Статьи

Fidelis выпустил обновление решений Fidelis Deception & Network версии 9.4

02 марта, 2021. 09:03 По материалам Oberig IT
Fidelis Deception (Post Breach Detection System) уменьшает время обнаружения целенаправленных атак. Решение позволяет классифицировать все сетевые ресурсы организации, каналы связи и сетевой активности для создания профиля пользователей, служб и активов в сети.

Fidelis Network – мощная система на рынке обнаружения вторжений и защиты от утечек информации (DLP). Решение позволяет анализировать весь сетевой трафик вашей организации на мультигигабитних скоростях. С помощью Fidelis Network возможно выявлять инструменты и тактику современных злоумышленников, включая продвинутое вредоносное программное обеспечение, эксплойты, командные и контрольные центры, которые обычно могут обойти традиционные сетевые системы безопасности.

Представляем основной перечень новых функций и улучшений в Fidelis Deception v9.4:

1.     Новое меню: новое меню включено в версию 9.4 и состоит из трех подменю:
  • Ловушки: вручную настраивайте ловушки и управляйте пользователями.
  • "Breadcrumbs": добавление в качестве приманки приложений, управление настройками сетевого Deception и добавление/развертывание Active Directory.
  • Data Deception: выполнение задач Data Deception, включая добавление файла образа реальной ОС, управление спуфингом файловой системы и настройками для ловушек, требующих TLS.

2.     Deception Layer: пункт меню «Deception» в графическом интерфейсе пользователя включает строку, которая указывает степень покрытия ловушками вашей инфраструктуры. Пользователи могут навести указатель мыши на опцию меню, чтобы увидеть предложения о том, как увеличить охват.

3.     Deception Action: эта новая функция доступна в меню Discovery и позволяет пользователям просматривать информацию из ловушек с помощью Dashboard, инцидентов, предоставляя доступ к учетным данным и загруженным файлам.

4.     Новый тип инцидентов: User Deception: этот тип инцидентов генерируется Fidelis Deception и срабатывает на основе мониторинга активности пользователей Deception на сервере Active Directory.

5.     Active Directory Deception: анализ: Fidelis Deception для Active Directory включает определение поддельных учетных данных пользователя в Active Directory, привязку этих поддельных пользователей к ловушкам и периодический доступ этих ловушек к Active Directory. Злоумышленники могут использовать этих поддельных пользователей для доступа к ловушкам и другим активам в организации. Версия 9.4 добавляет анализ журналов Active Directory, который показывает, использовал ли злоумышленник фальшивых пользователей для доступа к активам в организации (а не только к ловушкам). Это более надежное обнаружение, чем просто использование поддельных учетных данных в качестве "breadcrumbs" на активах, которые предлагают наши конкуренты.

6.     SSL-сертификаты ловушек: теперь пользователь с правами администратора может подписывать сертификаты ловушек. Запрос на подпись сертификата можно создать, подписать и загрузить в ловушки. Администратор также может настроить данные SSL в сертификате в соответствии с требованиями организации. Эта функция обеспечивает лучшую аутентичность ловушек с использованием SSL и предотвращает снятие отпечатков на ловушках.

7.     "Breadcrumbs" для ловушек RealOS. Начиная с 9.4, хлебные крошки могут указывать на приложения-ловушки RealOS. Частью процесса развертывания образов RealOS клиентов является анализ и проверка того, какие приложения и порты активны в образах. На основе анализа определяются хлебные крошки, относящиеся к идентифицированным приложениям. Администратор может перезаписать результаты анализа и определить, какие приложения и хлебные крошки следует использовать для образов RealOS.

8.     Развертывание в облаке Azure: версия 9.4 расширяет возможности Fidelis Deception для развертывания в облаке с серверами Decoy в облаке Azure с сенсором Fidelis Network. Обратите внимание, что хлебные крошки на сервере-приманке в облаке могут быть развернуты в облаке и на локальных активах.

9.     IP-адреса развертывания в облаке: IP-адреса для облачных ловушек теперь настраиваются с помощью облачных API.

 

Перечень новых функций и улучшений в Fidelis Network v9.4:

1.     Обновленная страница метаданных: полностью обновленные страницы сетевых метаданных, помогающие повысить удобство использования. Новая страница метаданных обеспечивает лучшую видимость транзакций. На начальной странице отображаются тенденции, транзакции и атрибуты метаданных за последние 30 дней.

  • Транзакции с метаданными: входящие, горизонтальные или исходящие транзакции за последние 30 дней.
  • Атрибуты метаданных: организованы по категориям. Щелчок по атрибуту вызывает контекстное меню, которое позволяет пользователям включить атрибут в поиск.
  • Тенденция метаданных: нажмите на недавний поиск или дату, чтобы запустить быстрый поиск. Открываются транзакции с результатами поиска, которые можно увидеть в виде списка, временной шкалы или подключений. Они представляют собой переработанные версии табличных, графических представлений соединений.

2.     Отказоустойчивый CommandPost: Резервный CommandPost действует как горячая замена, если основной недоступен. Это гарантирует, что Fidelis продолжит работу в случае сбоя или недоступности основного CommandPost. При необходимости резервный CP может стать основным и взять на себя управление всеми компонентами и пользователями. Все данные (включая оповещения) и настройки синхронизируются между основным и резервным CP.

3.     Улучшения декодера: несколько усовершенствований декодера, направленных на расширение возможностей обнаружения и обеспечение более глубокого понимания совершенно нового диапазона атак:

  • Rich Header Parsing: Rich Header — это недокументированный раздел исполняемого заголовка, который возникает в результате процесса компиляции и сборки исполняемых файлов, созданных Microsoft (Portable Executable (PE)). Сенсоры Fidelis имеют возможность анализировать Rich Headers в исполняемых файлах и извлекать их как атрибуты метаданных.
  • Поддержка HASSH Fingerprinting: HASSH — это стандарт отпечатка, который может использоваться для идентификации конкретных реализаций SSH клиента и сервера. Отпечатки можно легко хранить, искать и делиться ими в виде небольшого MD5. Отпечатки за пределами заведомо исправного набора могут вызывать инциденты.
  • Сопоставление содержимого для URL-адресов Microsoft Office SafeLink: Безопасные ссылки заменяют URL-адреса во входящем электронном письме на URL-адреса вида (* .outlook.com). Это позволяет Microsoft сканировать исходную ссылку на предмет чего-либо подозрительного и перенаправлять пользователя только после того, как она будет признана безопасной. Эта новая функция позволяет клиентам сопоставлять URL-адреса с URL-адресами SafeLink в электронных письмах.

4.     Новый метод экспорта инцидентов: новый метод экспорта запускает запрос HTTP/HTTPS (GET, PUT, POST или DELETE) при создании инцидентов. Поддерживаемые форматы тела запроса - JSON и простой текст. Новые методы экспорта HTTP обеспечивают более гибкую интеграцию с решениями SOAR/SIEM и другими инструментами.

5.     Высокоскоростной сенсор: виртуальные сенсоры теперь могут поддерживать скорость до 5 Гбит/с.

6.     Обнаружение вредоносных программ и страница конфигурации песочницы. Изменения в функциях обнаружения вредоносных программ могут быть сделаны на одной странице конфигурации для более быстрого доступа и простоты использования. Пользователи могут:
  • Настроить модуль обнаружения вредоносных программ на всех компонентах.
  • Включить отправку в песочницу, чтобы Fidelis Insight мог анализировать вредоносные объекты и создавать отчеты.
  • Включить отправку подозрительных файлов, чтобы Fidelis Insight мог анализировать подозрительные образцы и создавать предупреждения при обнаружении вредоносных программ.

 

По вопросу организации индивидуального демо и консультаций по решениям Fidelis обращайтесь, пожалуйста, к специалистам Oberig IT:

[email protected], +380 67 223 42 10.

Детально про решения Fidelis Cybersecurity

https://cutt.ly/TlZdWgt

Материалы по теме:
Комментарии: