FIDELIS ВИПУСТИВ ОНОВЛЕННЯ РІШЕНЬ FIDELIS DECEPTION & NETWORK ВЕРСІЇ 9.4
Fidelis Deception (Post Breach Detection System) зменшує час виявлення цілеспрямованих атак. Рішення дозволяє класифікувати всі мережеві ресурси організації, канали зв’язку і мережевої активності для створення профілю користувачів, служб та активів у мережі.
Детальніше про Fidelis Deception
Fidelis Network – потужна система на ринку виявлення вторгнень та захисту від витоків інформації (DLP). Рішення дозволяє аналізувати увесь мережевий трафік вашої організації на мультигігабітніх швидкостях. За допомогою Fidelis Network можливо виявляти інструменти і тактику сучасних зловмисників, включаючи більш просунуте шкідливе програмне забезпечення, експлойти, командні та контрольні центри, які зазвичай можуть обійти традиційні мережеві системи безпеки.
Детальніше про Fidelis Network
Представляємо основний перелік нових функцій та поліпшень в Fidelis Deception v9.4:
1. Нове меню: нове меню включено в версію 9.4 і складається з трьох підменю:
• Пастки: вручну налаштовуйте пастки і керуйте користувачами.
• “Breadcrumbs”: додавання в якості приманки додатків, управління налаштуваннями мережевого Deception та додавання / розгортання Active Directory.
• Data Deception: виконання завдань Data Deception, включаючи додавання файлу образу реальної ОС, управління спуфінгом файлової системи та налаштуванням для пасток, які потребують TLS.
2. Deception Layer: пункт меню «Deception» у графічному інтерфейсі користувача включає рядок, який вказує ступінь покриття пастками вашої інфраструктури. Користувачі можуть навести курсор миші на опцію меню, щоб побачити пропозиції про те, як збільшити охоплення.
3. Deception Action: ця нова функція доступна в меню Discovery і дозволяє користувачам переглядати інформацію з пасток за допомогою Dashboard, інцидентів, надаючи доступ до облікового запису та завантажених файлів.
4. Новий тип інцидентів: User Deception: цей тип інцидентів генерується Fidelis Deception і спрацьовує на основі моніторингу активності користувачів Deception на сервері Active Directory.
5. Active Directory Deception: аналіз: Fidelis Deception для Active Directory включає визначення підроблених облікових даних користувача в Active Directory, прив’язку цих підроблених користувачів до пасток та періодичний доступ цих пасток до Active Directory. Зловмисники можуть використовувати цих підроблених користувачів для доступу до пасток та інших активів в організації. Версія 9.4 додає аналіз журналів Active Directory, який показує, чи використовував зловмисник фальшивих користувачів для доступу до активів в організації (а не тільки до пасток). Це більш надійне виявлення, ніж просто використання підроблених облікових даних в якості “breadcrumbs” на активах, які пропонують конкуренти.
6. SSL-сертифікати пасток: тепер користувач з правами адміністратора може підписувати сертифікати пасток. Запит на підпис сертифіката можна створити, підписати і завантажити в пастки. Адміністратор також може налаштувати дані SSL у сертифікаті відповідно до вимог організації. Ця функція забезпечує кращу автентичність пасток з використанням SSL та запобігає зняття відбитків на пастках.
7. “Breadcrumbs” для пасток RealOS. Починаючи з 9.4, хлібні крихти можуть вказувати на додатки-пастки RealOS. Частиною процесу розгортання образів RealOS клієнтів є аналіз і перевірка того, які програми та порти активні в образах. На основі аналізу визначаються хлібні крихти, які стосуються
ідентифікованих додатків. Адміністратор може перезаписати результати аналізу і визначити, які програми та хлібні крихти слід використовувати для образів RealOS.
8. Розгортання у хмарі Azure: версія 9.4 розширює можливості Fidelis Deception для розгортання в хмарі з серверами Decoy в хмарі Azure з сенсором Fidelis Network. Зверніть увагу, що хлібні крихти на сервері-приманці в хмарі можуть бути розгорнуті в хмарі та на локальних активах.
9. IP-адреси розгортання в хмарі: IP-адреси для хмарних пасток тепер налаштовуються за допомогою хмарних API.
Перелік нових функцій та поліпшень в Fidelis Network v9.4:
1. Оновлена сторінка метаданих: повністю оновлені сторінки мережевих метаданих, що допомагають підвищити зручність використання. Нова сторінка метаданих забезпечує кращу видимість транзакцій. На початковій сторінці відображаються тенденції, транзакції та атрибути метаданих за останні 30 днів.
• Транзакції з метаданими: вхідні, горизонтальні або вихідні транзакції за останні 30 днів.
• Атрибути метаданих: організовані за категоріями. Клік по атрибуту викликає контекстне меню, яке дозволяє користувачам включити атрибут у пошук.
• Тенденція метаданих: натисніть на недавній пошук або дату, щоб запустити швидкий пошук. Відкриваються транзакції з результатами пошуку, які можна побачити у вигляді списку, на шкалі часу або підключень. Вони являють собою перероблені версії табличних, графічних представлень з’єднань.
2. Відмовостійкий CommandPost: Резервний CommandPost діє як гаряча заміна, якщо основний недоступний. Це гарантує, що Fidelis продовжить роботу у разі збою або недоступності основного CommandPost. При необхідності резервний CP може стати основним і взяти на себе управління всіма компонентами та користувачами. Усі дані (включаючи оповіщення) та налаштування синхронізуються між основним і резервним CP.
3. Покращення декодера: кілька удосконалень декодера, спрямованих на розширення можливостей виявлення та забезпечення більш глибокого розуміння абсолютно нового діапазону атак:
• Rich Header Parsing: Rich Header – це недокументований розділ виконуваного заголовка, який виникає в результаті процесу компіляції та збірки виконуваних файлів, створених Microsoft (Portable Executable (PE)). Сенсори Fidelis мають можливість аналізувати Rich Headers у виконуваних файлах і витягувати їх як атрибути метаданих.
• Підтримка HASSH Fingerprinting: HASSH – це стандарт відбитка, який може використовуватися для ідентифікації конкретних реалізацій SSH клієнта та сервера. Відбитки можна легко зберігати, шукати та ділитися ними у вигляді невеликого MD5. Відбитки за межами справного набору можуть викликати інциденти.
• Зіставлення вмісту для URL-адрес Microsoft Office SafeLink: Безпечні посилання замінюють URL-адреси у вхідному електронному листі на URL-адреси виду (* .outlook.com). Це дозволяє Microsoft сканувати вихідне посилання на предмет чогось підозрілого і перенаправляти користувача тільки після того, як воно буде безпечним. Ця нова функція дозволяє клієнтам зіставляти URL-адреси з URL-адресами SafeLink в електронних листах.
4. Новий метод експорту інцидентів: новий метод експорту запускає запит HTTP / HTTPS (GET, PUT, POST або DELETE) при створенні інцидентів. Формати тіла запиту – JSON і простий текст. Нові методи експорту HTTP забезпечують більш гнучку інтеграцію з рішеннями SOAR / SIEM та іншими інструментами.
5. Високошвидкісний сенсор: віртуальні сенсори тепер можуть підтримувати швидкість до 5 Гбіт / с.
6. Виявлення шкідливих програм та сторінка конфігурації пісочниці. Зміни у функціях виявлення шкідливих програм можуть бути зроблені на одній сторінці конфігурації для більш швидкого доступу і простоти використання. Користувачі можуть:
• Налаштувати модуль виявлення шкідливих програм на всіх компонентах.
• Включити відправку в пісочницю, щоб Fidelis Insight міг аналізувати шкідливі об’єкти та створювати звіти.
• Включити відправку підозрілих файлів, щоб Fidelis Insight міг аналізувати підозрілі зразки та створювати попередження при виявленні шкідливих програм.
З питань проведення індивідуального демо та консультацій щодо рішень Fidelis звертайтеся, будь ласка:
info.ua@oberig-it.com, +380 67 223 42 10.
