Компания Xello презентовала новую версию продукта Xello Deception. Ключевыми нововведениями версии 5.3 стали: новая архитектура для гибкого управления ложным слоем инфраструктуры на распределённых площадках, новый модуль гибридной эмуляции ложных активов, возможность получения событий аутентификации из сторонних систем и детектирования MITM-атак.
Xello Deception выявляет целевые атаки с помощью распределённых приманок и ловушек, которые позволяют эмулировать различные ложные данные и информационные активы в сети для обмана злоумышленника. Новая версия продукта позволяет подключать географически распределённые площадки к системе и гибко управлять ложным слоем инфраструктуры на них из единой консоли управления. Данная архитектура получила название Xello Satellite или серверы Satellite (серверы, устанавливающиеся на распределённых площадках).
Для обеспечения максимального покрытия всех сегментов сети ложной инфраструктурой реализован новый модуль гибридной эмуляции Xello Decoy Trаps, который позволяет создавать ложные активы и данные на уровне протоколов, операционных систем, сервисов и устройств.
Особенностью платформы являются высокодоверенные индикаторы компрометации, которые возникают при взаимодействии злоумышленника с ложными активами. Xello Deception может отправлять события в системы мониторинга инцидентов и управления ими. С новым модулем Xello Trapless стал возможен обратный сценарий, при котором платформа получает события, связанные с приманками и ловушками, из внешних систем (Apache Kafka, RabbitMQ, SIEM, Windows Event Collector). Это позволяет использовать решение в инфраструктурах без доменов.
«Сегодня в условиях импортозамещения заказчики используют различные инструменты управления инфраструктурой и системы обеспечения информационной безопасности бизнеса. Поэтому мы делаем нашу платформу вендоронезависимой для бесшовной интеграции со сторонними системами и решениями, а также адаптивной под различные инфраструктуры, — комментирует технический директор Xello Алексей Макаров. — Вместе с развитием «классического» набора функциональных возможностей систем киберобмана — ловушек и приманок — мы развиваем смежные направления. Так, например, мы вывели в отдельный модуль Xello Identity Protection (ранее — Credential Defender), который позволяет сокращать поверхность атаки, удаляя различные артефакты работы пользователей на конечных устройствах».
Также Xello Deception 5.3 позволяет детектировать атаки типа «человек посередине» (Man-in-the-middle, MITM). Специальный модуль в режиме реального времени выявляет вредоносную активность, связанную с протоколами LLMNR, mDNS, NBT-NS (протоколы многоадресного разрешения локальных имён). В ходе реализации кибератаки злоумышленники подделывают авторитарный источник для разрешения имени, отвечая на трафик LLMNR, mDNS, NBT-NS и перенаправляя жертву на поддельный ресурс для компрометации легитимной учётной записи.
