Компания R-Vision объявила о выходе коммерческого релиза продукта Threat Deception Platform (R-Vision TDP). Он относится к классу платформ для создания распределенной инфраструктуры ложных целей (Distributed Deception Platform, DDP), использующих техники активного обмана. Это позволяет обнаруживать вторжение злоумышленников и вводить их в заблуждение, искажая восприятие корпоративной сети при помощи ложных элементов.

Как отмечают в R-Vision, классические периметровые средства защиты и мониторинга в современных реалиях теряют эффективность: рано или поздно злоумышленники проникают в инфраструктуру организации и могут месяцами оставаться в ней незамеченными. Технологии Deception – один из последних эшелонов обороны, способных замедлить и выявить киберпреступника. С помощью набора взаимосвязанных друг с другом ловушек и приманок система позволяет ввести хакера в заблуждение, обнаружить его присутствие в корпоративной сети на ранних стадиях, а также предотвратить развитие атаки до нанесения существенного ущерба.

Система R-Vision TDP позволяет автоматически разворачивать сети ловушек и приманок из готовых шаблонов, а также на основе данных об инфраструктуре создавать ловушки и приманки, максимально похожие на специфические системы и ИТ-активы заказчика. Платформа может воспроизводить рабочие станции, устройства, приложения, сетевое оборудование, серверы, имитировать сетевое взаимодействие. Эти ловушки могут быть незаметно размещены в инфраструктуре организации, неотличимые от настоящих хостов. Любое взаимодействие с ловушками будет свидетельствовать об инциденте и создаст оповещение в системе.

Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки – ресурсы, потенциально представляющие интерес для злоумышленника (файлы конфигураций, история браузера, черновики, ключи SSH, файлы с паролями и другими данными). Ловушки и приманки могут быть сгенерированы на основе паттернов, принятых в организации. Например, при создании ложных учетных записей и генерации паролей будут использованы данные из службы каталогов.

Ловушки размещаются на отдельных серверах Trap Manager, в то время как управление платформой и всей эмулированной инфраструктурой происходит на сервере Control Center. Для инфраструктур крупных организаций задача масштабирования решается за счет добавления необходимого количества серверов Trap Manager.

Для реалистичности ловушек и приманок можно использовать данные об активах из систем R-Vision IRP (Incident Response Platform) или R-Vision SGRC (Security Governance, Risk Management and Compliance), с которыми настроена интеграция. Платформа R-Vision TDP детектирует взаимодействие как внешних, так и внутренних нарушителей с ловушками и направляет оповещения ИБ-специалисту. Для расследования эти события могут быть направлены в R-Vision SENSE, что позволит автоматически построить таймлайны по взаимодействию с ловушками, предоставляя необходимый контекст аналитику SOC. Полученные инциденты можно передать в R-Vision IRP и автоматизировать реагирование на них.

Кроме того, атрибуты и индикаторы компрометации, собранные R-Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу анализа информации об угрозах R-Vision TIP (Threat Intelligence Platform). Эта система, в свою очередь, позволит обогатить эти данные, выявить взаимосвязи с другими доступными данными TI, настроить автоматический мониторинг в событиях SIEM, а также экспортировать индикаторы компрометации на средства защиты для блокировки.

На сегодняшний день R-Vision, как комментируют в компании, уже провела ряд закрытых демонстраций платформы R-Vision TDP и на основе полученных отзывов запускает пилотные проекты.