R-Vision Threat Deception Platform

Имитация ИТ-инфраструктуры для обнаружения кибератак

R-Vision Threat Deception Platform представляет собой комплекс технологий цифровой имитации объектов ИТ-инфраструктуры для раннего обнаружения злоумышленников, проникших в корпоративную сеть, и предотвращения атак на ранних этапах.

С помощью набора ловушек и приманок R-Vision TDP детектирует присутствие киберпреступника, замедляет его продвижение внутри сети, запутывая среди ложных объектов, и дает возможность ИБ-специалистам остановить развитие атаки до того, как она приведет к значимому ущербу.

Преимущества от использования

  • Обнаружение злоумышленников, сумевших обойти классические средства защиты и мониторинга.
  • Снижение скорости продвижения атакующего внутри сети, искажение периметра ложными элементами инфраструктуры.
  • Возможность предотвращения атак на ранних стадиях.
  • Понимание инструментов и действий злоумышленника в отношении конкретной инфраструктуры организации, выявление слабых мест в защите.
  • Низкий процент ложных срабатываний.

Составляющие платформы

Trap Manager – сервер автоматизированного управления ловушками.

Control Center – сервер управления платформой и всей эмулированной инфраструктурой. Осуществляет сбор и обработку событий безопасности, обеспечивает взаимодействие с внешними системами, управление приманками и сервером Trap Manager.

Особенности R-Vision TDP

  • Возможность гибкой адаптации ловушек и приманок к реальной инфраструктуре организации.
  • Реалистичность для злоумышленника, имитация живой системы с характерной деятельностью пользователей, типичных сервисов и служб.
  • Высокая скорость внедрения и масштабирования за счет автоматического развертывания ловушек и приманок.
  • Возможности по выявлению скомпрометированных систем и немедленному реагированию при использовании в комплексе с другими продуктами R-Vision.

Ключевые возможности

Автоматическое управление системой ловушек

Платформа R-Vision Threat Deception Platform позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра.

Ловушка – это ресурс, представляющий интерес для злоумышленников. R-Vision TDP позволяет создавать ловушки различных типов, которые воссоздают широкий спектр систем в инфраструктуре организации:

  • Виртуальные машины Windows/Linux
  • Интерактивная эмуляция: SMB, SSH, HTTP(s)
  • Базовая эмуляция: SSH, HTTP(s), FTP, Telnet, POP3, IMAP, SMTP, RDP, PostgreSQL, MySQL

Генерация и расстановка приманок

Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки. Приманкой служит информация, которая потенциально представляет ценность для злоумышленника, проникнувшего в сеть:

  • Конфигурационные файлы популярных утилит администрирования;
  • Файлы с данными;
  • Учетные записи пользователей;
  • История браузера;
  • Ключи SSH;
  • Учетные данные для подключения к СУБД.

Оповещение об инциденте и реагирование

Ловушки и приманки предназначены исключительно для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, поэтому любое взаимодействие с ними с высокой вероятностью свидетельствует об инциденте.

R-Vision TDP собирает события при регистрации взаимодействия с эмулированными объектами инфраструктуры, осуществляет их обработку и направляет оповещение ИБ-специалисту.

Также платформа может передавать события и необходимый контекст во внешние системы, такие как IRP/SOAR и SIEM, для реагирования и предотвращения развития атаки.

Расширенные возможности при интеграции с продуктами
R-Vision

Использование R-Vision Threat Deception Platform  в едином комплексе с R-Vision IRP позволит быстро оценить масштаб атаки, выявить другие скомпрометированные системы организации, на основе данных по инциденту от платформы Deception, и автоматизировать реагирование.

Собранные в результате анализа действий злоумышленника атрибуты и индикаторы компрометации R-Vision Threat Deception Platform может автоматически передавать в платформу управления данными киберразведки R-Vision TIP. Она, в свою очередь, позволит дообогатить эти данные, выявить взаимосвязи с другими доступными сведениями, настроить автоматический мониторинг в событиях SIEM и блокировку средствами защиты.