Компания «Гарда» анонсировала выход новой версии платформы «Гарда Deception», которая призвана улучшить выявление киберугроз и администрирование систем безопасности благодаря усилению автоматизации, более широкой интеграции и повышению адаптивности решения. Об этом информировали CNews в пресс-службе компании.
Значимым нововведением стала реализация безагентного способа размещения ловушек с использованием Microsoft Endpoint Configuration Manager (MECM). Этот подход дает возможность централизованно распределять приманки по выбранным группам компьютеров, не требуя установки специального программного обеспечения, что снижает сложность управления.
Для увеличения правдоподобности ловушек в продукт внедрена функция загрузки учетных записей из LDAP. Организации теперь могут в автоматическом режиме обнаруживать в Active Directory неактивные или заблокированные учетные записи и применять их в качестве ложных целей, что делает имитацию инфраструктуры более убедительной и затрудняет действия злоумышленников.
В обновленной версии расширены инструменты для генерации приманок: появился визуальный редактор HTML-страниц для протоколов HTTP/HTTPS, позволяющий создавать копии реальных корпоративных веб-сервисов. Это повышает шансы на вовлечение атакующего во взаимодействие с декойтивной средой.
В целях совершенствования механизмов обнаружения атак добавлена поддержка идентификации атак типа «человек посередине» (MitM) для протокола mDNS. Это позволяет охватить мониторингом больше широковещательных протоколов и регистрировать дополнительные векторы атак внутри периметра сети предприятия.
Функционал наблюдения за состоянием системы также был модернизирован. Осуществлена интеграция с платформой Prometheus для экспорта метрик, отражающих статус основных модулей. Совмещение данных способствует централизованному отслеживанию исправности всех компонентов решения.
Кроме того, в системе появилась опция использования приманок без необходимости подключения к контроллеру домена. Это расширяет области применения продукта, позволяя задействовать его в изолированных сетевых сегментах или в инфраструктурах, где не используется Active Directory.
В рамках обновления был увеличен перечень совместимых операционных систем и видов оборудования, куда вошли актуальные версии рабочих станций и серверов, а также устройства IoT и сетевая аппаратура. Введен новый класс устройств — мобильные гаджеты, что позволяет точнее воспроизводить реальную ИТ-среду организации.
Изменения также затронули пользовательский интерфейс и обработку инцидентов: усовершенствована визуализация декойтивного слоя, улучшено представление событий, а в оповещениях, отправляемых по электронной почте, теперь указывается уровень критичности угрозы и номера портов, на которых сработали ловушки.
«Наша цель — превратить «Гарда Deception» в эффективный и удобный инструмент, который помогает обнаруживать злоумышленников и устранять пробелы в традиционных системах кибербезопасности. Многие атаки сегодня осуществляются с применением легитимных учетных данных сотрудников и стандартных инструментов, без задействования вредоносных программ, что позволяет им оставаться незамеченными для большинства защитных решений. В развитии продукта мы концентрируемся на улучшении интеграционных возможностей и адаптивности «Гарда Deception» под специфику требований клиентов и динамику рынка», — подчеркнула Екатерина Харитонова, руководитель продукта «Гарда Deception».
