18 октября вышла пятая версия платформы Xello Deception, которая обеспечивает кибербезопасность бизнеса от целенаправленных атак. Система относится к классу решений Distributed Deception Platform (далее — DDP). Она позволяет выявлять сложные киберугрозы на ранних стадиях благодаря распределённым приманкам и ловушкам по всей сети компании. Эти два компонента создают взаимосвязанную сеть, направленную на обман и перенаправление хакера в изолированную ложную инфраструктуру. Это, в свою очередь, дает время специалистам по информационной безопасности детектировать угрозу до момента нанесения ущерба.
Ловушки обычно представляют собой серверы, которые способны имитировать реальные элементы ИТ-инфраструктуры (приложения, базы данных, операционные системы и другие). Их можно разделить на низкоинтерактивные, среднеинтерактивные (предоставляют злоумышленнику ограниченный доступ к операционной системе без возможности взаимодействия с ними, могут генерировать реалистичный сетевой трафик) и высокоинтерактивные (идентичны корпоративным системам и приложениям, способны запускать реальные операционные системы (FullOS), службы с фиктивными данными, которые позволяют злоумышленнику войти в систему и выполнить запросы). Но без приманок они бесполезны, поскольку вероятность того, что хакер наткнется на сервер-ловушку просто так, очень мала.
Приманками являются наиболее привлекательные ложные данные для хакеров (учётные записи, сохранённые пароли в памяти OC или браузерах, конфигурационные файлы и т.д.), которые раскладываются на реальные хосты пользователей, а также в LDAP, DNS и другие службы и протоколы. Именно эти данные с большой долей вероятности будут использоваться при развитии атаки. Так, например, согласно данным анализа поведения семейств вредоносного ПО Лаборатории Касперского, наиболее популярным методом получения первичного доступа к инфраструктуре является компрометация протокола Remote Desktop Protocol (RDP). Доступ к нему удаётся получить благодаря использованию действительных учётных записей, их брутфорсу или перебору украденных.
Любая попытка использования приманок или ловушек с высокой долей вероятности будет считаться инцидентом безопасности, поскольку они невидимы для авторизованных пользователей и направлены на злоумышленника.
Управление ими производится из веб-интерфейса, в котором также можно работать с киберинцидентами, отслеживать работоспособность системы, настраивать политику защиты, интегрироваться с системами кибербезопасности.
За три года существования Xello Deception командой было протестировано множество сценариев использования, собрана обратная связь от пользователей и накоплен опыт работы с различными инфраструктурами. Чтобы грамотно интегрировать все это в продукт, в новой версии сделан упор на три составляющие:
Эффективность решения зависит от того, насколько реалистичный ложный слой будет создан. Это невозможно без интеграции с внутренней инфраструктурой компании и анализа её особенностей. В Xello Deception 5.0 реализована удобная интеграция с LDAP-серверами, DNS-зонами и источниками событий из веб-интерефейса. Решение способно в автоматическом режиме подтягивать из инфраструктуры новые серверы для анализа и дальнейшего создания ложных данных и активов.
Платформа также поддерживает большое количество хранилищ для приманок. Чтобы генерировать максимально реалистичные приманки для каждого хоста, АРМа или сервера, необходимо иметь удобный механизм управления типами приманок. Все типы разбиты на категории, дифференцирующие область использования программного обеспечения, к которому относится приманка. Оператор системы может присваивать хостам как целиком категории, так и отдельные типы приманок для более точечного покрытия.
Также крайне важно, чтобы ложный слой данных постоянно обновлялся и изменялся, т.е. был динамичным (только так злоумышленники не смогут их отличить от реальных активов). В платформе реализован механизм ранжирования приманок на хостах: меняются приманки, профили, которые ими покрываются, а также применяются различные механики управления для разного типа хостов.
Распространение приманок происходит с помощью различных протоколов удалённого взаимодействия — PsExec, PaExec, WinRm, WMI, SSH и систем управления программным обеспечением — Ansible, Puppet и SCCM (заменен продуктом Microsoft Endpoint Manager). Для гибкой конфигурации механизма распространения и адаптации под специфичную инфраструктуры в веб-интерфейс вынесены всевозможные настройки.
Открытый API позволяет получать инциденты из внешних систем. Например, если в компании уже используются собственные или OpenSource сервисы-ловушки, то при интеграции Xello Deception будет работать с ними, как с собственными (каждое событие будет проходить весь процесс обработки внутри платформы). Также благодаря открытому API платформу можно интегрировать с внутренними системами мониторинга (для отправки всех получаемых инцидентов) или любыми другими средствами защиты (NAC, NGFW, Sandbox и другими). В пятой версии улучшен механизм выдачи API-токена и реализовано гибкое управление выданными ключами.
Еще одно нововведение: открыт Swagger — инструмент, который позволяет создавать и визуализировать описание API на основе стандарта OpenAPI. Теперь из веб-интерфейса Xello Deception можно смотреть и тестировать интеграции через API.
Реализован мониторинг работоспособности системы, который можно интегрировать с такими системами, как Zabbix или Nagios.
Все инциденты списком отображаются в единой вкладке, где видна общая информация. Для удобной работы с ними (их просмотра, управления, закрытия, открытия и поиска) был переработан механизм фильтров: оператор системы остаётся всегда в их контексте, выполняя операции с несколькими активностями (не нужно открывать отдельное окно или скроллить).
Помимо этого, в новой версии реализовано отображение событий внутри инцидента в виде таймлайна. Это позволяет увидеть последовательность действий злоумышленника в хронологическом порядке и его взаимодействие со всеми ловушками и приманками.
Чтобы избавиться от фонового шума, добавлена возможность создания исключений, с помощью которых можно закрыть все инциденты, подпадающие под них.
В новой версии появилась карта с тактиками по модели MITRE ATT&CK, где отображается каждый инцидент. Это помогает оператору системы понять, на какой стадии находится злоумышленник и узнать о применяемых техниках и тактиках.
Другая важная функциональность при работе с киберинцидентами — сбор и хранение форензики с защищаемы хостов (Linux, MacOS, Windows). Криминалистические данные, получаемые от Xello Deception, можно выгружать для работы с ними вручную или настроить отправку во внешние системы по протоколу Syslog (RFC5424/5425) в форматах CEF или JSON.
В рамках платформы Xello Deception активно развивается модуль для повышения цифровой гигиены в организациях — Credential Defender, который позволяет очищать закэшированные учётные записи на конечных устройств.
Злоумышленник, попадая на хост, первым делом пытается собрать данные для развития атаки (например, сохранённые учётные записи в браузерах). За счёт их удаления уменьшается поверхность атаки и замедляется движение злоумышленника в сети.
Данный модуль можно отнести к классу решений Identity Risk Management. В синергии с техниками киберобмана платформа Xello Deception позволяет повысить защиту конечных устройств.
Также сейчас идет разработка модуля, который позволит эмулировать большое количество типов устройств на нескольких уровнях.
Комплексный подход, к которому стремится команда разработчиков, позволит работать платформе Xello Deception с самых верхних уровней эмуляции до прикладного. Данный модуль будет функционировать в рамках платформы наравне с хостовыми приманками и дополнять их.
Не существует единого стандарта функционирования современных решений класса DDP: каждый производитель закладывает своё видение и требования к собственной системе. Компания, имея уже достаточный опыт работы с технологиями удалённого управления различными активами на конечных устройствах, стремится к повышению их комплексной защиты. Кроме того, активно функционируя с разными инфраструктурами, Xello развивает легко масштабируемую сеть киберобмана на всех уровнях для детектирования инцидентов на ранних этапах.
Чтобы наглядно увидеть развитие платформы Xello Deception и её функциональные возможности, смотрите демонстрацию пятой версии по ссылке.
Если вы хотите бесплатно протестировать платформу прямо сейчас, отправьте заявку по ссылке.
Мы освещаем все самое важное и интересное в индустрии информационной безопасности