечной точки, что создает сложную задачу для злоумышленника, который должен оперировать своими инструментами и методами так, чтобы не попасть в плотную сеть ловушек Illusive.
Illusive и EDR — лучше вместе
Illusive имеет несколько интеграций с EDR-вендорами, и мы считаем, что эти интеграции работают «лучше вместе», обеспечивая клиентам более эффективное обнаружение и автоматизированое реагирование. Интеграция EDR и Illusive позволяют реализовать связку детерминистического выявления атаки силами Illusive и возможности реагировать и изолировать скомпрометированный хост до тех пор, пока угроза не будет удалена. Многие клиенты, особенно те, которые не имеют обширных ресурсов безопасности, ценят возможность полной автоматизации обнаружения и реагирования, которую позволяет достичь сочетание Illusive и EDR.
Ценность Illusive наряду с EDR в стеке решений по ИБ — это способность Illusive предотвращать атаки, удаляя высокорисковые траектории, содержащие привилегированные учетные данные и рискованные подключения к ценным активам, функционал кибергигиены, который отсутствует в большинстве решений по защите конечных точек. В среде, очищенной от остатков УЗ и подключений, злоумышленники должны (и ожидают найти) артефакты, которые позволяют им реализовать свою атаку. Возможности активной защиты Illusive заставляют атакующего проявлять себя, что приводит к его мгновенному обнаружению и автоматическому сбору детальной форензики с контекстом латерального движения, что экономит ценные часы, которые иначе были бы потрачены на ручную работу по сбору данных инцидента.
Чтобы узнать больше решении Illusive, закажите консультацию или демо.