Какую задачу решают решения класса Deception

Какую задачу решают решения класса Deception

Недавно появился класс продуктов, который относится к классу DDP (Distributed Deception Platform). Такой продукт позволяет дополнить имеющиеся решения EDR, XDR, NTA и на начальном этапе обнаружить lateral movement хакера по своей сети. Для перемещения между компьютерами сотрудников и между сетями используются уже имеющиеся аккаунты в системе и поэтому злоумышленника сложно отличить от собственного сотрудника. В этом проблема распознавания lateral movement, что все действия производятся от аккаунта легитимного сотрудника. Но ведь уже были HoneyPot раньше. Этот новый класс продуктов отличается от решения класса HoneyPot тем, что он располагает специальные приманки не в каком-то отдельном сегменте сети, куда хакер должен (почему-то) прийти, а прямо на каждом компьютере. В английском языке такие приманки называют traps, decoy и lure. Приманкой может служить файл или аккаунт пользователя, который в обычной жизни компании не используется, но для хакера может быть привлекателен тем, что он может быть аккаунтом администратора или бухгалтера или в файле могут быть нужные ему данные. Поскольку приманка на виду, то вероятность, что злоумышленник "клюнет" увеличивается. Эти приманки не требуют установки агентов, могут распространяться через GPO, и они контролируются системой управления и доступ к ним или подбор пароля к ним будет означать, что кто-то "поймал наживку" - мы начинаем реагировать.




Обсуждение решений данного типа в записи доступно тут .


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

ksiva

Пусть будет утренний в честь того, что я его создал утром.