Xello (Кселло) — команда, которая занимается развитием первой российской платформы для предотвращения целенаправленных атак с помощью технологии киберобмана (Deception).
Xello Deception помогает выявлять нелегитимные действия злоумышленника в корпоративной сети и прерывать цепочку атаки. Это возможно благодаря созданию слоя из ложных активов, состоящего из ловушек и приманок. Приманками являются конфигурационные файлы, учетные записи, сохраненные пароли в памяти ОС или браузерах и другие элементы, которые раскладываются на реальных хостах пользователей. Ловушки представляют собой FullOS Trap-серверы, которые способны эмулировать ресурсы ИТ-инфраструктуры компании (ОС, базы данных, приложения и другие).
- Предотвращение целенаправленных атак (APT). Xello Deception за счет грамотно распределенных приманок (на хостах пользователей, в LDAP и DNS-зонах) и ловушек выявляет нелегитимные действия злоумышленник при взаимодействии с ними.
- Ускорение процесса реагирования на инциденты безопасности. Xello Deception выявляет только реальные инциденты безопасности благодаря приманкам и ловушкам, которые являются невидимыми для авторизованных пользователей и направлены исключительно на злоумышленника. При взаимодействии с ними создается уведомление, которое с высокой долей вероятностью будет считаться инцидентом безопасности, а не ложным срабатыванием.
- Сокращение времени разбора инцидентов безопасности. Сбор и хранение форензики в платформе Xello Deception при возникновении инцидента помогает сформировать корреляцию между разрозненными событиями, например, как тот или иной файл связан с сервером управления и т.д.
- Повышение эффективности существующих систем защиты. Открытий API позволяет интегрироваться с существующими системами защиты. Это повышает их эффективность за счет обогащения дополнительным контекстом либо автоматизирует процессы информационной безопасности (например, реагирование на киберинциденты).
- Снижение нагрузки на аналитиков SOC (Security Operation Center). Xello Deception сокращает количество ложных срабатываний за счет добавления в корреляцию высокодоверенного индикатора компрометации информационных активов.