Путать киберпреступников с призрачными сетями
Мы создали призрачные сети три года назад, решив решить проблему целенаправленных атак. Мы знали, что были чрезвычайно изощренные атаки, наносящие ущерб некоторым крупнейшим организациям в мире..
Отсутствие средств для обнаружения и пресечения продвинутых постоянных угроз (APT) со стороны злоумышленников и искушенных киберпреступников является одной из наиболее серьезных проблем, стоящих перед лидерами бизнеса и кибер-сообществом..
Я провел много лет, работая в Check Point. Несколько лет назад Team8 привлек меня к решению этой проблемы..
После нескольких месяцев мозгового штурма и исследований мы пришли к выводу, что нужна совершенно новая методология. Если вы реагируете на злоумышленника, который постоянно обновляет свои механизмы и инструменты атаки, вы всегда будете на несколько шагов позади. Кроме того, используя законные учетные данные, эти злоумышленники часто уклоняются от обнаружения с помощью традиционных средств..
Таким образом, мы спросили себя, есть ли парадигма, где мы могли бы поставить атакующего в реактивную позицию?
Это предпосылка, на которой основана наша технология обмана.
Проще говоря, что такое технология обмана?
Сила призрачного продукта действительно активируется только после того, как злоумышленник проник в сеть. Как только они входят и двигаются в боковом направлении, вот когда мы вступаем в игру.
Чтобы ответить на ваш вопрос, нужно сначала понять природу целевой атаки. Допустим, банк подвергается атаке с помощью фишинг-кампании. Сотрудник загрузил вредоносный PDF-файл, и злоумышленник теперь находится в сети. Злоумышленник имеет четко определенную цель, чтобы добраться до определенного набора данных или системы. Он находится на конечной точке, но он не уверен, где находится его цель или как к ней добраться.
Представьте себе, что вы пытаетесь найти свой путь в темном доме, в котором вы никогда раньше не были, только с небольшим фонариком, оглядываясь вокруг, чтобы посмотреть, что вы можете использовать, оценить, где находятся ценности и как их достать. Это очень сложно и может занять злоумышленник несколько месяцев.
Естественно, этот процесс включает в себя значительное количество проб и ошибок.
Наши обманы усиливают этот вызов для атакующего. Мы наполняем окружающую среду ложной информацией наряду с реальной информацией, чтобы изменить взгляд злоумышленника на реальность. Например, если злоумышленник приземляется на конечную точку, которая предоставляет доступ к трем реальным корпоративным общим ресурсам, злоумышленник может увидеть 10. Как только злоумышленник совершает обман, срабатывает оповещение, и призрачный сбор гранулированных, основанных на источнике данных судебной экспертизы.
Как изложить обман, который легко разворачивается и актуален для злоумышленника, с помощью полностью безагентного решения?
В основе нашего решения лежит наша система управления обманом, основанная на искусственном интеллекте (DMS). Он анализирует среду и предлагает необходимые обманы, которые устанавливаются без агента, и при этом требуется очень мало усилий со стороны руководства. После запуска DMS непрерывно контролирует сеть и автоматически настраивается на изменения в корпоративной среде и на поведение злоумышленника..
Критически важно, чтобы злоумышленники казались обманщикам подлинными, чтобы они не могли отличить реальное от фальшивого. Благодаря представлению Attacker View и функциям судебной экспертизы нашего продукта аналитик может видеть ходы атакующего в режиме реального времени. Каждое решение, которое принимает злоумышленник, дает нам больше информации об их намерениях и тактике, которая в дальнейшем используется для того, чтобы ввести их в заблуждение и заманить в ловушку..
В число наших клиентов входят ведущие мировые организации. Поскольку наше решение не использует агентов, оно не создает дополнительной нагрузки на ИТ-организацию, и мы тщательно разработали дизайн, чтобы сделать продукт прозрачным для конечного пользователя..
Кто ваш типичный клиент?
Нашими клиентами являются десятки ведущих компаний по всему миру. Наши технологии используются во многих секторах, от медицинских и страховых компаний до телекоммуникационных компаний, хотя мы уделяем основное внимание финансовым учреждениям. Мы добились большого успеха с крупными банками и инвестируем в создание уникальных решений, таких как Wire Transfer Guard, для решения их конкретных задач..
Как вы справляетесь с ложными срабатываниями?
Одним из основных преимуществ нашей технологии является то, что вы всегда можете доверять нашим предупреждениям. Наша система никогда не генерирует ложные срабатывания, только реальные оповещения, которые отправляются прямо в команду реагирования на инциденты.
Это было одной из самых важных функций при разработке нашей системы, поскольку ложные срабатывания теряют ресурсы и могут нанести значительный ущерб. Вы можете пропустить реальные предупреждения, если у вас так много ложных срабатываний, или часами анализировать что-то, что выглядит значительным, но, вероятно, не так. Эта проблема возникала в связи с некоторыми из самых последних открытых уязвимостей безопасности; в потоке ложных срабатываний настоящие важные предупреждения так и не получили того внимания, которое должны были.
Как вы ловите злоумышленников в режиме реального времени?
Первый этап – настроить обман, чтобы включить обнаружение. В рабочем состоянии призрачный может определить, есть ли в сети злоумышленник..
Однажды пойманные, мы не просто говорим «у вас есть злоумышленник». Мы собираем данные судебной экспертизы из систем, чтобы сообщить вам, какие процессы запущены, какие сетевые подключения они используют, и многое другое..
Мы даем аналитикам возможность отслеживать их движение и тактику. Призрак знает, как далеко злоумышленник от критических активов. Со всей этой информацией ответчики могут определить наиболее выгодное время для действий – до того, как злоумышленник доберется до драгоценностей короны..
Есть искусство обмана. Но, понимая поведение злоумышленника, мы можем создать уловки, чтобы заманить злоумышленников, и превратить его в автоматизированное решение, которое вернет контроль в руки наших клиентов..
17.04.2023 @ 21:34
аблуждение и защитить сеть. Это полностью безагентное решение, что означает, что оно не требует установки дополнительного программного обеспечения на конечные точки, что делает его легким в использовании и управлении.
Кто ваш типичный клиент? Наша технология обмана предназначена для крупных организаций, которые имеют высокий уровень конфиденциальности и защиты данных. Это могут быть банки, финансовые учреждения, правительственные организации, крупные корпорации и т.д.
Как вы справляетесь с ложными срабатываниями? Наша технология обмана основана на анализе поведения злоумышленников, что позволяет нам минимизировать ложные срабатывания. Кроме того, мы постоянно улучшаем нашу систему управления обманом, чтобы уменьшить количество ложных срабатываний и увеличить точность обнаружения реальных угроз.
Как вы ловите злоумышленников в режиме реального времени? Наша система управления обманом непрерывно мониторит сеть и анализирует поведение злоумышленников в режиме реального времени. Мы используем функции судебной экспертизы и представление Attacker View, чтобы видеть ходы атакующего и защищать сеть. Каждое решение, которое принимает злоумышленник, дает нам больше информации об