Fidelis выпустил обновление решений Fidelis Deception & Network версии 9.4
Fidelis Network – мощная система на рынке обнаружения вторжений и защиты от утечек информации (DLP). Решение позволяет анализировать весь сетевой трафик вашей организации на мультигигабитних скоростях. С помощью Fidelis Network возможно выявлять инструменты и тактику современных злоумышленников, включая продвинутое вредоносное программное обеспечение, эксплойты, командные и контрольные центры, которые обычно могут обойти традиционные сетевые системы безопасности.
Представляем основной перечень новых функций и улучшений в Fidelis Deception v9.4:
1. Новое меню: новое меню включено в версию 9.4 и состоит из трех подменю:- Ловушки: вручную настраивайте ловушки и управляйте пользователями.
- "Breadcrumbs": добавление в качестве приманки приложений, управление настройками сетевого Deception и добавление/развертывание Active Directory.
- Data Deception: выполнение задач Data Deception, включая добавление файла образа реальной ОС, управление спуфингом файловой системы и настройками для ловушек, требующих TLS.
2. Deception Layer: пункт меню «Deception» в графическом интерфейсе пользователя включает строку, которая указывает степень покрытия ловушками вашей инфраструктуры. Пользователи могут навести указатель мыши на опцию меню, чтобы увидеть предложения о том, как увеличить охват.
3. Deception Action: эта новая функция доступна в меню Discovery и позволяет пользователям просматривать информацию из ловушек с помощью Dashboard, инцидентов, предоставляя доступ к учетным данным и загруженным файлам.
4. Новый тип инцидентов: User Deception: этот тип инцидентов генерируется Fidelis Deception и срабатывает на основе мониторинга активности пользователей Deception на сервере Active Directory.
5. Active Directory Deception: анализ: Fidelis Deception для Active Directory включает определение поддельных учетных данных пользователя в Active Directory, привязку этих поддельных пользователей к ловушкам и периодический доступ этих ловушек к Active Directory. Злоумышленники могут использовать этих поддельных пользователей для доступа к ловушкам и другим активам в организации. Версия 9.4 добавляет анализ журналов Active Directory, который показывает, использовал ли злоумышленник фальшивых пользователей для доступа к активам в организации (а не только к ловушкам). Это более надежное обнаружение, чем просто использование поддельных учетных данных в качестве "breadcrumbs" на активах, которые предлагают наши конкуренты.
6. SSL-сертификаты ловушек: теперь пользователь с правами администратора может подписывать сертификаты ловушек. Запрос на подпись сертификата можно создать, подписать и загрузить в ловушки. Администратор также может настроить данные SSL в сертификате в соответствии с требованиями организации. Эта функция обеспечивает лучшую аутентичность ловушек с использованием SSL и предотвращает снятие отпечатков на ловушках.
7. "Breadcrumbs" для ловушек RealOS. Начиная с 9.4, хлебные крошки могут указывать на приложения-ловушки RealOS. Частью процесса развертывания образов RealOS клиентов является анализ и проверка того, какие приложения и порты активны в образах. На основе анализа определяются хлебные крошки, относящиеся к идентифицированным приложениям. Администратор может перезаписать результаты анализа и определить, какие приложения и хлебные крошки следует использовать для образов RealOS.
8. Развертывание в облаке Azure: версия 9.4 расширяет возможности Fidelis Deception для развертывания в облаке с серверами Decoy в облаке Azure с сенсором Fidelis Network. Обратите внимание, что хлебные крошки на сервере-приманке в облаке могут быть развернуты в облаке и на локальных активах.
9. IP-адреса развертывания в облаке: IP-адреса для облачных ловушек теперь настраиваются с помощью облачных API.
Перечень новых функций и улучшений в Fidelis Network v9.4:
1. Обновленная страница метаданных: полностью обновленные страницы сетевых метаданных, помогающие повысить удобство использования. Новая страница метаданных обеспечивает лучшую видимость транзакций. На начальной странице отображаются тенденции, транзакции и атрибуты метаданных за последние 30 дней.
- Транзакции с метаданными: входящие, горизонтальные или исходящие транзакции за последние 30 дней.
- Атрибуты метаданных: организованы по категориям. Щелчок по атрибуту вызывает контекстное меню, которое позволяет пользователям включить атрибут в поиск.
- Тенденция метаданных: нажмите на недавний поиск или дату, чтобы запустить быстрый поиск. Открываются транзакции с результатами поиска, которые можно увидеть в виде списка, временной шкалы или подключений. Они представляют собой переработанные версии табличных, графических представлений соединений.
2. Отказоустойчивый CommandPost: Резервный CommandPost действует как горячая замена, если основной недоступен. Это гарантирует, что Fidelis продолжит работу в случае сбоя или недоступности основного CommandPost. При необходимости резервный CP может стать основным и взять на себя управление всеми компонентами и пользователями. Все данные (включая оповещения) и настройки синхронизируются между основным и резервным CP.
3. Улучшения декодера: несколько усовершенствований декодера, направленных на расширение возможностей обнаружения и обеспечение более глубокого понимания совершенно нового диапазона атак:
- Rich Header Parsing: Rich Header — это недокументированный раздел исполняемого заголовка, который возникает в результате процесса компиляции и сборки исполняемых файлов, созданных Microsoft (Portable Executable (PE)). Сенсоры Fidelis имеют возможность анализировать Rich Headers в исполняемых файлах и извлекать их как атрибуты метаданных.
- Поддержка HASSH Fingerprinting: HASSH — это стандарт отпечатка, который может использоваться для идентификации конкретных реализаций SSH клиента и сервера. Отпечатки можно легко хранить, искать и делиться ими в виде небольшого MD5. Отпечатки за пределами заведомо исправного набора могут вызывать инциденты.
- Сопоставление содержимого для URL-адресов Microsoft Office SafeLink: Безопасные ссылки заменяют URL-адреса во входящем электронном письме на URL-адреса вида (* .outlook.com). Это позволяет Microsoft сканировать исходную ссылку на предмет чего-либо подозрительного и перенаправлять пользователя только после того, как она будет признана безопасной. Эта новая функция позволяет клиентам сопоставлять URL-адреса с URL-адресами SafeLink в электронных письмах.
4. Новый метод экспорта инцидентов: новый метод экспорта запускает запрос HTTP/HTTPS (GET, PUT, POST или DELETE) при создании инцидентов. Поддерживаемые форматы тела запроса - JSON и простой текст. Новые методы экспорта HTTP обеспечивают более гибкую интеграцию с решениями SOAR/SIEM и другими инструментами.
5. Высокоскоростной сенсор: виртуальные сенсоры теперь могут поддерживать скорость до 5 Гбит/с.
6. Обнаружение вредоносных программ и страница конфигурации песочницы. Изменения в функциях обнаружения вредоносных программ могут быть сделаны на одной странице конфигурации для более быстрого доступа и простоты использования. Пользователи могут:- Настроить модуль обнаружения вредоносных программ на всех компонентах.
- Включить отправку в песочницу, чтобы Fidelis Insight мог анализировать вредоносные объекты и создавать отчеты.
- Включить отправку подозрительных файлов, чтобы Fidelis Insight мог анализировать подозрительные образцы и создавать предупреждения при обнаружении вредоносных программ.
По вопросу организации индивидуального демо и консультаций по решениям Fidelis обращайтесь, пожалуйста, к специалистам Oberig IT:
[email protected], +380 67 223 42 10.
Детально про решения Fidelis Cybersecurity