Xello

НОВЫЙ ПОДХОД ВЫЯВЛЕНИЯ КИБЕРУГРОЗ В СЕТИ

Большинство кибератак начинается с конечных устройств пользователей: случайно открытое фишинговое письмо, эксплуатация уязвимостей на внешнем периметре (в том числе нулевого дня), компрометация веб-ресурсов компании. Попадая на хост, злоумышленники стараются повысить свои привилегии для дальнейшего продвижения по сети к критическим активам бизнеса различными способами:

• эксплуатируют уязвимости программного обеспечения и приложений

• пытаются получить привилегированные учётные данные пользователей через подбор паролей на максимально возможном количестве учётных данных (Password Spraying), перебор учётных данных из украденных баз данных (Credential stuffing), компрометацию механизмов смены и сброса паролей (Password changes and resets);

• ищут некорректные конфигурации систем, сервисов и файлов.

Повышение привилегий обычно выполняется злоумышленником, использующим скомпрометированные идентификационные данные сотрудников компании. Такие атаки достаточно сложно обнаружить обычными сигнатурами и правилами, поскольку эксплуатация учётных данных в ходе атаки будет выглядеть как обычное поведение пользователя.

Xello Deception не зависит от предварительных знаний об угрозе (индикаторы компрометации или атак, сигнатуры, репутационные списки, правила корреляции) для выявления нелегитимных действий в сети. Решение предоставляет злоумышленникам недостоверную информацию об ИТ-инфраструктуре компании (в том числе ложные идентификационные данные) и перенаправляет их на ловушки, что обеспечивает защиту критически важных информационных активов бизнеса.

ВОЗМОЖНОСТИ XELLO DECEPTION

Адаптивная генерация приманок

Современные сети отличаются быстрой изменчивостью и динамичным развитием. Именно поэтому Xello Deception регулярно обновляет приманки с учётом текущих особенностей инфраструктуры компании. Система тщательно анализирует модель поведения каждого пользователя. Независимо от конфигурации и предназначения защищаемого хоста (компьютер бухгалтера, сервер базы данных или ноутбук разработчика) она подбирает приманки такого типа, программное обеспечение которого используется на этом хосте. Ложный слой данных уникален для конкретной корпоративной сети.

Простое внедрение и отсутствие дополнительной нагрузки на инфраструктуру

Xello Deception не использует агенты для распространения приманок и поддержания связи с сервером управления, поэтому не оказывает дополнительной нагрузки на реальную инфраструктуру компании. Приманки распространяются с помощью различных протоколов удалённого управления (WMI, WinRM, SSH) и другими сторонними механизмами. Вся информация о распространённых по сети приманках хранится в системе. Их удаление не влияет на ИТ-инфраструктуру.

Единая консоль управления

Результаты работы платформы отражены в единой консоли управления. С её помощью можно управлять приманками на защищаемых хостах и настраивать индивидуальные политики защиты, генерировать и управлять ловушками в ИТ-инфраструктуре. Все события от системы отображаются в карточке инцидента, где они коррелируются в единую цепочку атаки и классифицируются по модели MITRE ATT&CK.

Поддержка операционных систем

Xello Deception устанавливается на операционные системы Linux, Windows. Приманки распространяются на ОС Linux, Windows, macOS.

ГИБКАЯ АДАПТАЦИЯ ПОД РАЗЛИЧНЫЕ ИНФРАСТРУКТУРЫ

Платформа Xello Deception имеет модульную архитектуру. Это позволяет гибко адаптироваться под модель угроз информационной безопасности конкретной компании

Xello Lures Модуль для генерации приманок и их распространения на конечные устройства пользователей

Модуль анализирует инфраструктуру конкретной компании, гибко интегрируясь с ней (LDAP-серверами, DNS-зонами, сторонними системами). На основе полученных данных создаёт максимально реалистичные приманки и распространяет их на конечные устройства пользователей, в LDAP-каталоги, DNS-зоны при помощи:

• групповых политик (Group Policy, GPO);

• систем управления конфигурациями (SCM), например, Ansible или Puppet;

• диспетчера конфигурации системного центра (Microsoft Endpoint Configuration Manager, ранее SCCM);

• инструментов управления удалёнными устройств (Mobile Device Management, MDM);

• агента стороннего решения;

• предоставления прав локального администратора.

Модуль эмулирует ложные сервисы в сети, которые работают в среде реальной операционной системы, на которой они развернуты.

Это дает возможность на данный тип ловушек установить любое ПО. Таким образом, любая продакшн-система превращается в ловушку, при попадании на которую система оповестит специалистов информационной безопасности об инциденте.

Decoy Traps Модуль гибридной эмуляции

Decoy Traps Модуль позволяет создавать ловушки на уровне протоколов, операционных систем, сервисов и устройств.

Это обеспечивает максимальное покрытие всех сегментов сети различными ложными сервисами, службами, системами.

Типы эмулируемых активов:

• сетевые: коммутаторы, маршрутизаторы, межсетевые экраны различных производителей (Fortinet, Check Point, Cisco, Huawei);

• рабочие станции и серверы: Windows OS (7, 8, 10), Windows Server (2012, 2016), Debian, Ubuntu, CentOS;

• специализированные: медицинское оборудование, финансовые терминалы;

• мобильные устройства на базе ОС Android;

• интернет вещей (IoT): IP-камеры, видеорегистраторы, принтеры и МФУ.

На прикладном уровне устройство может быть связано с интерактивным сервисом, когда злоумышленнику предоставляется возможность, например, ввода реальных команд в терминале SSH или учётных данных в брендированной веб-форме авторизации устройства.

Xello Satellites Модуль управления ложным слоем данных на географически распределённых площадках

Модуль подключает к платформе географически распределённые площадки благодаря отдельным серверам-сателлитам, которые устанавливаются в филиалах. Таким образом оптимизируется открытие сетевых портов и передача данных между распределёнными площадками и сервером управления.

Также модуль позволяет размещать ложный слой данных в отдалённых сегментах сети, например в «демилитаризованной зоне» (DMZ) или технологическом сегменте.

Xello Trapless Модуль получения событий аутентификации из внешних систем

Модуль подписывается на сообщения из сторонних систем (Apache Kafka, RabbitMQ, SIEM, Active Directory, Windows Event Collector) и ищет события, связанные с ложными активами. Это позволяет выявлять действия злоумышленника в момент верификации ложной учётной записи без использования ловушек. Для интеграции не требуются дополнительные мощности — отдельный сервер.

Xello RDS Модуль для защиты удалённых рабочих столов с помощью распределённых приманок

Модуль для интеграции с терминальными серверами (RDS) и распространения приманок на удалённые рабочие столы.

Xello Identity Protection Модуль цифровой гигиены для сокращения поверхности атаки

Модуль уменьшает поверхность атаки, удаляя различные артефакты работы пользователей на конечных устройствах (сохранённые учётные записи, SSH-соединения, открытые RDP-сессии, нелегитимных пользователей из групп безопасности/Security Group), которые хакер использует для дальнейшего незаметного передвижения по сети.

Xello MITM Модуль выявления MITM-атак («человек посередине», Man-in-the-Middle)

Xello API Модуль для интеграции со сторонними системами и сервисами

Xello Industrial Модуль защиты АСУ ТП с помощью распределённых ловушек

Модуль распространяет ловушки, эмулирующие специальное программное обеспечение, устройства ICS/SCADA, ПЛК в технологическом сегменте сети. Они устанавливаются вокруг существующих системных компонентов и ограничивают риск негативного влияния на доступность и целостность технологических процессов.

Распределённые по всей сети ловушки выявляют нелегитимное взаимодействие с ними. Например, вредоносные программы в ИТ-среде ищут уязвимые версии сетевых служб, а в промышленном сегменте — типы устройств, которые взаимодействуют с интересующими их процессами. Если злоумышленник попытается использовать ловушки в процессе реализации атаки, специалисты сразу же будут оповещены системой киберобмана о потенциальном инциденте безопасности