R-Vision Threat Deception Platform

Имитация ИТ-инфраструктуры для обнаружения кибератак

R-Vision Threat Deception Platform представляет собой комплекс технологий цифровой имитации объектов ИТ-инфраструктуры для раннего обнаружения злоумышленников, проникших в корпоративную сеть, и предотвращения атак на ранних этапах.

С помощью набора ловушек и приманок R-Vision TDP детектирует присутствие киберпреступника, замедляет его продвижение внутри сети, запутывая среди ложных объектов, и дает возможность ИБ-специалистам остановить развитие атаки до того, как она приведет к значимому ущербу.

Преимущества от использования

  • Обнаружение злоумышленников, сумевших обойти классические средства защиты и мониторинга
  • Снижение скорости продвижения атакующего внутри сети, искажение периметра ложными элементами инфраструктуры
  • Возможность предотвращения атак на ранних стадиях
  • Понимание инструментов и действий злоумышленника в отношении конкретной инфраструктуры организации, выявление слабых мест в защите
  • Низкий процент ложных срабатываний

Составляющие платформы

Trap Manager – сервер автоматизированного управления ловушками.

Control Center – сервер управления платформой и всей эмулированной инфраструктурой. Осуществляет сбор и обработку событий безопасности, обеспечивает взаимодействие с внешними системами, управление приманками и сервером Trap Manager.

Особенности R-Vision TDP

  • Динамическое конфигурирование ловушек и приманок, согласно изменениям в реальной инфраструктуре организации
  • Реалистичность для злоумышленника, имитация живой системы с характерной деятельностью пользователей, типичных сервисов и служб
  • Высокая скорость внедрения и масштабирования за счет автоматического развертывания ловушек и приманок
  • Возможности по выявлению скомпрометированных систем и немедленному реагированию при использовании в комплексе с другими продуктами R-Vision

Ключевые возможности

Автоматическое управление системой ловушек

Платформа R-Vision Threat Deception Platform позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра.

Ловушка – это ресурс, представляющий интерес для злоумышленников. R-Vision TDP позволяет создавать ловушки различных типов, которые воссоздают широкий спектр систем в инфраструктуре организации:

  • Рабочие станции/сервера под управлением реальных ОС Windows/Linux
  • Виртуальные устройства, сетевое оборудование, SCADA-системы, специфические приложения
  • Эмуляция сервисов ssh, smb, ftp, rdp, vnc, HTTP(s), Telnet, POP3, IMAP, SMTP, SOCKS5, PostgreSQL, MySQL с поддержкой выполнения команд или запросов.
  • Эмуляция сервисов с низким уровнем взаимодействия

Чтобы ловушки были привлекательными и более правдоподобными, их объединяют в “ульи” – группы взаимодействующих хостов, сервисов или приложений, совместная работа которых имитирует компьютерную сеть.

Генерация и расстановка приманок

Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки. Приманкой служит информация, которая потенциально представляет ценность для злоумышленника, проникнувшего в сеть. Это могут быть файлы конфигураций, история браузера, черновики, ключи ssh, файлы с паролями и другими данными, которые генерируются автоматически.

Оповещение об инциденте и реагирование

Ловушки и приманки предназначены исключительно для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, поэтому любое взаимодействие с ними с высокой вероятностью свидетельствует об инциденте.

R-Vision TDP собирает события при регистрации взаимодействия с эмулированными объектами инфраструктуры, осуществляет их обработку и направляет оповещение ИБ-специалисту.

Также платформа может передавать события и необходимый контекст во внешние системы, такие как IRP/SOAR и SIEM, для реагирования и предотвращения развития атаки.

Расширенные возможности при интеграции с продуктами
R-Vision

Использование R-Vision Threat Deception Platform  в едином комплексе с R-Vision IRP позволит быстро оценить масштаб атаки, выявить другие скомпрометированные системы организации, на основе данных по инциденту от платформы Deception, и автоматизировать реагирование.

Собранные в результате анализа действий злоумышленника атрибуты и индикаторы компрометации R-Vision Threat Deception Platform может автоматически передавать в платформу управления данными киберразведки R-Vision TIP. Она, в свою очередь, позволит дообогатить эти данные, выявить взаимосвязи с другими доступными сведениями, настроить автоматический мониторинг в событиях SIEM и блокировку средствами защиты.