ThreatStrike®

 

Rozwiązanie Attivo ThreatStrike Endpoint, będące częścią modułowej platformy ThreatDefend, zapewnia wczesne i dokładne wykrywanie ukierunkowanych ataków na punkty końcowe i serwery. Konfigurowalna i nieinwazyjna technologia bezagentowego oszustwa umieszcza przynętę i bułkę tartą prowadzącą do serwera zaręczynowego, gdzie generowany jest alert, analizowane są ataki i działania mające na celu poddanie zainfekowanej kwarantannie
system jest aktywowany.

Aby dotrzeć do wrażliwych danych sieciowych, atakujący narażą komputery na kradzież haseł i skrótów, których można następnie użyć do poruszania się w obrębie sieci i eskalacji uprawnień w celu przyspieszenia ataku. Rozwiązanie ThreatStrike to technologia bez agentów, która dynamicznie sadzi dane uwierzytelniające, przynęty i dyski sieciowe służące do wykrywania oprogramowania ransomware.
 
 
 
Zautomatyzowana analiza ataku i raportowanie 
 
Pakiet Attivo ThreatStrike zapewnia analizę ataków w czasie rzeczywistym i ostrzega o stosowaniu podstępów. Gdy atakujący weźmie przynętę i spróbuje użyć oszukańczych danych uwierzytelniających, zostaje przekierowany do rozwiązania Attivo BOTsink, które identyfikuje zainfekowany punkt końcowy, analizuje atak i zapewnia integrację z innymi firmami w celu wymiany informacji i automatyzacji akcji reagowania za pomocą urządzeń zapobiegających. Ponadto aplikacje SIEM można sprawdzać w celu sprawdzania i zgłaszania alertów na podstawie nieudanego logowania poświadczeń oszukiwania, zapewniając dokładne alerty dotyczące powiadomień, które zwykle byłyby zakopane i utracone w dziennikach danych. Silnik analizy BOTsink idzie również o krok dalej niż typowe piaskownice, przechwytując i analizując wyniki badań kryminalistycznych pamięci w ramach analizy ataku. Zbyt często dane te są tracone, a wraz z nimi ślady atakującego. Ta wyjątkowa korzyść często zapewnia bardzo potrzebny wgląd, aby naprawdę zrozumieć i szybko zareagować na atak.
 
Zapobiegnij ransomware
 
Ransomware działa poprzez infekowanie i szyfrowanie dołączonych udziałów sieciowych na urządzeniu. Punkt końcowy Attivo ThreatStrike wabi jednak ten proces, mapując udziały SMB do maszyn wirtualnych angażujących wabik BOTsink. Dlatego też, gdy ransomware infekuje urządzenie, na którym zainstalowano przynęty ThreatStrike SMB, ransomware szyfruje zamapowane udziały sieciowe wabika zamiast udziałów produkcyjnych. W testach próbnych tej technologii zauważono, że oszustwo o wysokiej interakcji Attivo może spowolnić cykl ataku szyfrującego 25 razy, utrzymując oprogramowanie ransomware zajęte szyfrowaniem ciągłego przesyłania plików oszukańczych. Analiza ataków Petya / NotPetya i WannaCry przeprowadzona przez Attivo Labs pokazuje skuteczność technologii oszukiwania w wykrywaniu i powstrzymywaniu ataków ransomware.