Attivo Networks to amerykański producent platformy ThreatDefend™, która wykrywa włamania w czasie rzeczywistym, zarówno do prywatnych i publicznych sieci i centrów danych, jak również do środowisk specjalistycznych, takich jak Industrial Control System (ICS) SCADA, Internet of Things (IoT), czy Point of Sale (POS).

Platforma zapewnia wymaganą widoczność oraz uzasadnione ostrzeżenia w celu wykrywania, izolowania i obrony przed atakami cybernetycznymi.

W przeciwieństwie do systemów prewencyjnych, Attivo Networks zakłada, że napastnik znajduje się wewnątrz sieci. Platforma wykorzystuje przynęty o wysokiej interakcji oraz punkty końcowe, serwery i aplikacje, które są powszechnie stosowane w całej sieci, aby odszukać zagrożenie i przeciwdziałać.

Serwer BOTsink Deception został zaprojektowany w celu dokładnego i efektywnego wykrywania, rozpoznania i przemieszczania się zaawansowanych zagrożeń, skradzionych danych uwierzytelniających, okupów, ataków typu man-in-the-middle i phishing.

Attivo Multi-Correlation Detection Engine (MCDE) przechwytuje i analizuje adresy IP, metody i działania atakujących, które można następnie przeglądać w panelu Attivo Threat Intelligence Dashboard, eksportować do celów raportowania kryminalistycznego w formatach IOC, PCAP, STIX, CSV lub mogą być one wykorzystywane do automatycznej aktualizacji SIEM i systemów prewencyjnych do blokowania, izolowania i polowania na zagrożenia.

LINIE PRODUKTOWE

• BOTsink®
• ThreatDirect®
• ThreatStrike®
• ADSecure™
• ThreatOps®
• ThreatPath®

ROZWIĄZANIA

• Wykrywanie zagrożeń
• Ochrona środowisk chmurowych
• Wykrywanie zagrożeń wewnętrznych
• Reagowania na incydenty
• Programy redukcji ryzyka
• Aktywna ochrona katalogów

CHARAKTERYSTYKA ROZWIĄZAŃ

THREAT DETECTION

Platforma działa za pomocą pułapek i przynęt zaprojektowanych w celu przyciągnięcia napastnika do udziału i odsunięcia się od aktywów produkcyjnych. Przynęty są projektowane w całej sieci wraz z danymi uwierzytelniającymi, punktami końcowymi, mapowanymi akcjami, danymi wprowadzającymi w błąd lub aplikacjami, które będą wprowadzać napastnika z powrotem do serwera, który następnie ostrzeże o jego obecności. Attivo Networks korzysta z rzeczywistych systemów operacyjnych, usług i aplikacji, które odzwierciedlają środowisko produkcyjne.

CLOUD DETECTION

Ochrona publicznego, prywatnego lub hybrydowego środowiska chmury, poprzez wykrywanie ataków na infrastrukturę chmury. Dzięki temu można szybko wykrywać ruchy boczne i zwiadowcze, przekierowywać ataki i otrzymywać alarmy o zagrożeniach wewnątrz dowolnej infrastruktury chmury lub środowiska bez serwera.
Obsługiwane środowiska chmury:
Amazon Web Services (AWS), Microsoft Azure, Oracle Cloud, Google Cloud Platform (GCP), OpenStack.

INSIDER THREAT DETECTION

Zespoły bezpieczeństwa mogą szybko wykryć nieautoryzowane skanowanie sieci, kradzież danych uwierzytelniających i ponowne użycie lub próby uzyskania dostępu i kradzieży danych poprzez tworzenie syntetycznych, zwodniczych zasobów mieszanych ze środowiskiem produkcyjnym. Tworząc serwery oszustwa, dokumenty z funkcjami sygnalizacyjnymi, pliki, bazy danych i inne elementy wabiące, wprowadzane są oszustwa w celu szybkiego wykrywania naruszeń zasad lub złośliwej aktywności przed zagrożeniami z zewnątrz.

INCIDENT RESPONSE

Przynęty rejestrują wszystkie interakcje z atakującymi w celu przechwycenia dowodów, które są następnie analizowane. Dzięki rozwiązaniu Informer, wbudowany silnik analizy automatycznie koreluje dane dotyczące ataku, wzbogaca informacje o natywne kanały wywiadu o zagrożeniach i zapewnia dokładny chronologiczny obraz sesji wszystkich działań napastnika.

RISK REDUCTION PROGRAMS

Platforma jest zgodna ze znanymi ramami bezpieczeństwa, takimi jak NIST Cybersecurity Framework, MITRE ATT&CK oraz ISO 27001/27002. Zapewnia bieżącą ocenę niezawodności zarówno narzędzi i procesów bezpieczeństwa, jak i pomocy w dostarczaniu wskaźników odpowiedzialności i działania lub oceny programu zarządzania ryzykiem biznesowym.  Dzięki zdolności do obrony starszych systemów i urządzeń o ograniczonym poziomie bezpieczeństwa, a także zdolności do pokrycia rozszerzającej się powierzchni ataku, platforma ThreatDefend zmniejsza ryzyko związane z bezpieczeństwem cybernetycznym w całej organizacji.

ACTIVE DIRECTORY RECON PROTECTION

Platforma TheatDefend zapewnia szeroki zakres ochrony infrastruktury Active Directory bez wpływu na działalność operacyjną. Łatwe przechwytywanie i przekierowywanie działań rozpoznawczych ukierunkowanych na krytyczne dane AD. Proaktywna ochrona najbardziej krytycznych kont AD i informacji przed nieautoryzowanym dostępem.

DLACZEGO ATTIVO NETWORKS?

• Łatwy do wygenerowania - Kampanie oszukańcze są automatycznie proponowane w oparciu o samokształcenie środowiska (bez kłopotliwej autentyczności).
• Łatwy do wdrożenia - Technologie pozapasmowe i bezagentowe sprawiają, że wdrożenie jest proste i wysoce skalowalne (Machine Learning).
• Łatwy w obsłudze - Aktywne alarmy, automatyzacja i natywna integracja umożliwiają szybką reakcję na alarmy (nie wymaga dodatkowego wsparcia).

WYKRYWANIE ZAGROŻEŃ

OSZUKAĆ – Ujawnienie zagrożenia w sieci

• Atrakcyjne, wiarygodne przynęty,
• Przynęta Ransomware,
• Oszustwa dotyczące danych.
   

WYKRYĆ - Wczesne i dokładne wykrywanie

• Ruch boczny i kradzież danych uwierzytelniających,
• Nieustannie zmieniający się krajobraz zagrożeń,
• Rozwijająca się powierzchnia ataku,
• Wewnętrzne i zewnętrzne podmioty odpowiedzialne za zagrożenie.

BRONIĆ - Przyspieszona reakcja na incydent

• Zaawansowana analiza ataków,
• Uzasadnione ostrzeżenia,
• Automatyczne reagowanie na incydenty,
• Widoczność ścieżek zagrożeń i wizualizacja ataków.

Prezentacja rozwiązania: Oszukać hakera? Czemu nie!