Комментарии 23
Приветствую! Интересный продукт. А можно ли получить в Powerpoint презентацию продукта? Заранее спасибо за ответ!
Отправили презентацию в ЛС. Кроме того, дополнительная информация, например системные требования, есть на странице проекта.
Спасибо за интересную статью.
Если сравнивать с лидерами рынка Deception систем, то есть ли интеграции с другими продуктами и какой функционал реализован в них?
Как реализовано мастабирование в больших сетях такого решения? Жду продолжение от автора! Успехов.
По части интеграций у нас реализован базовый функционал - умеем работать с разными SIEM, поддерживаем CEF-формат отправки событий. Настраивать пока что приходится руками, так что в этом плане более старые Deception могут оказаться удобнее.
Чтобы ответить на второй ваш вопрос, нужно рассказать об архитектуре. Мы оставили подробности для второй статьи, но немного заспойлерим.
В итоге мы пришли к двум отдельным сущностям, центру управления (с UI, контролем эмуляции трафика и другими подсистемами) и супервизору (он разворачивает и поддерживает ловушки). Центр управления и супервизор можно запустить на одной машине, но этот вариант подходит только для небольших сетей. Когда нужно покрыть несколько подсетей или большой пул адресов, мы разворачиваем несколько супервизоров и делим между ними зоны ответственности. Такая конфигурация устойчивее, и не нужно добавлять центр управления во все подсети. Центр управления масштабируется вертикально. В большинстве случаев достаточно простого увеличения мощности по мере роста нагрузки. Сейчас мы испытываем систему в сети с несколькими десятками тысяч хостов - работает нормально.
А если супервизоры нужно поставить в изолированые VLAN?
Для работы супервизора нужно, чтобы он знал адрес центра управления и имел к нему сетевой доступ, без этого никак. Его придется подключить одновременно в две подсети: изолированную и ту, в которой доступен центр управления. С одного интерфейса супервизор будет расставлять ловушки, с другого - общаться с центром.
В дистрибутивах на подобие RHEL или CentOS все сложнее — приходится лезть в настройки ядра и подстраиваться под другой набор сетевых утилит.
Что-то я не понял, в rhel нет iproute2? Или вы о чём?
Мы немного о другом. Дело в том, что Red Hat пишет свой тулчейн. В принципе, в нем есть все необходимые инструменты, но иногда их поведение отличается от привычного. Когда мы в очередной раз с этим столкнулись - решили использовать Debian. А еще его проще собрать в ISO.
Обычно, если описание похоже на рекламный плакат, то хотя бы прикладывают ссылку на гит с репой кастрированного продукта , что б посмотреть-потрогать что это за зверь.
Тут же промо статьия без смысла и пользы для читателя. Зачем вы вообще ?
Здравствуйте! Большенство инфраструктур двигаются в Cloud, какие облачные среды поддерживаются? Можете описать кейсы использования Deception в Cloud? Также интересно что собой представляет агент, какой у него функционал, зачем он нужен и как они распростряняются в инфраструктуре?
Спасибо за описание решения.
В теории нет никаких ограничений по использованию нашей Deception в облаках. Специальных действий для поддержки не потребуется, но мы еще не проводили таких тестов, так что не будем утверждать наверняка.
По сути, агент — небольшая утилита на GO. Устанавливается вручную, но есть скрипт, который упрощает процесс.
Сразу скажу, что агенты не обязательно устанавливать на все машины в сети. Мы понимаем, что это не всегда уместно. При необходимости можно обойтись вовсе без них, но тогда Deception потеряет в функциональности.
Прежде всего агент нужен, чтобы поддерживать правдоподобную эмуляцию обмена трафиком.
Во-вторых, с помощью агентов можно заманивать злоумышленника в ловушки. Они могут периодически подключаться к ловушкам, например, по FTP. При этом креды отправляются в открытом виде и выступают в роли приманки.
В-третьих, наши агенты умеют проверять версии ПО на пользовательских компьютерах. С их помощью можно вовремя заметить и обновить устаревшие утилиты.
В перспективе с их помощью можно собирать информацию о действиях злоумышленника или пресекать вредоносную активность, например, автоматически отключать скомпрометированные машины от сети. Этот функционал в планах.
А эти агенты общаются с супервизорами? Проверять версии ПО - это что-то в духе управления уязвимостями?
Да, они собирают информацию о версиях, отправляют на супервизоры, а супервизоры пересылают данные в центр управления. То же путь, только в обратном порядке, проходят команды из центра управления. Центр не взаимодействует с агентами напрямую.
Можно сказать, что это заготовка для полноценного управления уязвимостями. Пока что версии ПО только отображаются в пользовательском интерфейсе. Планируем автоматически сверять их с актуальной базой cve.
А как система определяет злоумышленник приконнектился или нет? как оно фильтрует "фолс-позитивы" при этом? по юзерагенту? не понятно.
Ловушки сообщают в центр управления о любом взаимодействии, как о вторжении. Однако центр управления "знает", когда и в какие в ловушки постучится каждый из агентов. Ведь он раздает команды на эти запросы. Центр управления сверяется с условным "графиком эмуляции" и исключает ложные срабатывания из отчетов, которые видит пользователь.
День добрый! Познавательно. А можно доку по системе почитать где-то? На сайте не нашёл вообще ничего. Хотелось бы понять как оно вообще работает. По интерфейсу - всё красиво. Доки реально не хватает.
Присоединяюсь к вопросу. Спс.
видно дока только после NDA)
Признаться, мы оказались неготовы к такому живому интересу со стороны читателей) Сейчас у нас нет технического документа, который мы могли бы обнародовать. Но мы уже пишем следующую статью о системе. Там расскажем и об архитектуре, и о том, как устроены агенты, и о том, как все установить и настроить. Со скриншотами и во всех подробностях.
Если хотите узнать что-то конкретное - спрашивайте, постараемся дать ответы в материале.
Бесплатный сыр в Docker — как поднять сотни сетевых ловушек на одной машине