Главная - Новости - Обзор Xello Deception 5.0

Обзор Xello Deception 5.0

18 октября состоялся релиз Xello Deсеption 5.0. Какие новые функциональные и технологические возможности появились в пятой версии, читайте в обзоре.

18 октября вышла пятая версия платформы Xello Deception, которая обеспечивает кибербезопасность бизнеса от целенаправленных атак. Система относится к классу решений Distributed Deception Platform (далее — DDP). Она позволяет выявлять сложные киберугрозы на ранних стадиях благодаря распределённым приманкам и ловушкам по всей сети компании. Эти два компонента создают взаимосвязанную сеть, направленную на обман и перенаправление хакера в изолированную ложную инфраструктуру. Это, в свою очередь, дает время специалистам по информационной безопасности детектировать угрозу до момента нанесения ущерба.

Ловушки обычно представляют собой серверы, которые способны имитировать реальные элементы ИТ-инфраструктуры (приложения, базы данных, операционные системы и другие). Их можно разделить на низкоинтерактивные, среднеинтерактивные (предоставляют злоумышленнику ограниченный доступ к операционной системе без возможности взаимодействия с ними, могут генерировать реалистичный сетевой трафик) и высокоинтерактивные (идентичны корпоративным системам и приложениям, способны запускать реальные операционные системы (FullOS), службы с фиктивными данными, которые позволяют злоумышленнику войти в систему и выполнить запросы). Но без приманок они бесполезны, поскольку вероятность того, что хакер наткнется на сервер-ловушку просто так, очень мала.

Приманками являются наиболее привлекательные ложные данные для хакеров (учётные записи, сохранённые пароли в памяти OC или браузерах, конфигурационные файлы и т.д.), которые раскладываются на реальные хосты пользователей, а также в LDAP, DNS и другие службы и протоколы. Именно эти данные с большой долей вероятности будут использоваться при развитии атаки. Так, например, согласно данным анализа поведения семейств вредоносного ПО Лаборатории Касперского, наиболее популярным методом получения первичного доступа к инфраструктуре является компрометация протокола Remote Desktop Protocol (RDP). Доступ к нему удаётся получить благодаря использованию действительных учётных записей, их брутфорсу или перебору украденных.

Схема работы приманок и ловушек в Xello Deception

Любая попытка использования приманок или ловушек с высокой долей вероятности будет считаться инцидентом безопасности, поскольку они невидимы для авторизованных пользователей и направлены на злоумышленника.

Управление ими производится из веб-интерфейса, в котором также можно работать с киберинцидентами, отслеживать работоспособность системы, настраивать политику защиты, интегрироваться с системами кибербезопасности.

Что нового?

За три года существования Xello Deception командой было протестировано множество сценариев использования, собрана обратная связь от пользователей и накоплен опыт работы с различными инфраструктурами. Чтобы грамотно интегрировать все это в продукт, в новой версии сделан упор на три составляющие:

  • Встраиваемость — гибкая интеграция с внешними сервисами и внутренней инфраструктурой.
  • Инциденты — дополнительные возможности работы с киберинцидентами. 
  • Юзабилити — удобный интерфейс.

Встраиваемость

Эффективность решения зависит от того, насколько реалистичный ложный слой будет создан. Это невозможно без интеграции с внутренней инфраструктурой компании и анализа её особенностей. В Xello Deception 5.0 реализована удобная интеграция с LDAP-серверами, DNS-зонами и источниками событий из веб-интерефейса. Решение способно в автоматическом режиме подтягивать из инфраструктуры новые серверы для анализа и дальнейшего создания ложных данных и активов.

Платформа также поддерживает большое количество хранилищ для приманок. Чтобы генерировать максимально реалистичные приманки для каждого хоста, АРМа или сервера, необходимо иметь удобный механизм управления типами приманок. Все типы разбиты на категории, дифференцирующие область использования программного обеспечения, к которому относится приманка. Оператор системы может присваивать хостам как целиком категории, так и отдельные типы приманок для более точечного покрытия.

Также крайне важно, чтобы ложный слой данных постоянно обновлялся и изменялся, т.е. был динамичным (только так злоумышленники не смогут их отличить от реальных активов). В платформе реализован механизм ранжирования приманок на хостах: меняются приманки, профили, которые ими покрываются, а также применяются различные механики управления для разного типа хостов.

Распространение приманок происходит с помощью различных протоколов удалённого взаимодействия — PsExec, PaExec, WinRm, WMI, SSH и систем управления программным обеспечением — Ansible, Puppet и SCCM (заменен продуктом Microsoft Endpoint Manager). Для гибкой конфигурации механизма распространения и адаптации под специфичную инфраструктуры в веб-интерфейс вынесены всевозможные настройки.

Открытый API позволяет получать инциденты из внешних систем. Например, если в компании уже используются собственные или OpenSource сервисы-ловушки, то при интеграции Xello Deception будет работать с ними, как с собственными (каждое событие будет проходить весь процесс обработки внутри платформы). Также благодаря открытому API платформу можно интегрировать с внутренними системами мониторинга (для отправки всех получаемых инцидентов) или любыми другими средствами защиты (NAC, NGFW, Sandbox и другими). В пятой версии улучшен механизм выдачи API-токена и реализовано гибкое управление выданными ключами.

Еще одно нововведение: открыт Swagger — инструмент, который позволяет создавать и визуализировать описание API на основе стандарта OpenAPI. Теперь из веб-интерфейса Xello Deception можно смотреть и тестировать интеграции через API.

Swagger

Реализован мониторинг работоспособности системы, который можно интегрировать с такими системами, как Zabbix или Nagios.

Работа с инцидентами

Все инциденты списком отображаются в единой вкладке, где видна общая информация. Для удобной работы с ними (их просмотра, управления, закрытия, открытия и поиска) был переработан механизм фильтров: оператор системы остаётся всегда в их контексте, выполняя операции с несколькими активностями (не нужно открывать отдельное окно или скроллить).

Помимо этого, в новой версии реализовано отображение событий внутри инцидента в виде таймлайна. Это позволяет увидеть последовательность действий злоумышленника в хронологическом порядке и его взаимодействие со всеми ловушками и приманками.

Чтобы избавиться от фонового шума, добавлена возможность создания исключений, с помощью которых можно закрыть все инциденты, подпадающие под них.

В новой версии появилась карта с тактиками по модели MITRE ATT&CK, где отображается каждый инцидент. Это помогает оператору системы понять, на какой стадии находится злоумышленник и узнать о применяемых техниках и тактиках.

Другая важная функциональность при работе с киберинцидентами — сбор и хранение форензики с защищаемы хостов (Linux, MacOS, Windows). Криминалистические данные, получаемые от Xello Deception, можно выгружать для работы с ними вручную или настроить отправку во внешние системы по протоколу Syslog (RFC5424/5425) в форматах CEF или JSON.

Модуль Credential Defender

В рамках платформы Xello Deception активно развивается модуль для повышения цифровой гигиены в организациях — Credential Defender, который позволяет очищать закэшированные учётные записи на конечных устройств.

Злоумышленник, попадая на хост, первым делом пытается собрать данные для развития атаки (например, сохранённые учётные записи в браузерах). За счёт их удаления уменьшается поверхность атаки и замедляется движение злоумышленника в сети.

Схема работы модуля Credential Defender

Данный модуль можно отнести к классу решений  Identity Risk Management. В синергии с техниками киберобмана платформа Xello Deception позволяет повысить защиту конечных устройств.

Roadmap: модуль эмуляции сетевых устройств

Также сейчас идет разработка модуля, который позволит эмулировать большое количество типов устройств на нескольких уровнях.

  • Уровень стека (Stack level) — эмуляция TCP/IP стека.
  • Уровень протоколов (Protocol level) — эмуляция различных протоколов (DNS, HTTPS, SMTP).
  • Прикладной уровень (Application level) — эмуляция различных веб-сервисов и приложений.
  • Физический уровень (Hardware level) — эмуляция серийных интерфейсов или протоколов коммуникации на физическом уровне. 

Комплексный подход, к которому стремится команда разработчиков, позволит работать платформе Xello Deception с самых верхних уровней эмуляции до прикладного. Данный модуль будет функционировать в рамках платформы наравне с хостовыми приманками и дополнять их.

Заключение

Не существует единого стандарта функционирования современных решений класса DDP: каждый производитель закладывает своё видение и требования к собственной системе. Компания, имея уже достаточный опыт работы с технологиями удалённого управления различными активами на конечных устройствах, стремится к повышению их комплексной защиты. Кроме того, активно функционируя с разными инфраструктурами, Xello развивает легко масштабируемую сеть киберобмана на всех уровнях для детектирования инцидентов на ранних этапах.

Чтобы наглядно увидеть развитие платформы Xello Deception и её функциональные возможности, смотрите демонстрацию пятой версии по ссылке.

Если вы хотите бесплатно протестировать платформу прямо сейчас, отправьте заявку по ссылке.

Запись онлайн-релиза

Следите за новостями Xello

Мы освещаем все самое важное и интересное в индустрии информационной безопасности

Смотреть все новости
Подтвердили соответствие требованиям стандарта ИСО 9001-2015
Xello подтвердила соответствие требованиям стандарта ИСО 9001-2015
Компания Xello успешно прошла аудит системы менеджмента качества на соответствие требованиям стандарта ГОСТ Р ИСО 9001-2015 в области разработки, производства, реализации и технической поддержки программного обеспечения.
Читать больше
Обзор наиболее эффективных OpenSource-ловушек
Обзор наиболее эффективных OpenSource-ловушек и фреймворков по их мониторингу и управлению
Концепция обмана хакеров в информационной безопасности начала своё развития ещё в 90-x годах с ловушек (honeypots, ханипотов). Это заведомо уязвимые и ложные информационные активы, которые устанавливаются, как правило, за периметром на отдельном сервере. Их основная задача — привлечь злоумышленника и изучить его действия.
Читать больше
Сертификация в Республики Беларусь
Xello Deception получила сертификат соответствия стандартам информационной безопасности Республики Беларусь
Сертификат соответствия (ТР 2013/027/BY) на программный продукт для защиты бизнеса от целевых кибератак Xello Deception выдан Оперативно-аналитическим центром при Президенте Республики Беларусь (ОАЦ) на основании испытаний, проведённых испытательной лабораторией ООО «Секьюрити Лаб». Таким образом, платформу Xello Deception могут использовать как белорусские коммерческие организации различных секторов экономики, так и государственные учреждения.
Читать больше
Эксперты Xello на SOC-Forum поделятся исследованием Open Source-ловушек и фреймворков по их мониторингу и управлению
Эксперты Xello на SOC-Forum поделятся исследованием Open Source-ловушек и фреймворков по их мониторингу и управлению
Xello, разработчик первой российской платформы киберобмана — бизнес-партнёр SOC-Forum 2023. На конференции эксперты компании поделятся своим исследованием проектов ловушек с открытым исходным кодом.
Читать больше

Закажите демонстрацию

Xello Deception

    Нажимая на кнопку “Заказать демо” вы принимаете условия
    политики конфиденциальности.

    Закажите демонстрацию

    Xello Deception

      Нажимая на кнопку “Заказать демо” вы принимаете условия
      политики конфиденциальности.

      Остались вопросы?

      Мы перезвоним Вам в ближайшее время,
      и ответим на все интересующие вопросы

        Нажимая на кнопку “Отправить” вы принимаете условия
        политики конфиденциальности.

        Получите брошюру

        Xello Deception

          Нажимая на кнопку “Отправить” вы принимаете условия
          политики конфиденциальности.

          Стать партнером Xello

          Мы перезвоним Вам в ближайшее время,
          и ответим на все интересующие вопросы

            Нажимая на кнопку “Отправить” вы принимаете условия
            политики конфиденциальности.
            Xello Deception

              Нажимая на кнопку “Отправить” вы принимаете условия
              политики конфиденциальности.