Какую задачу решают продукты класса Deception

Дата: 10.02.2021. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
Какую задачу решают продукты класса Deception

Недавно появился класс продуктов, который относится к классу DDP (Distributed Deception Platform). Такой продукт позволяет дополнить имеющиеся решения EDR, XDR, NTA и на начальном этапе обнаружить lateral movement хакера по своей сети. Для перемещения между компьютерами сотрудников и между сетями используются уже имеющиеся аккаунты в системе и поэтому злоумышленника сложно отличить от собственного сотрудника. В этом проблема распознавания lateral movement, что все действия производятся от аккаунта легитимного сотрудника. Но ведь уже были HoneyPot раньше. Этот новый класс продуктов отличается от решения класса HoneyPot тем, что он располагает специальные приманки не в каком-то отдельном сегменте сети, куда хакер должен (почему-то) прийти, а прямо на каждом компьютере. В английском языке такие приманки называют traps, decoy и lure. Приманкой может служить файл или аккаунт пользователя, который в обычной жизни компании не используется, но для хакера может быть привлекателен тем, что он может быть аккаунтом администратора или бухгалтера или в файле могут быть нужные ему данные. Поскольку приманка на виду, то вероятность, что злоумышленник клюнет увеличивается. Эти приманки не требуют установки агентов, могут распространяться через GPO, и они контролируются системой управления и доступ к ним или подбор пароля к ним будет означать, что кто-то поймал наживку — мы начинаем реагировать.

Обсуждение решений данного типа в записи доступно тут.


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *