本文是由Edward Amoroso博士与Attivo Networks的欺骗技术团队配合开发的五部分系列中的第三部分。本文概述了Attivo Networks解决方案产品及其如何集成到企业网络中以降低网络安适危害。
Attivo Networks ThreatDefend解决方案是一个基于欺骗的平台,可以及早准确地检测网络内威胁和自动化,从而加速打击分析和事件响应。该平台基于诱饵,诱饵,应用措施和数据欺骗,在初始风险时或在网络中横向移动时误导,阻止和粉碎威胁。
该平台涵盖从遗留根本架构到现代云架构的所有内容,并且可以从用户网络,数据中心,云,ROBO或基于机器自学习欺骗筹备,部署和操纵的专用环境轻松部署。该解决方案在其欺骗真实性要领中与其他欺骗平台差别,并且包罗自动打击分析和广泛的事件响应原生集成。
平台根本涉及BOTsink Engagement Server,它撑持欺骗性部署的集中打点。这些处事器可以实现为物理,虚拟化或云实例。主要的BOTsink打点成果包孕措置惩罚惩罚警报,协调分析,撑持取证,呈报,可见性工具以及欺骗与企业安适控制系统的集成。
ThreatDefend检测和响应平台包孕BOTsink网络欺骗; ThreatStrike端点欺骗; ThreatDirect漫衍式环境撑持长途办公室和分支机构(ROBO)和微分段网络,以及云中的事情负载; ThreatOps事件响应剧本编排; 和ThreatPath通过供给可被恶意行为者操作以袒露打击的袒露打击路径的可见性来减少打击面(参见图1)。
图1. ThreatDefend平台组件
ThreatDefend平台撑持与给定商业企业最相关的成果的定制部署。这有助于为供给检测托管处事的大型组织,中型公司,当局实体和处事供给商轻松部署。这允许每个实体凭据本身的节奏和围绕组织的危害打点需求来扩展欺骗部署。
与其他网络安适控制差别,Attivo Networks ThreatDefend平台为现代企业架构的所有八个主要方针组件供给主动的网内网络安适掩护。方针的广泛安适性笼罩范畴(参见下面的列表)有助于通过最现代化的云部署对传统设备进行准确有效的检测。
1.云处事 - 云托管欺骗允许掩护果然或暗里托管的应用措施事情负载。
2.数据中心网络 - 数据中心的欺骗检测到横向对象向遍历,这在许多高级打击中很常见。
3.企业局域网 - 传统局域网仍然是欺骗措置惩罚惩罚的重要方针。
4.已部署的端点 - 在端点上植入的欺骗性端点凭证对付检测根据被盗和重用以及主动将打击者引导到欺骗环境至关重要。
5.专业设备 - 欺骗在难以安适的专用网络*给早期检测,这些网络往往是打击者更容易的入口点。这包孕物联网,ICS-SCADA,路由器,交换机,电信,发卖点以及其他以牺牲安适性为价钱的运营或创新的专用设备。
6.软件应用措施 - 软件应用措施是引入欺骗性措置惩罚惩罚的高价值方针。欺骗可以非常有效地设置诱饵应用措施处事器,以便进行准确检测,并针对打击者的打击方针及打击方法构建威胁谍报。
7.长途和分支机构 - 企业中的长途办公室分支机构(ROBO)可以通过转发器以简单,经济的方法得到掩护,使组织能够有效地扩展到漫衍式环境。
8.目录处事 - 这是一个欺骗的重要位置,因为高级打击使用Active Directory等目录处事来指导横向遍历和升级权限。AD欺骗在验证端点欺骗凭证的真实性和可信度方面也阐扬着重要感化。
企业欺骗环境的这些虚拟和物理组件创建了有吸引力的诱饵和面包屑诱饵,便于将基于参预的打击数据,遥测和智能收集到ThreatDefend平台,以进行措置惩罚惩罚,分析,解释,可视化和呈报。将平台集成到企业安适仓库中非常简单,并且可以增补外围的DMZ掩护,例如防火墙和IPS,以及企业控制,如SIEM,EDR / AV和GRC(参见图2)。
图2. ThreatDefend的通例网络配置
本机集成还将通过自动共享威胁谍报和事件响应操纵(如阻止,断绝和威胁搜寻)来增强现有控件的成果。