R-Vision Threat Deception Platform (R-Vison TDP)

Основная статья: Межсетевой экран (Firewall)

2024: R-Vision TDP 3.1

Компания R-Vision 4 марта 2024 года объявила о выходе мажорной версии R-Vision TDP 3.1 – технологии цифровой имитации элементов ИТ-инфраструктуры. В данной версии разработчик обновил механизм размещения приманок, добавил открытое API и улучшил поддержку сетей с отечественными ОС.

Используя версию R-Vision TDP 3.1, пользователи могут детально конфигурировать политики размещения приманок при помощи сбора базовой информации о машинах: версии операционной системы, её языке и установленных программах. Данный метод размещения приманок позволяет сделать их еще более надежными и реалистичными даже в крупных сетях. В обновлении для ИБ-специалистов стал доступен весь спектр уже развёрнутых в сети инструментов для размещения приманок на клиентских хостах, включая KSC, Microsoft SCCM, Ansible, Puppet.

В обновлении R-Vision расширила возможности интеграции продукта с информационной системой заказчика с учетом ограничений, которые возникают в крупных сетях. Например, если у заказчика запрещена запись в DNS-серверах, то при помощи R-Vision TDP можно передавать списки несуществующих имен DNS-хостов через API. Эта функция позволяет заказчику добавлять их самостоятельно. Также можно предоставить список ложных учетных записей для постановки на мониторинг в SIEM-систему заказчика.

В R-Vision TDP 3.1 создан интуитивно понятный интерфейс. В нем разработчик упростил взаимодействия с решением через публичное API с поддержкой Swagger (Open API). Это облегчает интеграцию продукта при соблюдении строгих протоколов информационной безопасности. Кроме того, представленная функция позволяет использовать продукт в сетях, где за разные элементы инфраструктуры отвечают разные департаменты, а также автоматизировать обмен информацией с R-Vision TDP.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

Теперь R-Vision TDP 3.1 можно интегрировать в сети, которые уже работают на российских ОС или только мигрируют на отечественное ПО для защиты информации. Для этого разработчики внесли следующие изменения:

• Улучшили совместимость с отечественными операционными системами, такими как Astra Linux и Ред ОС.
• Добавили поддержку удаленной СУБД Postgres Pro.
• Представили эмуляцию SSH-сервера для российских ОС.
• Внедрили возможность входа в систему с использованием известных служб каталогов, включая Active Directory, ALD Pro, FreeIPA и Open LDAP. Это позволяет использовать одну учетную запись для входа в систему даже в сетях после отказа от Active Directory – службы каталогов корпорации Microsoft.

2022

Добавление ловушек АСУ ТП и Linux FullOS

Компания R-Vision 14 декабря 2022 года сообщила об обновлении платформы цифровой имитации элементов ИТ‑инфраструктуры R‑Vision Threat Deception Platform (TDP). В частности, разработчик добавил ловушки АСУ ТП и Linux FullOS, расширил перечень используемых шаблонов приманок, а также реализовал поддержку системы с решениями отечественных поставщиков программного обеспечения.

В 2022 году кибератаки на объекты информационной инфраструктуры промышленных предприятий в России выросли в несколько раз. Последствия таких атак весьма серьезны: утечка конфиденциальных данных, простой производства, финансовые и репутационные потери. Учитывая возрастающее количество инцидентов, компания R-Vision дополнила последнюю версию платформы ловушкой АСУ ТП, предназначенной для выявления угроз в ИТ-инфраструктуре промышленных организаций. Теперь пользователи смогут создавать ложные программируемые логические контроллеры – важные элементы системы автоматизации и управления технологическими процессами, позволяющие осуществлять контроль за промышленными объектами в режиме реального времени. Таким образом, теперь R-Vision TDP позволит детектировать атаки на специфические ИТ-активы, находящиеся в сегментах сети производственных предприятий.

Еще одна ловушка, добавленная вендором в R-Vision TDP, – Linux FullOS, которая позволяет создать в выбранной сети эмуляцию в виде полноценной виртуальной машины на базе операционных систем семейства Linux. Этот тип ловушки может быть основой для создания ложных элементов сети, кастомизированных под различные специфические среды заказчика на основе Linux-подобных систем. Помимо этого, пользователям стали доступны приманки в виде сохраненных учетных данных в браузерах Microsoft Internet Explorer и Microsoft Edge Legacy.

Кроме этого, одним из важных нововведений платформы стало расширение списка поддерживаемых платформой программных продуктов российских производителей: теперь сервер управления R-Vision TDP поддерживает работу на операционной системе Astra Linux. Также была успешна протестирована работоспособность платформы на отечественной системе виртуализации zVirt.

Развивая продукт R-Vision TDP, мы стремимся учитывать все актуальные запросы рынка, среди которых одно из первых мест занимает поддержка отечественных операционных систем, — прокомментировал Иван Шаламов, менеджер продукта R-Vision TDP. Кроме того, этот год ознаменовался ростом числа кибератак на промышленные предприятия. Поэтому в последней версии продукта мы реализовали ловушки для детектирования событий информационной безопасности, которые могут произойти, в том числе, и в технологическом сегменте инфраструктуры предприятий.

R-Vision TDP версии 1.5 с автоматической передачей инцидентов в R-Vision SOAR

Компания R-Vision 20 сентября 2022 года сообщила о выпуске обновленной версии платформы цифровой имитации элементов ИТ-инфраструктуры R-Vision Threat Deception Platform (TDP) 1.5. В ней расширился перечень шаблонов ловушек и приманок, реализована автоматическая передача инцидентов в платформу оркестрации и автоматизации ИБ R-Vision SOAR, а также улучшена работа с событиями безопасности. При этом пользователь может самостоятельно задать период, в течение которого взаимодействия с ловушками будут собираться в один инцидент.

В R-Vision TDP версии 1.5 вендор дополнил перечень шаблонов ловушек и приманок. Появились HTTP-ловушки, имитирующие окно авторизации на сетевом оборудовании, а также приманки для операционных систем Mac OS и Linux OS. Еще одно изменение– приманки в виде сохраненных подключений к сетевым ресурсам SMB.

В обновленной версии компания R-Vision усовершенствовала процесс автоматического создания ловушек: появился раздел, позволяющий настраивать их наполнение. Например, для генерации учетных записей используются предустановленные словари фамилий, имен и отчеств, процентное соотношение которых можно задавать вручную в зависимости от территориального расположения филиалов компании. Система позволяет задать паттерн генерации учетных записей и параметры пароля в соответствии с политикой целевой организации. Для генераторов логинов, имен серверов и FTP-баннеров в системе также предусмотрена возможность загружать собственные словари. Благодаря этому функционалу все автоматически сгенерированные для ловушек данные будут неотличимы от реальных.

В связи с тем, что любое взаимодействие с ловушкой является критичным, разработчик предусмотрел возможность добавлять исключения для источников событий в случае легитимного сканирования хостов. Например, пользователи могут внести в список исключений IP-адрес рабочей станции, с которой будет запущен сканер безопасности.

Кроме того, в версии 1.5 появилось наглядное отображение взаимосвязи ловушек и приманок, размещенных на реальных узлах сети. Теперь в разделе «События» фиксируется с какой приманкой связана ловушка, на которой произошло срабатывание. Также появились таймлайны событий, в которых воссоздается вся хронология взаимодействия с конкретной ловушкой с возможностью фильтрации по времени и критичности.

Мы непрерывно работаем над наращиванием функциональных возможностей продукта: расширяем перечень ловушек и приманок, а также стремимся воплотить в R-Vision TDP как функционал уже зарекомендовавших себя решений ушедших с рынка западных игроков, так и учесть специфику потребностей российских заказчиков»– прокомментировал Иван Шаламов, менеджер продукта R-Vision TDP. — Кроме того, все продукты R-Vision являются частью экосистемы и строятся на базе единых интеграционных механизмов и конфигураций. За счет чего максимально эффективно взаимодействуют друг с другом и в комплексе обеспечивают полноценное управление информационной безопасностью.

Выпуск коммерческого релиза продукта R-Vision TDP

15 марта 2022 года компания R-Vision объявила о выходе коммерческого релиза продукта R-Vision Threat Deception Platform (R-Vison TDP). R-Vision TDP относится к классу платформ для создания распределённой инфраструктуры ложных целей (Distributed Deception Platform, DDP), использующих техники активного обмана. Это позволяет обнаруживать вторжение злоумышленников и вводить их в заблуждение, искажая восприятие корпоративной сети при помощи ложных элементов.

Схема работы R-Vision TDP

По информации компании, в основе всех технологий Deception находится концепция, что любая компания по умолчанию является скомпрометированной. Классические периметровые средства защиты и мониторинга в современных реалиях теряют свою эффективность – рано или поздно злоумышленники проникают в инфраструктуру организации и могут месяцами изучать ее, оставаясь незамеченными.

Технологии Deception выступают одним из последних эшелонов обороны, способным замедлить и выявить киберпреступника. С помощью набора взаимосвязанных друг с другом ловушек и приманок система позволяет ввести хакера в заблуждение, обнаружить его присутствие в корпоративной сети на ранних стадиях, а также дает возможность предотвратить развитие атаки до нанесения им существенного ущерба.

Скриншот "Ловушки"

Система R-Vision Threat Deception Platform предоставляет пользователям возможность автоматически разворачивать сети ловушек и приманок из готовых шаблонов. Кроме того, R-Vision TDP позволяет на основе данных об инфраструктуре создать ловушки и приманки похожие на специфические системы и ИТ-активы заказчика. Платформа может воспроизводить рабочие станции, устройства, приложения, сетевое оборудование, серверы, а также имитировать сетевое взаимодействие. Эти ловушки могут быть незаметно размещены в инфраструктуре организации, став неотличимыми от настоящих хостов. Любое взаимодействие с ловушками будет свидетельствовать об инциденте и создаст оповещение в системе.

Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки — ресурсы, потенциально представляющие интерес для злоумышленника. К ним относятся файлы конфигураций, история браузера, черновики, ключи SSH, файлы с паролями и другими данными. При этом ловушки и приманки могут быть сгенерированы на основе паттернов, принятых в организации. Например, при создании ложных учетных записей и генерации паролей будут использованы данные из службы каталогов.

Скриншот "События"

Ловушки размещаются на отдельных серверах Trap Manager, в то время как управление платформой и всей эмулированной инфраструктурой происходит на сервере Control Center. Для инфраструктур крупных организаций задача масштабирования легко решается за счёт добавления необходимого количества серверов Trap Manager.

Deception или так называемые «технологии киберобмана» – это следующий шаг в развитии систем безопасности для обнаружения различных угроз на ранней стадии, в том числе АРТ-атак и угроз нулевого дня. R-Vision TDP – продукт, который позволит выявить начало атаки, собрать информацию о тактиках и инструментах злоумышленника, а также проанализировать слабые места в защите инфраструктуры. отметил Иван Шаламов, менеджер продукта R-Vision TDP

Для максимальной реалистичности ловушек и приманок можно использовать данные об активах из систем R-Vision IRP (Incident Response Platform) или R-Vision SGRC (Security Governance, Risk Management and Compliance), с которыми настроена интеграция. Платформа R-Vision TDP детектирует взаимодействие как внешних, так и внутренних нарушителей с ловушками и направляет оповещения ИБ-специалисту. Далее для расследования эти события могут быть направлены в R-Vision SENSE, что позволит автоматически построить таймлайны по взаимодействию с ловушками, предоставляя необходимый контекст аналитику SOC. Полученные инциденты можно передать в R-Vision IRP и автоматизировать реагирование на них с помощью плейбуков.

Скриншот "Дашборд"

Кроме того, атрибуты и индикаторы компрометации, собранные R-Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу анализа информации об угрозах R-Vision TIP (Threat Intelligence Platform). Система R-Vision TIP, в свою очередь, позволит обогатить эти данные, выявить взаимосвязи с другими доступными данными TI, настроить автоматический мониторинг в событиях SIEM, а также экспортировать индикаторы компрометации на средства защиты для блокировки.

Платформа R-Vision TDP является элементом в экосистеме продуктов R-Vision, позволяющим выявлять инциденты безопасности, которые сложно обнаружить другими средствами. На март 2022 года мы уже провели ряд закрытых демонстраций продукта и на основе полученных отзывов объявляем о старте пилотных проектов. поведал Игорь Сметанев, коммерческий директор R-Vision

2020: Анонс R-Vision Threat Deception Platform

30 ноября 2020 года компания R-Vision, российский разработчик систем кибербезопасности, анонсировала выпуск продукта – R-Vision Threat Deception Platform. Модель относится к технологиям класса Deception, которые позволяют обнаруживать злоумышленников, проникших в инфраструктуру предприятия, и предотвращать атаки на ранних этапах.

R-Vision представила продукт класса Deception. Фото: news.itmo.ru.

По информации компании, под технологиями Deception (в переводе с английского, «введение в заблуждение») понимают технологии создания цифровых имитаций объектов ИТ-инфраструктуры с целью выявления злоумышленников, проникших в корпоративную сеть. С помощью набора ловушек и приманок такие системы детектируют присутствие хакера, замедляют его продвижение внутри сети, запутывая среди ложных объектов, и дают возможность ИБ-специалистам остановить развитие атаки на ранней стадии. Одна из возможностей технологий Deception – практически нулевой процент ложных срабатываний. Поскольку ловушки и приманки предназначены только для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, любое взаимодействие с ними с большой вероятностью свидетельствует об инциденте. Согласно отчету Gartner Hype Cycle for Security Operations, 2020, платформы Deception могут стать дополнением к классическим инструментам детектирования угроз, который к тому же требует минимальных усилий на этапе первоначальной настройки. По мнению аналитиков Gartner, эта технология на ноябрь 2020 года еще слабо используется ИБ-специалистами.

Традиционные превентивные техники в современных условиях становятся все менее эффективными, что подтверждают многочисленные новости о крупных инцидентах и статистика исследований. Рано или поздно злоумышленники находят способ проникнуть в периметр, стараясь избегать грубых методов и оставаться незамеченными для классических средств мониторинга. Основной возможностью решений класса Deception является то, что они дают в руки служб информационной безопасности серьезный козырь – теперь злоумышленнику достаточно всего одной ошибки в выборе цели для атаки, чтобы он попал на радар служб мониторинга. Кроме того, системы класса Deception производят меньше ложных срабатываний, с должной вероятностью указывая на присутствие злоумышленника в инфраструктуре. рассказал Александр Бондаренко, генеральный директор R-Vision

Платформа R-Vision Threat Deception Platform позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра. Ловушки могут воспроизводить приложения, устройства, сетевое оборудование, сервера, рабочие станции, сервисы, службы и имитировать сетевое взаимодействие. Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки - информация, представляющая потенциальную ценность. Это могут быть файлы конфигураций, история браузера, черновики, ключи ssh, файлы с паролями и другими данными, которые генерируются автоматически, соблюдая характерные для организации параметры.

При регистрации взаимодействия с приманками и ловушками, R-Vision TDP собирает и обрабатывает эти события и направляет оповещение ИБ-специалисту. События безопасности могут также передаваться во внешние системы, такие как IRP/SOAR и SIEM для реагирования.

R-Vision TDP поддерживает тесную интеграцию с другими продуктами линейки R-Vision. Использование продукта в связке с R-Vision IRP позволит оценить масштаб атаки, выявить другие скомпрометированные системы организации на основе данных по инциденту от платформы Deception и автоматизировать реагирование. Атрибуты и индикаторы компрометации, собранные R-Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу управления данными киберразведки R-Vision TIP. Платформа R-Vision TIP, в свою очередь, позволит дообогатить эти данные, выявить взаимосвязи с другими доступными сведениями, настроить автоматический мониторинг в событиях SIEM и блокировку средствами защиты.

Официальный релиз продукта запланирован на первый квартал 2021 года, но старт пилотных проектов планируется уже на ближайшее время.