• 22 478 45 80
  • Adres mailowy 4Sync

Fidelis Deception™

Rozwiązania bezpieczeństwa stosowane jako pierwsza linia obrony zmieniają się zbyt wolno, nie nadążają za włamywaczami i nowymi metodami  ataku i w efekcie mogą okazać się zawodne. Atakujący prędzej czy później pokonają wszystkie zastosowane metody prewencji.


Z obserwacji konkursów typu „zdobądź flagę” (Capture the Flag - CTF) wynika, że w poszukiwaniu danych uwierzytelniających włamywacze analizują pocztę e-mail, pliki, dokumenty i nieustrukturyzowane informacje, a zautomatyzowane złośliwe oprogramowanie koncentruje się na ustrukturyzowanych danych w przeglądarkach internetowych i aplikacjach. Włamywaczom zależy na przedostawaniu się do sieci ofiary niezauważonym i poruszaniu się w niej po cichu, bez powodowania cyfrowego „hałasu”, który mógłby zdradzić ich poczynania. Wiedząc, na czym zależy włamywaczom, można stworzyć aktywny system bezpieczeństwa, który przyciąga i dezorientuje włamywaczy lub złośliwe oprogramowanie oraz pomaga powstrzymać ich ataki.


Fidelis Deception – inteligentne rozwiązanie do dezinformacji


Rozwiązanie Deception zwiększa bezpieczeństwo sieci poprzez dynamiczne generowanie tzw. systemów-pułapek (ang. Decoy), będących emulacją oryginalnego systemu operacyjnego (Windows/Linux). Z zewnątrz pułapki wyglądają jak zwykły system z działającymi na nim potencjalnie podatnymi aplikacjami – dzięki czemu wyglądają atrakcyjnie dla cyberprzestępców. Dzięki Deception można zmylić i wykryć cyberprzestępcę. Zamiast nadaremnie poszukiwać włamywaczy w skomplikowanej pajęczynie sieci i systemów, rozwiązanie Deception generuje alerty na podstawie wykrycia prób dostępu do systemów-pułapek. Dodatkowo, Fidelis Deception idzie o krok dalej i udostępnia cyberprzestępcom spreparowane dane logowania, w tym pozycje Active Directory, a także symuluje dostęp do zasobów firmowych. Spreparowane dane logowania, zwane „okruszkami chleba” (ang. breadcrumbs), umieszczane są na prawdziwych stacjach roboczych, mając na celu zwabienie atakującego do systemów-pułapek. Włamywacze łapią przynętę, co umożliwia ich natychmiastowe wykrycie, poznanie metody ataku oraz skuteczniejszą ochronę danych. 


Korzyści

  • Redukcja ryzyka. Wabienie atakujących do systemów-pułapek odciąga ich uwagę od krytycznych systemów i aplikacji oraz spowalnia ich działania, dając  zespołowi cenny czas na wykrycie, analizę i przeciwdziałanie. Deception minimalizuje liczbę fałszywych alarmów, redukując ryzyko przeoczenia tych naprawdę ważnych.
  • Wzrost efektywności i skuteczności działania zespołów bezpieczeństwa. Dzięki wysokiej automatyzacji rozwiązanie nie wymaga stałego nadzoru, dzięki czemu znacznie odciąża zespoły bezpieczeństwa, poprawiając ich skuteczność.
  • Skrócenie czasu wykrycia. Średni czas wykrycia trwającego ataku to ok. 50 dni. Organizacje w dużej mierze skupiają się na ochronie styku sieci, poświęcając niewiele uwagi temu co dzieje się wewnątrz. Fidelis Deception dostarcza wglądu w tzw. ruch „east-west”, odbywający się całkowicie wewnątrz sieci.
  • Brak negatywnego wpływu na działalność operacyjną i użytkowników. Brak zagrożeń dla danych i prawdziwych zasobów.
  • Dane śledcze. Fidelis Deception zapewnia wgląd w informacje i dane śledcze umożliwiające poznanie taktyk, technik a także poszukiwanych przez atakującego zasobów.
  • Skalowalność i efektywność kosztowa. Dzięki zastosowaniu systemów emulowanych, rozwiązanie bardzo dobrze się skaluje i automatycznie dostosowuje do zmian w prawdziwej infrastrukturze. Systemy-pułapki można dodawać i usuwać w locie, a ich wykorzystanie nie wymaga zakupu dodatkowych licencji.

 

Najważniejsze cechy platformy Fidelis Deception

  • Automatyzacja. Fidelis Deception buduje “mapę” sieci poprzez pasywne skanowanie ruchu dostarczonego przez span/tap port do urządzenia. Następnie na podstawie zebranych informacji, automatycznie generuje systemy-pułapki o charakterystyce dopasowanej do infrastruktury, w której działa, dzięki czemu są one dla atakującego bardzo trudne do rozróżnienia od systemów produkcyjnych.
  • Skierowanie ataku do fałszywej infrastruktury. Wabiki instalowane na prawdziwych systemach operacyjnych przyciągają atakujących do systemów-pułapek, odwracając tym samym ich uwagę od krytycznych zasobów w sieci i ułatwiając wykrycie trwającego ataku. Wabikami mogą być wpisy w rejestrze Windows, ciasteczka przeglądarki czy nawet pliki konfiguracyjne popularnych usług jak FTP.
  • Systemy-pułapki to emulacja oryginalnego systemu operacyjnego. Dzięki zastosowaniu emulacji zamiast pełnej wirtualizacji systemu, Deception może uruchomić nawet do 1000 systemów pułapek jednocześnie na jednej maszynie fizycznej. Eliminuje to także problemy związane z przełamaniem zabezpieczeń systemu wirtualizowanego i wykorzystania go przez atakującego do dalszej propagacji w sieci.
  • Redukcja liczby fałszywych alarmów. Deception dostarcza bardzo rozbudowanych informacji o trwającym ataku na system-pułapkę, redukując tym samym prawdopodobieństwo wystąpienia false-positive. Dodatkowo, dzięki automatycznemu skanowaniu sieci w poszukiwaniu zasobów, Deception dostarcza kompleksowych informacji o systemach i usługach działających w sieci, ułatwiając wykrywanie tzw. shadow IT.