Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Дата: 09.11.2022. Автор:  Xello. Категории: Обзоры средств защиты информации
Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

18 октября вышла пятая версия платформы Xello Deception, которая обеспечивает кибербезопасность бизнеса от целенаправленных атак. Система относится к классу решений Distributed Deception Platform (далее — DDP). Она позволяет выявлять сложные киберугрозы на ранних стадиях благодаря распределённым приманкам и ловушкам по всей сети компании. Эти два компонента создают взаимосвязанную сеть, направленную на обман и перенаправление хакера в изолированную ложную инфраструктуру. Это, в свою очередь, дает время специалистам по информационной безопасности детектировать угрозу до момента нанесения ущерба.

Ловушки обычно представляют собой серверы, которые способны имитировать реальные элементы ИТ-инфраструктуры (приложения, базы данных, операционные системы и другие). Их можно разделить на низкоинтерактивные, среднеинтерактивные (предоставляют злоумышленнику ограниченный доступ к операционной системе без возможности взаимодействия с ними, могут генерировать реалистичный сетевой трафик) и высокоинтерактивные (идентичны корпоративным системам и приложениям, способны запускать реальные операционные системы (FullOS), службы с фиктивными данными, которые позволяют злоумышленнику войти в систему и выполнить запросы). Но без приманок они бесполезны, поскольку вероятность того, что хакер наткнется на сервер-ловушку просто так, очень мала.

Приманками являются наиболее привлекательные ложные данные для хакеров (учётные записи, сохранённые пароли в памяти OC или браузерах, конфигурационные файлы и т.д.), которые раскладываются на реальные хосты пользователей, а также в LDAP, DNS и другие службы и протоколы. Именно эти данные с большой долей вероятности будут использоваться при развитии атаки. Так, например, согласно данным анализа поведения семейств вредоносного ПО Лаборатории Касперского, наиболее популярным методом получения первичного доступа к инфраструктуре является компрометация протокола Remote Desktop Protocol (RDP). Доступ к нему удаётся получить благодаря использованию действительных учётных записей, их брутфорсу или перебору украденных.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Любая попытка использования приманок или ловушек с высокой долей вероятности будет считаться инцидентом безопасности, поскольку они невидимы для авторизованных пользователей и направлены на злоумышленника.

Управление ими производится из веб-интерфейса, в котором также можно работать с киберинцидентами, отслеживать работоспособность системы, настраивать политику защиты, интегрироваться с системами кибербезопасности.

Что нового?

За три года существования Xello Deception командой было протестировано множество сценариев использования, собрана обратная связь от пользователей и накоплен опыт работы с различными инфраструктурами. Чтобы грамотно интегрировать все это в продукт, в новой версии сделан упор на три составляющие:

  • Встраиваемость — гибкая интеграция с внешними сервисами и внутренней инфраструктурой.
  • Инциденты — дополнительные возможности работы с киберинцидентами. 
  • Юзабилити — удобный интерфейс.

Встраиваемость

Эффективность решения зависит от того, насколько реалистичный ложный слой будет создан. Это невозможно без интеграции с внутренней инфраструктурой компании и анализа её особенностей. В Xello Deception 5.0 реализована удобная интеграция с LDAP-серверами, DNS-зонами и источниками событий из веб-интерефейса. Решение способно в автоматическом режиме подтягивать из инфраструктуры новые серверы для анализа и дальнейшего создания ложных данных и активов.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Платформа также поддерживает большое количество хранилищ для приманок. Чтобы генерировать максимально реалистичные приманки для каждого хоста, АРМа или сервера, необходимо иметь удобный механизм управления типами приманок. Все типы разбиты на категории, дифференцирующие область использования программного обеспечения, к которому относится приманка. Оператор системы может присваивать хостам как целиком категории, так и отдельные типы приманок для более точечного покрытия.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Также крайне важно, чтобы ложный слой данных постоянно обновлялся и изменялся, т.е. был динамичным (только так злоумышленники не смогут их отличить от реальных активов). В платформе реализован механизм ранжирования приманок на хостах: меняются приманки, профили, которые ими покрываются, а также применяются различные механики управления для разного типа хостов.

Распространение приманок происходит с помощью различных протоколов удалённого взаимодействия — PsExec, PaExec, WinRm, WMI, SSH и систем управления программным обеспечением — Ansible, Puppet и SCCM (заменен продуктом Microsoft Endpoint Manager). Для гибкой конфигурации механизма распространения и адаптации под специфичную инфраструктуры в веб-интерфейс вынесены всевозможные настройки.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Открытый API позволяет получать инциденты из внешних систем. Например, если в компании уже используются собственные или OpenSource сервисы-ловушки, то при интеграции Xello Deception будет работать с ними, как с собственными (каждое событие будет проходить весь процесс обработки внутри платформы). Также благодаря открытому API платформу можно интегрировать с внутренними системами мониторинга (для отправки всех получаемых инцидентов) или любыми другими средствами защиты (NAC, NGFW, Sandbox и другими). В пятой версии улучшен механизм выдачи API-токена и реализовано гибкое управление выданными ключами.

Еще одно нововведение: открыт Swagger — инструмент, который позволяет создавать и визуализировать описание API на основе стандарта OpenAPI. Теперь из веб-интерфейса Xello Deception можно смотреть и тестировать интеграции через API.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Реализован мониторинг работоспособности системы, который можно интегрировать с такими системами, как Zabbix или Nagios.

Работа с инцидентами

Все инциденты списком отображаются в единой вкладке, где видна общая информация. Для удобной работы с ними (их просмотра, управления, закрытия, открытия и поиска) был переработан механизм фильтров: оператор системы остаётся всегда в их контексте, выполняя операции с несколькими активностями (не нужно открывать отдельное окно или скроллить).

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Помимо этого, в новой версии реализовано отображение событий внутри инцидента в виде таймлайна. Это позволяет увидеть последовательность действий злоумышленника в хронологическом порядке и его взаимодействие со всеми ловушками и приманками.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Чтобы избавиться от фонового шума, добавлена возможность создания исключений, с помощью которых можно закрыть все инциденты, подпадающие под них.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

В новой версии появилась карта с тактиками по модели MITRE ATT&CK, где отображается каждый инцидент. Это помогает оператору системы понять, на какой стадии находится злоумышленник и узнать о применяемых техниках и тактиках.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Другая важная функциональность при работе с киберинцидентами — сбор и хранение форензики с защищаемы хостов (Linux, MacOS, Windows). Криминалистические данные, получаемые от Xello Deception, можно выгружать для работы с ними вручную или настроить отправку во внешние системы по протоколу Syslog (RFC5424/5425) в форматах CEF или JSON.

Модуль Credential Defender

В рамках платформы Xello Deception активно развивается модуль для повышения цифровой гигиены в организациях — Credential Defender, который позволяет очищать закешированные учётные записи на конечных устройств.

Злоумышленник, попадая на хост, первым делом пытается собрать данные для развития атаки (например, сохранённые учётные записи в браузерах). За счёт их удаления уменьшается поверхность атаки и замедляется движение злоумышленника в сети.

Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Данный модуль можно отнести к классу решений Identity Risk Management. В синергии с техниками киберобмана платформа Xello Deception позволяет повысить защиту конечных устройств.

Roadmap: модуль эмуляции сетевых устройств

Также сейчас идет разработка модуля, который позволит эмулировать большое количество типов устройств на нескольких уровнях.

  • Уровень стека (Stack level) — эмуляция TCP/IP стека.
  • Уровень протоколов (Protocol level) — эмуляция различных протоколов (DNS, HTTPS, SMTP).
  • Прикладной уровень (Application level) — эмуляция различных веб-сервисов и приложений.
  • Физический уровень (Hardware level) — эмуляция серийных интерфейсов или протоколов коммуникации на физическом уровне. 
Обзор пятой версии платформы для предотвращения целенаправленных атак Xello Deception

Комплексный подход, к которому стремится команда разработчиков, позволит работать платформе Xello Deception с самых верхних уровней эмуляции до прикладного. Данный модуль будет функционировать в рамках платформы наравне с хостовыми приманками и дополнять их.

Заключение

Не существует единого стандарта функционирования современных решений класса DDP: каждый производитель закладывает своё видение и требования к собственной системе. Компания, имея уже достаточный опыт работы с технологиями удалённого управления различными активами на конечных устройствах, стремится к повышению их комплексной защиты. Кроме того, активно функционируя с разными инфраструктурами, Xello развивает легко масштабируемую сеть киберобмана на всех уровнях для детектирования инцидентов на ранних этапах.

Чтобы наглядно увидеть развитие платформы Xello Deception и её функциональные возможности, смотрите демонстрацию пятой версии по ссылке.

Данная версия пока доступна для beta-пользователей. Стандартный срок тестирования занимает два месяца, после чего она будет открыта для всех клиентов. Если вы хотите бесплатно протестировать платформу прямо сейчас, отправьте заявку по ссылке.

Об авторе  Xello

Xello (Кселло) — команда, основанная в 2018 году. Занимается развитием первой российской платформы для предотвращения целенаправленных атак с помощью технологии киберобмана (Deception).
Читать все записи автора  Xello

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *