A gdyby oszukać oszusta? Stworzyć dla atakującego równoległą rzeczywistość, odwrócić jego uwagę i skierować do kontrolowanego środowiska, w którym można nim sterować, spowolnić i obserwować jego działania. Deception, czyli oszustwo, trwa przecież od tysiącleci. Zdobądź przewagę w cyberwojnie.
Kamuflaż w naturze czy dezinformacja podczas działań wojennych, także w cyberprzestrzeni, to nic nowego. Ataki phishingowe i socjotechnika to oszustwa nakłaniające użytkowników aby coś otworzyć, kliknąć, ujawnić swoje poufne dane. Atakujący prędzej czy później pokonają wszystkie zastosowane metody prewencji, ale nie musimy być bezbronni!
Obecna technologia umożliwia szybkie tworzenie fałszywych środowisk w ramach istniejącej infrastruktury, połączonych z istniejącymi mechanizmami obrony przed atakami cybernetycznymi (tj. systemami wykrywania włamań). Technologia Deception to aktualnie element coraz bardziej decydujący o uzyskaniu przewagi w cyberwojnie. Jeden serwer, kilka godzin pracy i efekt: setki aktywnych pułapek. Tak, to takie proste, a niepewnych, że warto Deception wpisać na listę technologii „must-have” zachęcamy do kontaktu i przetestowania Fidelis Deception
Fidelis Deception – inteligentne rozwiązanie do dezinformacji
Rozwiązanie Deception zwiększa bezpieczeństwo sieci poprzez dynamiczne generowanie tzw. systemów-pułapek (ang. Decoy), będących emulacją oryginalnego systemu operacyjnego (Windows/Linux). Z zewnątrz pułapki wyglądają jak zwykły system z działającymi na nim potencjalnie podatnymi aplikacjami – dzięki czemu wyglądają atrakcyjnie dla cyberprzestępców. Dzięki Deception można zmylić i wykryć cyberprzestępcę. Zamiast nadaremnie poszukiwać włamywaczy w skomplikowanej pajęczynie sieci i systemów, rozwiązanie Deception generuje alerty na podstawie wykrycia prób dostępu do systemów-pułapek. Dodatkowo, Fidelis Deception idzie o krok dalej i udostępnia cyberprzestępcom spreparowane dane logowania, w tym pozycje Active Directory, a także symuluje dostęp do zasobów firmowych. Spreparowane dane logowania, zwane „okruszkami chleba” (ang. breadcrumbs), umieszczane są na prawdziwych stacjach roboczych, mając na celu zwabienie atakującego do systemów-pułapek. Włamywacze łapią przynętę, co umożliwia ich natychmiastowe wykrycie, poznanie metody ataku oraz skuteczniejszą ochronę danych.
Korzyści
- Redukcja ryzyka. Wabienie atakujących do systemów-pułapek odciąga ich uwagę od krytycznych systemów i aplikacji oraz spowalnia ich działania, dając zespołowi cenny czas na wykrycie, analizę i przeciwdziałanie. Deception minimalizuje liczbę fałszywych alarmów, redukując ryzyko przeoczenia tych naprawdę ważnych.
- Wzrost efektywności i skuteczności działania zespołów bezpieczeństwa. Dzięki wysokiej automatyzacji rozwiązanie nie wymaga stałego nadzoru, dzięki czemu znacznie odciąża zespoły bezpieczeństwa, poprawiając ich skuteczność.
- Skrócenie czasu wykrycia. Średni czas wykrycia trwającego ataku to ok. 50 dni. Organizacje w dużej mierze skupiają się na ochronie styku sieci, poświęcając niewiele uwagi temu co dzieje się wewnątrz. Fidelis Deception dostarcza wglądu w tzw. ruch „east-west”, odbywający się całkowicie wewnątrz sieci.
- Brak negatywnego wpływu na działalność operacyjną i użytkowników. Brak zagrożeń dla danych i prawdziwych zasobów.
- Dane śledcze. Fidelis Deception zapewnia wgląd w informacje i dane śledcze umożliwiające poznanie taktyk, technik a także poszukiwanych przez atakującego zasobów.
- Skalowalność i efektywność kosztowa. Dzięki zastosowaniu systemów emulowanych, rozwiązanie bardzo dobrze się skaluje i automatycznie dostosowuje do zmian w prawdziwej infrastrukturze. Systemy-pułapki można dodawać i usuwać w locie, a ich wykorzystanie nie wymaga zakupu dodatkowych licencji.
Najważniejsze cechy platformy Fidelis Deception
- Automatyzacja. Fidelis Deception buduje “mapę” sieci poprzez pasywne skanowanie ruchu dostarczonego przez span/tap port do urządzenia. Następnie na podstawie zebranych informacji, automatycznie generuje systemy-pułapki o charakterystyce dopasowanej do infrastruktury, w której działa, dzięki czemu są one dla atakującego bardzo trudne do rozróżnienia od systemów produkcyjnych.
- Skierowanie ataku do fałszywej infrastruktury. Wabiki instalowane na prawdziwych systemach operacyjnych przyciągają atakujących do systemów-pułapek, odwracając tym samym ich uwagę od krytycznych zasobów w sieci i ułatwiając wykrycie trwającego ataku. Wabikami mogą być wpisy w rejestrze Windows, ciasteczka przeglądarki czy nawet pliki konfiguracyjne popularnych usług jak FTP.
- Systemy-pułapki to emulacja oryginalnego systemu operacyjnego. Dzięki zastosowaniu emulacji zamiast pełnej wirtualizacji systemu, Deception może uruchomić nawet do 1000 systemów pułapek jednocześnie na jednej maszynie fizycznej. Eliminuje to także problemy związane z przełamaniem zabezpieczeń systemu wirtualizowanego i wykorzystania go przez atakującego do dalszej propagacji w sieci.
- Redukcja liczby fałszywych alarmów. Deception dostarcza bardzo rozbudowanych informacji o trwającym ataku na system-pułapkę, redukując tym samym prawdopodobieństwo wystąpienia false-positive. Dodatkowo, dzięki automatycznemu skanowaniu sieci w poszukiwaniu zasobów, Deception dostarcza kompleksowych informacji o systemach i usługach działających w sieci, ułatwiając wykrywanie tzw. shadow IT.
Pobierz broszurę Fidelis Deception
Pobierz infografikę Deception-MITRE-ATTACK-Infographic
Poznaj pozostałe produkty Fidelis Security
Strona producenta: https://fidelissecurity.com/products/deception/