Обзор рынка платформ для обмана злоумышленников (DDP) — 2023

Обзор рынка платформ для обмана злоумышленников (DDP) — 2023

Платформы для создания распределённой инфраструктуры ложных целей (Distributed Deception Platforms, DDP) помогают отвлечь злоумышленника от реальных информационных активов, обнаружить и нейтрализовать его деятельность. Рассмотрим, какие DDP представлены сегодня на российском и мировом рынках.

 

 

 

 

 

 

  1. Введение
  2. Эволюция и принцип работы DDP
  3. Мировой рынок DDP
  4. Российский рынок DDP
  5. Обзор отечественного рынка DDP
    1. 5.1. AVSOFT LOKI
    2. 5.2. R-Vision TDP
    3. 5.3. Xello Deception
    4. 5.4. «Гарда Deception»
  6. Обзор зарубежного рынка DDP
    1. 6.1. CYBERTRAP
    2. 6.2. FortiDeceptor
    3. 6.3. InsightIDR
    4. 6.4. Metallic ThreatWise
    5. 6.5. Singularity Hologram, Singularity Identity
  7. Выводы

Введение

В современных реалиях, когда киберпреступники с каждым годом атакуют всё больше компаний, а информацию о методах взлома можно свободно найти как в интернете, так и в книжных магазинах, вопрос организации защиты предприятий становится всё более острым. Если пару десятков лет назад для обеспечения кибербезопасности хватало классического антивируса, то сейчас для этого используются не только средства сетевой и хостовой защиты, но и ряд иных систем, помогающих выявлять злоумышленников за счёт анализа событий в сети: SIEM, NTA и др.

В число таких систем входят решения класса DDP, чьё назначение — создать ложную инфраструктуру, с которой будет взаимодействовать хакер. Задача DDP — не только задержать злоумышленника, отвлекая его внимание, но и просигнализировать офицеру информационной безопасности о проникновении внутрь периметра и начале вредоносной активности.

Инфраструктуры распределённых ложных целей помогают выявлять горизонтальные перемещения злоумышленников по сети, обеспечивать максимальное понимание происходящего и передавать специалистам детальную информацию для детектирования инцидента. Аналитикам не нужно тратить время на анализ данных, поскольку ложные активы видны только злоумышленнику. Также DDP позволяют автоматизировать некоторые процессы при реагировании: например, можно настроить автоматическую изоляцию хоста.

Внедрять рассматриваемые системы необходимо с учётом топологии сети и специфики каждого сегмента. Ниже изображён пример распределения ложных активов в инфраструктуре компании.

 

Рисунок 1. Пример реализации DDP в инфраструктуре компании

Пример реализации DDP в инфраструктуре компании

 

При развёртывании системы создаются приманки, которые будут содержать в себе фальшивые учётные записи с правами администратора в различных системах и службах — от Active Directory (AD) до браузеров. Также есть возможность индивидуализировать ловушки, которые будут имитировать информационные системы, где якобы обрабатываются конфиденциальные данные. Это позволит дезориентировать злоумышленника и выявить его действия, когда он попытается использовать ложные активы для развития атаки.

Тема применения DDP обсуждалась в эфирах AM Live в 2021 и 2023 годах. Согласно опросу зрителей AM Live, в 2021 г. только 17 % респондентов эксплуатировали системы подобного класса на своих предприятиях либо «пилотировали» их, в то время как 19 % вообще не знали о подобных решениях.

 

Рисунок 2. Осведомлённость о DDP в 2021 г. (Anti-Malware.ru)

Осведомлённость о DDP в 2021 г. (Anti-Malware.ru)

 

В 2023 г. опыт использования систем класса DDP изменился незначительно. 22 % внедрили подобные системы на своих предприятиях либо «пилотировали» подобные решения, в то время как 17 % вообще не слышали об инфраструктурах ложных целей до эфира AM Live.

 

Рисунок 3. Осведомлённость о DDP в 2023 г. (Anti-Malware.ru)

Осведомлённость о DDP в 2023 г. (Anti-Malware.ru)

 

Ранее мы выпускали обзор зарубежного и отечественного рынков DDP по состоянию на 2019 г. Рассмотрим, насколько изменился рынок платформ для создания инфраструктур ложных целей за это время и какие решения на нём представлены теперь.

Эволюция и принцип работы DDP

История инфраструктур ложных целей началась около 30 лет назад с создания так называемых ханипотов (приманок). К сети подключалась машина с запущенными службами, такими как FTP, Telnet, SMTP Debug и др., которые были интересны потенциальному злоумышленнику. При этом блокировался ряд критических функций, позволявших эксплуатировать уязвимости. Спустя некоторое время ханипоты эволюционировали в сети приманок (honeynet).

В 2003 году появились новые сущности из области обмана злоумышленников: приманки в виде артефактов (honeytokens), имитаторы клиентских приложений (honeyclients) и серверные службы для блокировки и задержки входящих подключений, например, при сканировании портов (tarpit).

Приманки в виде артефактов — это поддельные учётные записи, базы данных, сертификаты, ключи AWS и т. д. Факт их использования сигнализирует о проникновении злоумышленника в сеть, что позволяет принять оперативные меры по реагированию.

К сожалению, вышеописанные технологии создавали возможность эксплуатации уязвимостей в ловушках во вред реальной инфраструктуре предприятия. Кроме того, их недостатком была сложность развёртывания ловушек, требовавшая значительных трудовых ресурсов для поддержки. В связи с этим в конце 2010-х годов появилась технология «распределённого обмана» (distributed deception), сочетавшая в себе вышеперечисленные компоненты, но имевшая возможность централизованного управления ими. Теперь для злоумышленников готовится целая инфраструктура, состоящая из разного рода серверов (контроллеры домена, почтовые, файловые серверы и т. д.), рабочих станций пользователей на различных ОС (macOS, Windows и т. д.), разнообразных сертификатов, паролей, RDP-сессий, скриптов, идентификационных файлов (cookie) и других.

Рассмотрим принцип работы DDP на примере процесса проникновения хакеров в инфраструктуру.

 

Рисунок 4. Работа DDP на примере цепочки угроз

Работа DDP на примере цепочки угроз

 

Первым действием при проникновении злоумышленников в сеть является внешняя разведка: собирается информация об используемых доменах, публичных сервисах на периметре, принципах именования учётных записей и др. При глубокой разведке осуществляется попытка перехватить трафик с целью поиска хешей учётных записей и иной ценной для хакера информации, которую можно использовать для дальнейшего взлома. На этапе разведки DDP предоставляет ложные доменные имена опубликованных активов, версии ОС, открытые порты, учётные записи, хеши и т. д.

После разведки следует стадия «вооружения». Distributed Deception Platform предоставляет ложную информацию об используемых в компании сервисах, в результате чего взломщик неверно разрабатывает стратегию, векторы и инструменты осуществления атак.

Определив векторы атаки, хакер пытается внедрить своё программное обеспечение для проникновения в инфраструктуру. DDP выявляет подобные действия и в дальнейшем может помочь при расследовании. При интеграции инфраструктуры ложных целей с песочницами неизвестные и подозрительные файлы отправляются на анализ с целью принятия решения о последующих шагах: блокировка или создание иллюзии того, что доставка прошла успешно.

Эксплуатация уязвимостей осуществляется с целью доставки вредоносной нагрузки в целевую систему. На этом этапе DDP также может быть источником ложной информации для злоумышленника. Например, при обнаружении подозрительного трафика IPS может перенаправлять его в инфраструктуру ложных целей, которая после обработки сообщит о якобы успешной попытке эксплуатации.

На этапе закрепления доставленный в целевую систему вредоносный код запускается. При этом задача DDP — ввести злоумышленников в заблуждение, создав видимость успешной инсталляции (например, подтвердив создание файлов, которые на самом деле не созданы) и тем самым предотвратив повторную попытку установки.

Следующим шагом является поступление команд от управляющего центра. Заражённые хосты пытаются установить связь с командными центрами для получения указаний о дальнейших действиях. DDP определяет внутренние источники обращений к центрам управления. Как итог, ещё один этап атаки оказывается сорванным.

На этапе действия вредоносный код организовывает утечку данных или выводит из строя целевую систему. DDP на этом этапе может предоставить ложные сведения (учётные записи, базы данных и т. д.) для затягивания атаки и дальнейшего исследования действий злоумышленника.

Таким образом, основной задачей распределённой инфраструктуры ложных целей является обман хакера на каждом этапе его работы, начиная со внешней разведки и заканчивая собственно действием, ради которого произошло проникновение.

Преимуществами DDP являются более высокий уровень безопасности при эксплуатации системы по сравнению с ханипотами, меньшее количество ложных срабатываний по сравнению с традиционными СЗИ и возможность размещения инфраструктуры ложных целей там, где установка агентов защитных решений не всегда возможна — например, в промышленных системах, сетях банкоматов, системах класса IoT и других. Инфраструктура ложных целей может быть реализована как агентное или безагентное решение.

Мировой рынок DDP

Несмотря на относительную новизну, рынок технологий обмана активно развивается. По имеющимся оценкам, объём рынка в 2020 г. составлял 1,9 млрд долларов США, а к 2026 г. он достигнет размера в 4,2 млрд долларов. Ожидается, что основными источниками роста станут США со среднегодовым увеличением на 15,7 %, Канада (13,4 %), Япония (12,2 %), Китай (15,5 %) и Германия (13,3 %).

 

Рисунок 5. Прогноз по росту рынка обманных технологий

Прогноз по росту рынка обманных технологий

 

Среди причин интереса к DDP называют распространение новых технологий, таких как IoT, рост количества и сложности целенаправленных атак, а также изменение ландшафта угроз информационной безопасности после увеличения доли сотрудников работающих удалённо.

На рынке платформ для создания распределённой инфраструктуры ложных целей представлены как узкоспециализированные вендоры, такие как Acalvio Technologies, CounterCraft SL, CYBERTRAP, так и большие корпорации, занимающиеся решениями по информационной безопасности разных направлений: Fortinet, Rapid7. Кроме того, ряд платформ представлены в качестве проектов с открытым исходным кодом: Tpotce, Cowrie, Weird_proxies, Ehoney, Honeylambda.

Ряд вендоров, которые начали свою деятельность как стартапы, были выкуплены большими компаниями, и их решения стали частью комплексных продуктов. Примером такого поглощения стала компания Attivo Networks, выкупленная SentinelOne.

Российский рынок DDP

Российский рынок платформ для создания распределённой инфраструктуры ложных целей активно развивается. Если в начале 2019 г. отечественных решений класса DDP ещё не было, то к 2024 г. на рынок вышли четыре такие системы: от компаний «АВ Софт», «Гарда Технологии», R-Vision и Xello.

Развитие рынка объясняется несколькими факторами: необходимостью замещения зарубежных решений отечественными аналогами, повышением агрессивного фона вокруг российских предприятий, развитием уровня информационной безопасности в компаниях и необходимостью поддержки местной специфики, заключающейся в распространении отечественных операционных систем и оборудования, которые необходимо имитировать при внедрении DDP.

Отметим тенденцию, в соответствии с которой разрабатываемые DDP являются частью экосистем. Так, R-Vision TDP входит в состав R-Vision EVO, а AVSOFT LOKI бесшовно интегрируется с другими решениями компании «АВ Софт». Впрочем, при наличии API и готовых коннекторов возможна интеграция и с решениями других вендоров.

В 2020 г. совокупный объём сектора защиты инфраструктуры российского рынка информационной безопасности, куда входят и решения класса DDP, оценивался нами в 68,7 млрд рублей и к 2023 г. может увеличиться в разы за счёт ухода западных производителей. С другой стороны, многие компании сейчас сосредоточены прежде всего на замещении других средств защиты информации: межсетевых экранов, сканеров уязвимостей и т. д., оставляя решения типа DDP на потом.

Обзор отечественного рынка DDP

AVSOFT LOKI

Платформа AVSOFT LOKI разработана компанией «АВ Софт», работающей на рынке информационной безопасности с 2010 г. Релиз платформы состоялся в 2020 г. AVSOFT LOKI входит в реестр отечественного ПО.

Платформа представляет собой систему сенсоров, которые располагаются в подсетях организации и определяют типы активных устройств в сети путём сканирования. Далее система в автоматическом режиме подбирает ловушки, которые располагаются рядом с реальными сервисами организации, ожидая подключения злоумышленника. Кроме ловушек LOKI имеет ещё приманки на рабочих местах пользователей; они представляют собой значимые для атакующего артефакты, такие как учётные данные, сессии посещения и др. Также система даёт клиентам возможность создавать собственные ловушки и приманки. Каталог ловушек включает в себя не только серверы и рабочие станции, но и IoT, IIoT, станки, IP-видеокамеры, медицинское оборудование, телефоны и SCADA-системы. Среди поддерживаемых протоколов — Modbus TCP, OPC UA, IEC 616850 MMS, S7Comm.

 

Рисунок 6. Схема работы AVSOFT LOKI

Схема работы AVSOFT LOKI

 

Процесс внедрения платформы состоит из трёх этапов. Сначала производится сканирование существующей инфраструктуры, затем следует развёртывание ловушек, а на последнем этапе выполняется установка приманок (ложных учётных записей, сертификатов и т. д.). При наличии признаков атаки AVSOFT LOKI оповещает службу безопасности и начинает собирать данные об атакующем: IP-адрес, команды, артефакты, загруженные файлы и др. Собранная информация консолидируется в отчёте, а также может быть передана в песочницу для сборки и более детального исследования атаки. События из LOKI передаются в SIEM-системы по протоколу Syslog.

Платформа интегрируется с системами безопасности типа SIEM или SOAR, а также с комплексом противодействия целенаправленным атакам AVSOFT ATHENA, включающим в себя мультисканер и песочницу.

Особенности:

  • возможность размещения ловушек на физических серверах;
  • маскировка ловушек и приманок;
  • многообразие типов имитируемых активов;
  • создание собственных ловушек и приманок.

С обзором продукта на нашем сайте можно ознакомиться здесь.

Узнать больше о продукте можно здесь.

 

 

R-Vision TDP

R-Vision — отечественная компания, разрабатывающая системы безопасности с 2011 г. Первый релиз R-Vision TDP (Threat Deception Platform) состоялся в 2021 г. На данный момент актуальна версия R-Vision TDP 2.0, вышедшая в декабре 2022 г. R-Vision TDP входит в реестр отечественного ПО.

Платформа позволяет создавать ловушки различных типов: рабочие станции на базе ОС Windows и Linux, сервисы SSH, SMB, FTP, RDP, HTTP(s), промышленные контроллеры и ложные учётные записи Active Directory. Помимо готовых шаблонов, доступных «из коробки», возможна индивидуализация ловушек под специфические потребности конкретной организации. Приманками в системе служат конфигурационные файлы популярных утилит администрирования, ключи SSH, учётные данные для подключения к СУБД и другие артефакты. Расстановка приманок в инфраструктуре организации происходит автоматизированно.

 

Рисунок 7. Схема организации ложной инфраструктуры на базе R-Vision TDP

Схема организации ложной инфраструктуры на базе R-Vision TDP

 

Для автоматической генерации ловушек предусмотрена функция, с помощью которой можно настроить наполнение учётных записей и именование рабочих станций в соответствии с корпоративной политикой.

R-Vision TDP входит в экосистему R-Vision EVO, но может функционировать и независимо от неё. R-Vision TDP интегрируется со внешними системами классов IRP / SOAR, SIEM, TIP для реагирования и предотвращения развития атаки.

Особенности:

  • реалистичность: уникальные IP- и MAC-адреса у каждой ловушки;
  • поддержка отечественных ОС: сервер управления работает на Astra Linux и RedOS;
  • наличие ловушек для АСУ ТП (промышленные контроллеры);
  • безагентное и агентное размещение приманок;
  • естественная интеграция с продуктами экосистемы R-Vision EVO.

Узнать больше о продукте можно здесь.

Xello Deception

Xello — разработчик первой российской платформы для предотвращения целенаправленных атак с помощью технологии киберобмана (Deception). Выпуск продукта состоялся в 2019 году. Система входит в реестр отечественного ПО.

Xello Deception помогает выявлять нелегитимные действия злоумышленника после его проникновения в сеть и прерывать цепочку атаки. Это возможно благодаря созданию слоя взаимосвязанных ложных активов по всей сети компании — например, учётных записей, паролей в памяти ОС или в браузерах, SSH-ключей в хранилищах, различных сервисов и приложений, а также ложных сетевых, пользовательских и серверных устройств, промышленного оборудования и др. Управление и конфигурирование возможны из единого веб-интерфейса.

 

Рисунок 8. Схема работы приманок и ловушек в Xello Deception

Схема работы приманок и ловушек в Xello Deception

 

Система адаптивна и генерирует ложные активы по итогам анализа инфраструктуры заказчика. При разворачивании платформа не требует интеграции с ядром сети, а приманки на хостах управляются безагентным способом. Платформа поддерживает инфраструктуру виртуальных рабочих мест (VDI) и терминальных серверов, что стало особенно актуальным после перехода на удалённый формат работы в результате пандемии COVID-19.

Интеграция в инфраструктуру заказчика длится от нескольких дней до двух недель.

Особенности:

  • поддержка операционных систем Astra Linux, Windows, macOS;
  • открытый API;
  • неагентский способ распространения приманок;
  • поддержка технологии виртуальных рабочих столов.

С обзором продукта версии 4.2.0 на нашем сайте можно ознакомиться здесь. С информацией о выходе версии 5.0 можно ознакомиться здесь.

Узнать больше о продукте можно здесь.

 

 

«Гарда Deception»

«Гарда Технологии» — российский разработчик систем информационной безопасности и высокоскоростной обработки трафика (входит в группу компаний «Гарда», которая объединяет производителей семейства продуктов для защиты данных и сетевой инфраструктуры).

Платформа «Гарда Deception» имитирует ИТ-инфраструктуру предприятия для обнаружения атак злоумышленников и замедления их продвижения внутрь защищаемого периметра. Выявление и категоризация атак на ранней стадии позволяют останавливать преступников до нанесения значимого ущерба.

 

Рисунок 9. Интерфейс «Гарда Deception»

Интерфейс «Гарда Deception»

 

После внедрения «Гарда Deception» сетевая инфраструктура организации делится на два слоя: реальный и фиктивный. Последний создаётся таким образом, чтобы привлечь максимум внимания злоумышленника, отвлекая от истинных и уязвимых объектов сети. Система «Гарда Deception» способна эмулировать различные типы устройств: АРМ, серверы с ОС Windows и Linux, активное сетевое оборудование, IoT, периферию, оборудование IP-телефонии, видеонаблюдение. Для удобства пользователей предусмотрена индивидуализация ловушек HTTP / HTTPS.

Особенности:

  • генерация индивидуальных данных с учётом характерных признаков компании;
  • имитация взаимодействия с ловушками;
  • адаптированность под российский рынок;
  • русскоговорящая техподдержка 24×7;
  • входит в реестр отечественного ПО.

Обзор продукта версии 1.7.0 доступен здесь.

Подробнее с продуктом можно ознакомиться здесь.

Обзор зарубежного рынка DDP

 

 

CYBERTRAP

CYBERTRAP — австрийская компания, основанная в 2015 г. и специализирующаяся на инфраструктурах ложных целей.

CYBERTRAP предлагает несколько вариантов обмана злоумышленников. Первый — имитация хостов. Как только платформа обнаруживает попытки взлома, хакер перенаправляется в развёрнутую сеть ловушек. Вторая реализация концепции ложных целей CYBERTRAP — поддельный справочник Active Directory, предоставляющий хакерам ложные учётные данные и перенаправляющий их на ложную инфраструктуру при попытках использования таких реквизитов. Ещё один вариант — поддельные веб-приложения, имеющие приманки в исходном коде.

 

Рисунок 10. Панель управления CYBERTRAP

Панель управления CYBERTRAP

 

Реализация CYBERTRAP в инфраструктуре заказчика возможна по трём моделям. В облачной модели на стороне клиента размещается только часть приманок, а вся инфраструктура ложных целей находится у поставщика услуги, с которым организован VPN-канал. При попытке использования приманки атакующий перенаправляется на сторону провайдера. Есть также локальная схема, когда инфраструктура ложных целей и все её элементы расположены на стороне заказчика, и гибридная, где приманки и серверы расположены у клиента, а реагирование осуществляет провайдер.

CYBERTRAP предлагает три политики лицензирования: для поставщиков услуг информационной безопасности (MSSP), для организаций малого и среднего бизнеса, для крупных организаций.

Особенности:

  • гибкая политика лицензирования;
  • вариативность реализации инфраструктуры ложных целей.

На текущий момент компания не осуществляет деятельности на территории Российской Федерации.

Узнать больше о продукте можно здесь.

 

 

FortiDeceptor

Первый релиз FortiDeceptor был выпущен компанией Fortinet в 2018 году. Актуальная версия FortiDeceptor — 5.0.

FortiDeceptor представляет собой аппаратный комплекс или виртуальную машину, которые могут быть размещены как в корпоративной сети, так и в облаке. Среди особенностей производитель подчеркивает простоту развёртывания и улучшенную систему безопасности благодаря интеграции с VirusTotal, FortiSandbox и другими решениями Fortinet.

 

Рисунок 11. Панель дашбордов FortiDeceptor

Панель дашбордов FortiDeceptor

 

В последних релизах FortiDeceptor вендор активно развивает направление защиты производственных систем. Платформа имитирует популярные контроллеры, такие как SIEMENS S7-1500 или Phoenix Contact AXC 1050, SCADA-системы и соотносит признаки атак с матрицей MITRE ATT&CK для промышленных систем.

Также платформа поддерживает принтеры, IP-камеры, источники бесперебойного питания, компоненты SAP, медицинские сервисы и многое другое.

Особенности:

  • широкий спектр имитируемых систем;
  • интеграция со внешними системами и экосистемой Fortinet;
  • анализ действий злоумышленников в соответствии с матрицей MITRE ATT&CK для промышленных систем.

На текущий момент компания не осуществляет деятельности на территории Российской Федерации.

Больше о продукте можно узнать на сайте разработчика.

InsightIDR

InsightIDR представляет собой комплексное решение, сочетающее в себе системы классов SIEM и XDR. Инфраструктура ложных целей в InsightIDR воплощает собой прогнозы относительно будущей синергии технологий XDR и Deception.

Совместная работа этих систем позволяет усилить защиту, построенную на предприятии. В случае если XDR не замечает угрозу, возникшую в инфраструктуре, Deception отвлекает злоумышленника, направляя его по ложному пути и сигнализируя о следах его деятельности в SIEM.

 

Рисунок 12. Панель InsightIDR

Панель InsightIDR

 

В InsightIDR есть четыре типа ловушек для злоумышленников: поддельные хосты, пользователи, учётные данные и файлы. Все типы ловушек построены исходя из экспертизы вендора относительно поведения хакеров при совершении атак на предприятие.

InsightIDR позволяет выявить такие техники, как кража учётных данных, боковое продвижение, атаки на системы каталогов, «внедрённый посредник» (MitM), несанкционированный доступ к конфиденциальным данным и другие.

Особенности:

  • комплексное решение, включающее в себя SIEM и XDR;
  • разнообразные типы ловушек.

На текущий момент компания не осуществляет деятельности на территории Российской Федерации.

Узнать больше о продукте можно здесь.

 

 

Metallic ThreatWise

В начале 2022 г. компания Commvault выкупила израильское решение класса DDP TrapX Deception Grid, ставшее в 2018 г. лидером в своём классе. После покупки продукт получил название Metallic ThreatWise.

При внедрении Metallic ThreatWise упор делается на несколько особенностей. Одна из них — защита данных: система содержит в себе решения для резервного копирования и восстановления. Если обнаружены признаки активности злоумышленников в инфраструктуре, обеспечивается резервирование критически значимых данных.

 

Рисунок 13. Панель управления Metallic ThreatWise

Панель управления Metallic ThreatWise

 

Следующая особенность системы заключается в использовании сенсоров вместо традиционных приманок, что позволяет не только сэкономить ресурсы при развёртывании, но и масштабировать ложные цели по всей инфраструктуре в количестве от нескольких десятков до нескольких тысяч. Масштабирование сенсоров, имитирующих абсолютно разные активы (виртуальные машины, базы данных, контейнеры и т. д.), происходит за короткое время, охватывая всю площадь атаки.

Ещё одна особенность системы — высокая точность определения атак на инфраструктуру. Сенсоры настраиваются в локальных и облачных средах.

Особенности:

  • использование сенсоров, позволяющее экономить ресурсы;
  • поддержка нескольких тысяч сенсоров в инфраструктуре;
  • возможность настройки сенсоров как в локальных средах, так и в облачных.

На текущий момент компания не осуществляет деятельности на территории Российской Федерации.

Больше о продукте можно узнать на сайте разработчика.

 

 

Singularity Hologram, Singularity Identity

Ещё один из лидеров класса решений DDP, Attivo Networks ThreatDefend Platform, был выкуплен в марте 2022 г. компанией SentinelOne с целью дальнейшего включения в платформу Singularity XDR. В экосистеме SentinelOne платформа для создания инфраструктуры ложных целей была разделена на два продукта: Singularity Identity и Singularity Hologram.

Singularity Hologram имитирует инфраструктуру, содержащую ОС на базе Windows и Linux, промышленные контроллеры и SCADA-системы, устройства класса IoT, облачные функции, SWIFT-терминалы, POS-системы, сетевые устройства и многие другие. Система визуализирует атаки и их развитие, а также сопоставляет события с матрицей MITRE D3FEND.

 

Рисунок 14. Панель Singularity Identity

Панель Singularity Identity

 

Singularity Identity обеспечивает защиту Active Directory и Azure AD за счёт закрытия уязвимостей в этих системах и размещения в сети ложных учётных записей. Продукт обнаруживает события использования поддельных аккаунтов и выявляет попытки бокового перемещения по инфраструктуре.

Интеграция Singularity Hologram и Singularity Identity с Singularity XDR позволяет оперативно предотвратить риски в информационной безопасности и заблокировать атакующих. Singularity Hologram использует развёртывание на основе машинного обучения для масштабирования приманок.

Особенности:

  • широкий спектр имитируемых систем;
  • анализ действий злоумышленников в соответствии с матрицами MITRE;
  • комплексное решение для защиты Active Directory и Azure AD.

На текущий момент компания не осуществляет деятельности на территории Российской Федерации.

Узнать больше о продукте можно здесь.

Выводы

В современных реалиях системы класса DDP должны не только выполнять те функции, ради которых они разработаны, но и интегрироваться с решениями классов SIEM, EDR, NDR, XDR и другими. Более того, по прогнозам, в течение нескольких лет DDP станут частью XDR, примером чего является InsightIDR. Это позволит превентивно блокировать IP-адреса злоумышленников и командных центров, определять сигнатуры программ, используемых для взлома.

Особенно перспективной кажется интеграция DDP с технологиями искусственного интеллекта. Обучение ИИ на примере реальных атак против ложной инфраструктуры может привести к разработке абсолютно новых методов защиты от атакующих путём составления базы знаний о различных комбинациях действий с их стороны.

Что касается российских решений, им предстоит пройти немалый путь для того, чтобы догнать западные технологии как в плане разнообразия имитируемых платформ, так и в плане интеграций с продуктами разных вендоров.

Коллектив редакции Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала Инне Нагимовой, директору по маркетингу компании Xello, и её коллегам.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru