dark-logo

Ловушки, на которые попадается только злоумышленник

Для раннего выявления атакующего в инфраструктуре мы разворачиваем ложные цели — ловушки, имитирующие реальные серверы, сервисы и данные. Легитимные пользователи с ними не работают, поэтому любое обращение почти наверняка означает вредоносную активность — сигнал приходит рано и почти без ложных срабатываний.

etap3

Сигнал, которому можно верить

Почти нет ложных срабатываний

Каждый сигнал ценен — SOC не тонет в шуме, а сразу реагирует на настоящую угрозу.

Раннее выявление

Позволяют заметить горизонтальное перемещение злоумышленника внутри сети на ранних этапах атаки.

Интенсивность атак

Ловушка на периметре показывает не только факт атак, но и их интенсивность.

Широкое покрытие

Ловушки дёшево расставляются по инфраструктуре и создают минное поле для атакующего.

Почти нет ложных срабатываний

Каждый сигнал ценен — SOC не тонет в шуме, а сразу реагирует на настоящую угрозу.

Раннее выявление

Позволяют заметить горизонтальное перемещение злоумышленника внутри сети на ранних этапах атаки.

Интенсивность атак

Ловушка на периметре показывает не только факт атак, но и их интенсивность.

Широкое покрытие

Ловушки дёшево расставляются по инфраструктуре и создают минное поле для атакующего.

Ложные серверы и сервисы

 

Honeypot — специализированная ловушка, имитирующая реальный сервер, сервис или данные, представляющие интерес для атакующего. Выглядит как настоящая цель, но существует только чтобы поймать обращение.

Внутри сети

Имитируют привлекательные внутренние системы (файловые серверы, БД, «1С», админ-панели). Срабатывание — признак того, что атакующий уже внутри и перемещается по сети.

На периметре

Ловушки на внешнем периметре фиксируют попытки сканирования и подбора — и дают понять интенсивность атак на компанию, а не только сам факт.

Внутри сети

Имитируют привлекательные внутренние системы (файловые серверы, БД, «1С», админ-панели). Срабатывание — признак того, что атакующий уже внутри и перемещается по сети.

На периметре

Ловушки на внешнем периметре фиксируют попытки сканирования и подбора — и дают понять интенсивность атак на компанию, а не только сам факт.

Метки-триггеры в реальных ресурсах

 

Canary Token — скрытая метка, встроенная в документ, ресурс или запись. При обращении к ней срабатывает сигнал. Размещаются там, где их найдёт только тот, кто целенаправленно ищет ценное.

Документы

Метки в документах — срабатывают при открытии файла (например, приманочные «пароли» или «выгрузки»).

Портал / SharePoint

В разделах корпоративного портала и SharePoint — реагируют на доступ к приманочным страницам и файлам.

Базы данных

Триггеры к ячейкам и полям-приманкам — срабатывают при запросе к «интересным» записям.

Файлошары и файлообменники

Приманочные файлы на файловых шарах и файлообменниках — реагируют на доступ и копирование.

Общие и личные ящики

Метки в shared mailboxes, mail-папках и почтовых ящиках — срабатывают при чтении приманочных писем и вложений.

Учётные записи-приманки

Специальные УЗ, которыми никто и никогда не должен пользоваться. Любая попытка входа — сигнал компрометации.

Документы

Метки в документах — срабатывают при открытии файла (например, приманочные «пароли» или «выгрузки»).

Портал / SharePoint

В разделах корпоративного портала и SharePoint — реагируют на доступ к приманочным страницам и файлам.

Базы данных

Триггеры к ячейкам и полям-приманкам — срабатывают при запросе к «интересным» записям.

Файлошары и файлообменники

Приманочные файлы на файловых шарах и файлообменниках — реагируют на доступ и копирование.

Общие и личные ящики

Метки в shared mailboxes, mail-папках и почтовых ящиках — срабатывают при чтении приманочных писем и вложений.

Учётные записи-приманки

Специальные УЗ, которыми никто и никогда не должен пользоваться. Любая попытка входа — сигнал компрометации.

Зачем расставлять ловушки

Высокая достоверность

Сигнал от ловушки почти не даёт ложных срабатываний — в отличие от многих детектов на реальном трафике.

Ловит перемещение

Выявляет горизонтальное перемещение — этап, который часто остаётся незаметным для классического мониторинга.

Выигрыш во времени

Раннее обнаружение даёт время отреагировать до того, как атакующий достигнет цели.

Понимание давления

Ловушки на периметре показывают интенсивность и характер атак на компанию.

Разгрузка SOC

Мало шума — аналитики не отвлекаются на ложные тревоги и работают по реальным сигналам.

Минное поле

Атакующий не знает, что реально, а что ловушка — это замедляет его и повышает риск обнаружения.

Высокая достоверность

Сигнал от ловушки почти не даёт ложных срабатываний — в отличие от многих детектов на реальном трафике.

Ловит перемещение

Выявляет горизонтальное перемещение — этап, который часто остаётся незаметным для классического мониторинга.

Выигрыш во времени

Раннее обнаружение даёт время отреагировать до того, как атакующий достигнет цели.

Понимание давления

Ловушки на периметре показывают интенсивность и характер атак на компанию.

Разгрузка SOC

Мало шума — аналитики не отвлекаются на ложные тревоги и работают по реальным сигналам.

Минное поле

Атакующий не знает, что реально, а что ловушка — это замедляет его и повышает риск обнаружения.

Под вашу инфраструктуру и в связке с SOC

Состав определяем совместно

Состав, количество и места размещения ложных целей определяются вместе с вашими специалистами — с учётом архитектуры ИТ-инфраструктуры, чтобы ловушки выглядели естественно и стояли там, где их будет искать атакующий.

События — в SOC с повышенным приоритетом

Все события, генерируемые ложными целями, передаются в сервис SOC и обрабатываются с повышенным приоритетом — как сигналы высокой достоверности.

Состав определяем совместно

Состав, количество и места размещения ложных целей определяются вместе с вашими специалистами — с учётом архитектуры ИТ-инфраструктуры, чтобы ловушки выглядели естественно и стояли там, где их будет искать атакующий.

События — в SOC с повышенным приоритетом

Все события, генерируемые ложными целями, передаются в сервис SOC и обрабатываются с повышенным приоритетом — как сигналы высокой достоверности.

img_3 1

Ваша проблема — наше решение

check
Honeypot и Canary Token — ловушки для атакующих в связке с SOC