ATTIVONETWORKS – CYBER DECEPTION / DECEPTION TECHNOLOGY

Lợi ích

Các tổ chức đã chọn giải pháp Deception của Attivo Networks vì:

1. Derailing Attacks – Đánh lạc hướng các cuộc tấn công:

Làm phức tạp hóa, làm chậm lại và đánh lạc hướng các cuộc tấn công bằng mồi nhử để phát hiện sớm các hoạt động do thám trong mạng và mở rộng phạm vi tấn công. Những bẫy hấp dẫn về thông tin xác thực, dữ liệu và ứng dụng sẽ lôi kéo và tấn công nhầm vào máy chủ tương tác nơi đưa ra những cảnh báo có độ trung thực cao.

2. Visibility to Lateral Movement – Hiển thị với việc mở rộng phạm vi tấn công:

Lừa kẻ tấn công tiết lộ bản thân trong quá trình do thám và mở rộng địa bàn tấn công thông qua dịch vụ mạng, máy ảo, dịch vụ IP và subnets để tìm kiếm tài sản dữ liệu có giá trị cao.

3. High Fidelity Alerts – Cảnh báo có độ trung thực cao:

Các cảnh báo có thể hành động được đưa ra dựa trên sự tham gia thực tế của kẻ tấn công. Các cảnh báo bao gồm thông tin nhận biết mối đe dọa, thông tin về hệ thống bị nhiễm, hoạt động của kẻ tấn công và dấu hiệu cần thiết để hành động nhanh chóng và dứt khoát. Tích hợp NOC được cung cấp để dễ dàng chia sẻ và tự động hóa thông tin về mối đe dọa.

4. Proactive Defense – Phòng thủ chủ động:

Deception cung cấp thêm chức năng bẫy hacker/attacker để làm xáo trộn phạm vi tấn công. Thêm mồi nhử và sự dụ dỗ sẽ khiến công việc của kẻ tấn công trở nên khó khăn hơn, tăng chi phí cho chúng và tăng nguy cơ mắc sai lầm khiến chúng lộ diện.

Tính năng

Giải pháp Attivo Networks ThreatDefend che giấu và từ chối quyền truy cập vào vùng dữ liệu đồng thời làm nhiễu loạn thông tin tấn công bằng các mồi nhử khiến tin tặc không thể tìm thấy mục tiêu để tấn công và tự tiết lộ sự hiện diện của chúng trong hệ thống. Bộ giải pháp bao gồm:

1. Attivo BOTsink

Giải pháp Attivo BOTsink là thiết bị vật lí hoặc ảo hóa bảo vệ bên trong mạng của doanh nghiệp bằng cách sử dụng mồi nhử (decoy) để thu hút những kẻ tấn công, khiến chúng tự tiết lộ thông tin bản thân và dẫn dụ vào môi trường BotSink cô lập. Bằng việc đánh lạc hướng những tin tặc, các tổ chức/doanh nghiệp đạt được lợi thế về thời gian để phát hiện, phân tích, và ngăn chặn chúng. Những decoy này được triển khai trên tất cả các phân đoạn mạng để phát hiện chuyển động của kẻ tấn công trên toàn hệ thống.

– Phát hiện tấn công bên mạng tổ chức/doanh nghiệp: Phát hiện Man in the middle, phát hiện tấn công Layer 2 ( ARP Flood, ARP Scan), phát hiện tấn công do thám, phát hiện tấn công lây lan trong mạng, phát hiện khai thác lỗ hỏng từ ứng dụng hoặc hệ điều hành.

– Forensic trên Attivo BOTsink: Một khi mục tiêu hoàn thành, một số APT có thể tự xóa tất cả các bằng chứng trên ổ đĩa của nạn nhân. Khi có tập tin độc hại thực thi, VM quản lý decoy sẽ xuất bộ nhớ của decoy tương ứng đó, phân tích, thực hiện truy vết và gửi người quản trị báo cáo về hành vi bất thường. Phân tích bộ nhớ của máy tính có thể cho phép xác định và chứng minh các hoạt động độc hại trên máy tính nạn nhân.

– Sinkhole: chuyển hướng các lưu lượng gọi về server C&C vào sinkhole gateway. Sinkhole mode loại bỏ các lưu lượng gọi về server C&C này. Ngược lại, Internet Proxy mode cho phép các lưu lượng này ra ngoài internet và gọi về server C&C, từ đó BotSink sẽ theo dõi các hành vi của chúng nhưng đảm bảo tách biệt khỏi môi trường vận hành của doanh nghiệp.

– Phát hiện email lừa đảo: Người dùng trong mạng của doanh nghiệp/tổ chức chuyển tiếp các email đáng ngờ đến email do người quản trị đã tạo trên BOTsink. VM quản lý email nhận chuyển tiếp này sẽ trích xuất tệp đính kèm và URL trong các email phising để phân tích mã độc.

– Phát hiện và ngăn chặn ransomware: BOTsink và ThreatStrike hoạt động song song để phát hiện và tự động ngăn chặn sự lây lan của các cuộc tấn công ransomware. Bằng cách tạo thông tin đăng nhập giả mạo, những thông tin này được chia sẻ qua mạng đến các điểm cuối. Khi thông tin giả mạo được sử dụng bởi ransomware, chúng sẽ bị phát hiện, đánh giá và cảnh báo đến người quản trị. Ngoài ra, ThreatStrike còn có khả năng làm chậm quá trình lây lan ransomware bằng cách cung cấp một luồng dữ liệu giả liên tục cho chúng mã hóa trong môi trường riêng biệt của BOTsink.

2. ThreatStrikeTM endpoint deception

Attivo ThreatStrike Endpoint là giải pháp agentless dùng để đặt các mồi nhử lên máy trạm nhằm cung cấp phân tích tấn công theo thời gian thực, cảnh báo về việc sử dụng các thông tin đăng nhập giả mạo được cập nhật từ BotSink. Ngoài ra, ThreatStrike xác định máy trạm bị nhiễm và dẫn dụ kẻ tấn công vào môi trường decoy của BotSink. Điều này làm hạn chế sự lây lan của ransomware cũng như các mối đe dọa khác.

3. ThreatDirect

Giải pháp được thiết kế cho các chi nhánh để tích hợp liền mạch với thiết bị BOTsink tại trung tâm nhằm mở rộng khả năng đánh lừa kẻ tấn công trong các văn phòng từ xa và chi nhánh mà không cần thêm thiết bị BOTsink. Hệ thống deception ảo này giúp thu hút những kẻ tấn công, đánh lừa chúng vào decoy và cảnh báo các hoạt động độc hại tại chi nhánh về cho trung tâm.

4. ThreatPathTM

Giải pháp Attivo ThreatPathTM phát hiện, hiển thị các đường di chuyển của kẻ tấn công cũng như các mối đe dọa tiềm tàng nhằm hạn chế lây lan tiềm ẩn và các rủi ro khác trong mạng mà chúng có thể khai thác. Khả năng của ThreatPath giúp phát hiện đường di chuyển tiềm ẩn nguy hại; theo dõi các truy vấn bất thường đến AD; phát hiện những lỗ hỏng trong cấu hình hệ thống của máy trạm; hiển thị thông tin đăng nhập thật và giả trên máy trạm; khắc phục những lỗ hỏng trong cấu hình máy trạm được phát hiện bởi ThreatPath.

5. ThreatOps

Giải pháp ThreatOps được thiết kế để tích hợp với các hệ thống tường lửa, NAC, Endpoint Security, SIEM giúp tự động hóa công nghệ và quy trình nhằm cải thiện xử lí sự cố, truy vết tấn công. Giải pháp hoạt động bằng cách thu thập thông tin vể sự tham gia của kẻ tấn công từ máy chủ BotSink và các nguồn khác. Từ đó cung cấp cho người quản trị khả năng xác định và đưa ra các chính sách bảo mật dưới dạng một playbook tùy chỉnh. PlayBook tự động hóa nhằm tiết kiệm thời gian trong việc ứng phó và khắc phục các cuộc tấn công.

6. Attivo Central Manager (ACM)

Giải pháp Attivo Central Manager là thiết bị vật lí hoặc ảo hóa được sử dụng để cấu hình và quản lý tập trung nhiều BOTsinks cũng như các ThreatStrike Endpoint được triển khai tại các địa điểm khác nhau trong cùng một tổ chức/doanh nghiệp. Với tính năng quản trị tập trung, ACM còn giúp quản lí cấu hình trên các môi trường khác nhau như network, trung tâm dữ liệu, cloud, IoT và thậm chí cả môi trường SCADA. Ngoài ra, ACM thu thập tất cả cảnh báo và ghi nhận thông tin từ các BOTsinks và ThreatStrike.

7. ADSecure

Giám sát và giữ cho môi trường Active Directory an toàn đã trở thành một thách thức đáng kể vì quyền truy cập rộng rãi với nhiều đối tượng ở các mức đặc quyền và kiểm soát khác nhau.

Giải pháp ADSecure ngăn kẻ tấn công truy cập thông tin từ Active Directory bằng cách che giấu các thông tin thật và trả về thông tin giả khi kẻ tấn công truy vấn AD nhằm chiếm quyền vào các máy chủ trong hệ thống.

Khi kẻ tấn công sử dụng nhiều công cụ phức tạp khác nhau cố gắng truy vấn AD, giải pháp cung cấp cảnh báo sớm tới người quản trị và sau đó ngăn chặn khả năng liệt kê thông tin mạng của chúng bằng cách cung cấp thông tin giả. Từ đó, làm giảm bề mặt tấn công, làm chậm sự lây lan của tấn công và ngăn chặn chúng trước khi bắt đầu. Ngoài ra, bằng cách kiểm soát đường đi của kẻ tấn công, người quản trị còn có thể thu thập Chiến thuật/Kỹ thuật/Quy trình (TTP) cũng như thông tin về mối đe dọa cụ thể của tổ chức/doanh nghiệp để khắc phục các máy trạm bị khai thác và kiện toàn cho hệ thống.

Yêu cầu Hệ thống

Giải pháp Attivo Network ThreatDefend hỗ trợ:

– Nền tảng: Network, Cloud, Ảo hóa, thiết bị vật lí.

– Hệ điều hành: Windows, Ubuntu, MacOS, CiscoIOS, CentOS, Redhat

– Môi trường: IT, IoT/IoE, ICS/SCADA.

Nguồn: https://attivonetworks.com/solutions/threat-detection/cyber-deception/