L A B Y R I N T H

Loading

Gartner Peer Insights

Dość często, chcąc przyspieszyć proces wdrażania swojego systemu bezpieczeństwa infrastruktury, firmy mogą pokusić się o rozpoczęcie wdrażania SIEM jako jego fundamentu, bez wcześniej opracowanej taktyki i strategii jego wykorzystania. Pomimo początkowej oszczędności czasu, takie podejście szybko zamienia każdy nowoczesny SIEM w ogromny zrzut plików dziennika, z których dane po prostu zapychają macierze dyskowe.
 
Innym typowym przypadkiem jest sytuacja, w której firma starannie dobiera typy źródeł danych i liczbę plików dziennika, ale spędza dużo czasu na opracowywaniu znacznej liczby różnych reguł korelacji, które mogą nadmiernie skomplikować system i prowadzić do generowania niepotrzebnych typów zdarzeń.
 
Co łączy oba te przykłady? Brak precyzyjnego sformułowania wstępnej hipotezy/pytania skierowanego do danych w plikach logów. Przykłady takich pytań to: „Jaka jest najbardziej optymalna lokalizacja wabików sieciowych w infrastrukturze? Na których hostach atakujący prawdopodobnie otworzy wabiki plikowe? Jakie przynęty usług mogą zwabić atakującego do segmentu sieci ze  standardowymi usługami sieciowymi?”
 
Dzięki Splunk, analityk IT może szybko zidentyfikować segmenty sieci, w których incydenty występowały najczęściej i na podstawie tych danych wypełnić wolny zakres adresów IP tych podsieci wabikami sieciowymi. Jeżeli w infrastrukturze znajdują się segmenty z usługami tego samego typu, ustawienie różnych typów usług wabiących zwiększy szanse na wykrycie atakującego na etapie badania sieci. Dlatego wabiki plikowe powinny być umieszczane na hostach z największą liczbą połączeń sieciowych i operacji na plikach.
 
Jednak i tu pojawia się trudność – większość zdarzeń w plikach dziennika jedynie pośrednio wskazuje na anomalie związane z bezpieczeństwem. Natomiast alert z systemu Labyrinth Deception informuje o incydencie wymagającym uwagi analityka ds. bezpieczeństwa infrastruktury.
 
Aby zwiększyć pokrycie infrastruktury systemem Labyrinth Deception, konieczne jest pełne wykorzystanie możliwości wabików plikowych. Aby to zrobić, konieczne jest zachowanie ich spójności i śledzenie wykorzystania przez atakującego informacji zawartych w plikach wabików.
 
Nasi klienci często łączą Splunk Alerts, Labyrinth Alerts i inne źródła zdarzeń bezpieczeństwa, takie jak wyzwalacze w systemach IPS lub EDR. W tym przypadku informacje z systemu decepcji dodają więcej kontekstu do Splunk Alerts.
 
Jednocześnie, dzięki dwukierunkowej integracji Labyrinth ze Splunk, wszystkie alarmy systemu decepcji są wzbogacone o informacje o atakującym hoście uzyskane od Splunk na podstawie adresu IP atakującego. Dzięki temu mechanizm ten kilkukrotnie przyspiesza przeglądanie alertów przez operatora systemu Labyrinth.
 
Konfiguracja dwukierunkowej integracji ze Splunk odbywa się w sekcji Settings -> Integrations -> Splunk i zajmuje nie więcej niż kilka minut.
 

Sam system Labyrinth utrzymuje aktualność danych w plikach wabików, a wykrywanie prób użycia, na przykład, wcześniej przygotowanych danych uwierzytelniających na rzeczywistych hostach/urządzeniach, jest zapewnione przez powyższą dwukierunkową integrację: Labyrinth okresowo sprawdza i porównuje dane z plików uwierzytelniających Splunk z informacjami z plików wabików. Jeśli Labyrinth wykryje takie działanie ze strony atakującego, powiadomi o tym operatora systemu odpowiednim alertem.

Podstawą sprawnie funkcjonującego systemu bezpieczeństwa są więc przede wszystkim jasno określone cele i przemyślane planowanie. Z kolei Labyrinth wykryje wszystkie złośliwe działania w sieci, zapewniając kompleksowe pokrycie wszystkich możliwych wektorów ataku.
 

 

Zapisz się do naszego newslettera

You successfully subscribed!