Praktyczne przypadki zastosowania technologii decepcji

Zawsze dobrze wiedzieć, że twoje rozwiązanie jest wydajne i zapewnia klientom oczekiwane korzyści. W tym poście opisujemy kilka rzeczywistych przypadków zastosowania Labyrinth Deception Platform przez jednego z naszych użytkowników.

Sieć naszego klienta jest rozproszona i architektura Labyrinth Deception Platform składa się z 5 maszyn wirtualnym WorkerVM połączonych z jedną maszyną wirtualną AdminVM (konsolą zarządzania). Każdy z segmentów sieci objętych naszymi honeynetami (sieciami pułapek) zawiera 20-50 przynęt sieciowych (Punktów). Typy wabików są wybierane zgodnie z typami rzeczywistych hostów i usług, które są najbardziej powszechne w tych podsieciach.

Przez zaledwie 3 miesiące platforma Labyrinth była w stanie wykrywać i zapobiegać kolejnym incydentom w środowisku klienta:

• Wykorzystując integrację z systemem SIEM, Labyrinth Deception ujawniło wykorzystanie poświadczeń przekazywanych przez agentów Seeder do rzeczywistych hostów, które zostały określone w treści jednego z wabików plikowych - pliku RDP-link. Dalsze dochodzenie wykazało, że osoba atakująca z zewnątrz uzyskała dostęp do hosta wewnętrznego za pomocą ataku phishingowego i zbadała pliki na hoście pod kątem poświadczeń, haseł, skrótów, itp. Po znalezieniu fałszywych poświadczeń intruz próbował zastosować je na kilku prawdziwych hostach w celu uzyskania do nich nieautoryzowanego dostępu.
• Kilka słów o „zapomnianych” systemach. Jedna z pracownic klienta wróciła do biura po urlopie macierzyńskim i zaczęła korzystać z komputera stacjonarnego. Podczas jej nieobecności flota komputerów została zaktualizowana, ale wszyscy zapomnieli o tym komputerze. Jej komputer z Win XP został zainfekowany wirusem Wanna Cry i zaraz po rozpoczęciu pracy próbował wykorzystać lukę w zabezpieczeniach jednego z wabików platformy Labirynth. Ta aktywność została natychmiast wykryta, a dzięki integracji z firewallami i SIEM host został odizolowany, więc złośliwe oprogramowanie nie rozprzestrzeniało się dalej w sieci.
• Generując nową konfigurację Labyrinth Deception Platform, nasze rozwiązanie znalazło interfejs webowy jednego z modułów SCADA w jednej z podsieci i stworzyło pułapkę typu UniversalWebPoint (UWB), aby go imitować. Po pewnym czasie pułapka ta wygenerowała kilka alertów, które wskazywały na obecność atakującego wewnątrz chronionej sieci, który próbuje uzyskać dostęp do podsystemów sterowania SCADA.

Oryginalny wpis klienta na portalu Gartner Peer Insights:  Labyrinth Deception Platform review in Network Detection and Response (gartner.com)

• łatwość wdrożenia platformy,
• łatwość konfiguracji sieci pułapek (honeynet),
• szybka reakcja pomocy technicznej,
• ciągły rozwój produktu,
• Punkty wykrywają wszystkie złośliwe działania w sieci korporacyjnej, zapewniając kompleksowe pokrycie wszystkich możliwych wektorów ataku.