ТЕМАТИКА ПРОДУКЦИИ — Новая версия Xello Deception
НАИМЕНОВАНИЕ — Xello Deception 5.6
ПРОИЗВОДИТЕЛЬ — ООО «КСЕЛЛО», г. Москва
ПОСТАВЩИК — ООО «КСЕЛЛО», г. Москва
НАЗНАЧЕНИЕ — Платформа для предотвращения целевых атак с помощью технологии киберобмана
ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА
Xello Deception — первое российское решение класса DDP (Distributed Deception Platform).
Xello Deception выявляет сложные кибератаки, не используя предварительные знания об угрозе. Платформа создает слой из ложных активов и данных по всей сети компании, что позволяет детектировать вредоносную как на ранних этапах, так и самом критическом (горизонтальном передвижении). Вышел релиз платформы Xello Deception версии 5.6. Среди ключевых нововведений: запись сетевого трафика для расследования киберинцидентов, новые типы ложных данных для выявления атак на протокол Kerberos, поддержка Kerberos-аутентификации, продвинутое конфигурирование веб-ловушек и автодискаверинг.
ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ
Новые возможности в Xello Deception версии 5.6:
Продвинутые возможности для расследования киберинцидентов
После выявления вредоносной активности в сети Xello Deception предоставляет необходимую информацию для детектирования кибератаки: первоначальную точку компрометации, цепочку действий злоумышленника при взаимодействии с ложным слоем данных и активами, следы запуска инструментов.
В новой версии продукта реализована запись сетевого трафика в pcap-файл для дальнейшего анализа с помощью сторонних средств. Это позволяет получать все данные о командах и действиях хакера (выполнение команд, запросы, запуск утилит и другие) при его взаимодействии с ловушкой.
Продвинутое конфигурирование веб-ловушек и RealOS на ОС Linux
Сегодня Xello Deception поддерживает более 40 типов ловушек разной интерактивности (FTP, SSH, Database, RDP, SMB и другие). В новой версии платформы реализована собственная технология эмуляции веб-сервисов реальных устройств производителей (например, Cisco, HP, Hikvision и других) высокого уровня интерактивности (позволяют отдавать запросы при обращении к ним).
Также в версии 5.6 реализованы RealOS-ловушки на ОС Linux. В терминологии разработчика RealOS — тип ловушек, который эмулирует ложные сервисы и устройства, работающие в среде реальной операционной системы. Это позволяет устанавливать на них любое программное обеспечение, приложение или средство защиты. Таким образом, ловушкой становится любая производственная система.
Выявление Kerberoasting-атак
Протокол Kerberos (используется в доменных сетях для аутентификации пользователей) часто нужен злоумышленниками для получения учетных записей и повышения своих привилегий. Согласно анализу проведённых пентетстов компанией Positive Technologies в 2022 году, получение учетных данных через атаку Kerberoasting входит в пятёрку методов (36%), которые используют пентестеры при исследовании внутренней сети. Атаки на протокол Kerberos сложно выявить, потому что злоумышленники используют скомпрометированную учетную запись, связанную с именем субъекта-службы (Service Principal Name, SPN). Это имя является уникальным идентификатором, позволяющим пользователям входить в определенные учетные записи. Используя учетную запись, они запрашивают многочисленные билеты из центра распределения ключей (KDC) и домена, который контролирует, кто может получить доступ к сети. Данное поведение будет равносильно поведению легитимного пользователя.
Чтобы минимизировать риск компрометации протокола Kerberos, в новой версии Xello Deception реализованы SPN-приманки — специфичные для него ложные данные. Этот тип приманок станет наиболее привлекательной целью для злоумышленника при проведении Kerberoasting-атаки. Ее можно размещать в каталогах LDAP и Active Directory (AD) — в тех местах, где чаще всего ищут учетные записи для дальнейшей реализации кибератаки.
Другой способ выявления атак данного типа, который уже реализован на платформе — интеграция с источниками событий аутентификации (например, с Active Directory). Это позволяет выявлять действия злоумышленника при использовании ложной SPN-учетной записи в момент ее верификации (без использования ловушек).
Автоматическая интеграция с внутренней инфраструктурой
В новой версии реализован автодискаверинг для автоматического добавления LDAP-серверов и Active Directory (AD) в систему. Это необходимо для анализа особенностей инфраструктуры компании и создания релевантных ложных данных. Автодискаверинг упрощает работу с системой компаниям с динамичной инфраструктурой и большим количеством доменов. Решение автоматизирует процесс мониторинга конфигурационных единиц и сбора данных о них, а также повышает эффективность платформы за счет устранения человеческого фактора.
+7 (499) 842 90 90
127549, г.Москва, вн.тер. г. муниципальный округ Алтуфьевский,
ш. Алтуфьевское, д.64, помещ.1/1