Описание
R‑Vision Threat Deception Platform
(TDP)
— это комплекс технологий цифровой имитации элементов ИТ-инфраструктуры для обнаружения злоумышленников, проникших в корпоративную сеть, замедления их продвижения внутри сети и предотвращения развития атаки на ранних этапах.
Автоматическое разворачивание ловушек
Платформа
R‑Vision TDP
позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра. Ловушка – это ресурс, представляющий интерес для злоумышленников.
R-Vision TDP
позволяет создавать ловушки различных типов, которые воссоздают широкий спектр систем в инфраструктуре организации:
- Рабочие станции/серверы Windows, Linux;
- Эмуляция сервисов SSH, SMB, FTP, RDP, HTTP(s), FTP;
- Промышленные контроллеры (Ловушки АСУ ТП);
- Ложные учетные записи в Active Directory.
Чтобы ловушки были привлекательными и более правдоподобными, их объединяют в группы взаимодействующих хостов, сервисов или приложений, совместная работа которых имитирует компьютерную сеть.
Генерация и расстановка приманок
Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки. Приманкой служит информация, которая представляет ценность для злоумышленника, проникнувшего в сеть:
- Конфигурационные файлы популярных утилит администрирования;
- Файлы с данными;
- Учетные записи пользователей;
- Сохраненные в браузерах учетные данные;
- Ключи SSH;
- Учетные данные для подключения к СУБД.
Оповещение об инциденте и реагирование
Ловушки и приманки предназначены исключительно для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, поэтому любое взаимодействие с ними с высокой вероятностью свидетельствует об инциденте.
R‑Vision TDP
собирает события при регистрации взаимодействия с эмулированными объектами инфраструктуры, осуществляет их обработку и направляет оповещение ИБ-специалисту.
Также платформа может передавать события и необходимый контекст во внешние системы, такие как
IRP/SOAR
,
SIEM
,
TIP
для реагирования и предотвращения развития атаки.
Интеграция с продуктами R-Vision
Для создания максимально реалистичных ловушек и приманок
R-Vision TDP
позволяет использовать данные об активах из систем
R-Vision SOAR
или
R-Vision SGRC
, с которыми настроена интеграция. Платформа
R-Vision TDP
детектирует взаимодействие как внешних, так и внутренних нарушителей с ловушками и направляет оповещения ИБ-специалисту.
Для расследования события могут быть направлены в систему
R-Vision SENSE
, что позволит автоматически построить таймлайны, отражающие взаимодействие с ловушками, предоставляя необходимый контекст аналитику SOC. Полученные инциденты можно передать в
R-Vision SOAR
и автоматизировать реагирование на них с помощью плейбуков.
Атрибуты и индикаторы компрометации, собранные
R-Vision TDP
в результате анализа действий злоумышленника, могут автоматически передаваться в платформу анализа информации об угрозах
R-Vision TIP
. Платформа R-Vision TIP, в свою очередь, позволит обогатить эти данные, выявить взаимосвязи с другими доступными данными TI, настроить автоматический мониторинг в событиях SIEM и экспорт индикаторов компрометации на средства защиты для блокировки.
Если вы обнаружили ошибку, пожалуйста, уведомите нас — выделите текст с ошибкой и нажмите клавиши Ctrl+Enter. Отключите блокировщик рекламы, если после нажатия комбинации кнопок не срабатывает всплывающее окно.
