Xello Deception: управление ложной инфраструктурой для защиты от атак
Компания Xello, разработчик российской платформы для защиты от целевых атак с помощью технологии киберобмана, представила новую версию продукта – Xello Deception 5.3. Ее ключевые нововведения – новая архитектура для гибкого управления ложным слоем инфраструктуры на распределенных площадках, новый модуль гибридной эмуляции ложных активов, возможность получения событий аутентификации из сторонних систем и детектирования MITM-атак.
Xello Deception выявляет целевые атаки с помощью распределенных приманок и ловушек, которые эмулируют ложные данные и информационные активы в сети для обмана злоумышленника. Новая версия продукта позволяет подключать географически распределенные площадки к системе и гибко управлять ложным слоем инфраструктуры на них из единой консоли управления. Эта архитектура получила название Xello Satellite или серверы Satellite (серверы, устанавливающиеся на распределенных площадках).
Для максимального покрытия всех сегментов сети ложной инфраструктурой реализован новый модуль гибридной эмуляции Xello Decoy Traps, который позволяет создавать ложные активы и данные на уровне протоколов, операционных систем, сервисов и устройств.
Особенностью платформы являются высокодоверенные индикаторы компрометации, которые возникают при взаимодействии злоумышленника с ложными активами. Xello Deception может отправлять события в системы мониторинга инцидентов и управления ими. С новым модулем Xello Trapless стал возможен обратный сценарий, при котором платформа получает события, связанные с приманками и ловушками, из внешних систем (Apache Kafka, RabbitMQ, SIEM, Windows Event Collector). Это позволяет применять решение в инфраструктурах без доменов.
Xello Deception 5.3 также позволяет детектировать атаки типа «человек посередине» (man-in-the-middle, MITM). Специальный модуль в режиме реального времени выявляет вредоносную активность, связанную с протоколами LLMNR, mDNS, NBT-NS (протоколы многоадресного разрешения локальных имен). В ходе реализации кибератаки злоумышленники подделывают авторитарный источник для разрешения имени, отвечая на трафик LLMNR, mDNS, NBT-NS и перенаправляя жертву на поддельный ресурс для компрометации легитимной учетной записи.
Как подчеркивают в компании, в условиях импортозамещения заказчики используют разные инструменты управления инфраструктурой и системы обеспечения ИБ, поэтому платформа Xello сделана вендоронезависимой для бесшовной интеграции со сторонними системами и решениями и адаптивной под различные инфраструктуры.