«Гарда Deception» - создаёт слой ложной сетевой инфраструктуры, позволяет обнаружить и остановить кибератаки до нанесения значимого ущерба.
Программный комплекс «Гарда Deception» — это DDP-система. Создаваемая им распределённая инфраструктура ловушек отвлекает хакера от реальных ИТ-ресурсов компании, замедляет его горизонтальное перемещение по сети, позволяет выявить его скрытое присутствие на раннем этапе атаки до нанесения ущерба реальным активам.
Задачи:
- Обнаружение и предотвращение атак нулевого дня и целевых атак.
- Обнаружение злоумышленников внутри компании.
- Определение злоумышленников, которые получили доступ к сети с учётными данными легальных пользователей.
- Сокращение времени расследования ИБ-инцидента.
Преимущества
- Быстрое развертывание
- Автоматическое развертывание эмулированных машин с ловушками по рекомендации системы (% к существующим узлам сети) на основании данных сканирования сети.
- Массовое развертывание ловушек и приманок по шаблонам.
Простая эксплуатация
- Интуитивно понятный графический веб-интерфейс управления всеми компонентами системы.
- Быстрое масштабирование системы путем развертывания дополнительных супервизоров.
- Высокая совместимость и нетребовательность к вычислительным ресурсам.
Отсутствие влияния на сеть
- Взаимодействие всех компонентов системы зашифровано.
- Ловушки не содержат уязвимостей, которые может использовать злоумышленник при реализации атаки.
Различные схемы визуализации и ретроспективный анализ развития атаки
- Карта атаки — отображение векторов взаимодействия злоумышленника с ловушками. Позволяет проводить ретроспективный анализ развития атаки.
- Карта ложного слоя — отображение эмулируемого слоя.
- Карта сканирования — отображены результаты последнего сканирования сети.
Широкий набор поддерживаемых ловушек и приманок
- Имитация работы следующих сетевых служб и протоколов: MySQL, MSSQL, PostgreSQL, MongoDB, FTP, SMB, SSH/Telnet, RDP, HTTP/HTTPS, HTTP proxy, Memcache, MQTT, PPTP, TCP/UDP blackhole, Kubernetes.
- К каждому типу ловушки генерируются приманки, а также приманки в контроллер домена.
Высокая точность и эффективность
- Отсутствие ложных срабатываний.
- Обогащение инцидентов ИБ информацией о действиях злоумышленников для повышения эффективности работы SOC.
Импортозамещение
- Работа на санкционнонезависимых компонентах: ОС (AstraLinux, Debian), СУБД (PostgreSQL).
- В Реестре отечественного ПО Минцифры, реестровая запись №10040 от 02.04.2021 г.
- В государственном реестре сертифицированных СЗИ, сертификат ФСТЭК №4797 от 08.04.2024 г.
Принцип работы
- Deception формирует ложный слой инфраструктуры, состоящий из ловушек – двойников реальных сетевых активов.
- Приманки содержат логин и пароль ложного пользователя, и работают как отдельный элемент, который активно функционирует для выявления подозрительной активности.
- Эта система фиксирует попытки входа здесь и сейчас, а также помогает детектировать не только взаимодействие с ловушками в реальном времени, но и понять заранее что планирует злоумышленник, делая защиту проактивной.
Примеры задач
- Уязвимости 0-дня и таргетированные атаки
Выявление реализованных атак, невидимых для классических систем защиты.
- Размытие границ сети — удалённый формат работы сотрудников
Ноутбук пользователя включается в домашнюю или публичную сеть. Злоумышленники используют его для входа в сеть компании.
- Несрабатывание систем защиты периметра
Обнаружение злоумышленников среди сотрудников и подрядчиков.
- Фишинг и социальная инженерия
Обнаружение злоумышленников, получивших доступ в сеть с учётными данными легального пользователя.
- Угрозы на прикладном уровне для отраслевых предприятий
Угрозы возникают из-за разнообразия и слабой защиты специализированных устройств, подключённых к сети. Атаки на такие устройства могут быть направлены на изменение их логики работы.