Компания R-Vision выпустила новую версию платформы цифровой имитации элементов ИТ-инфраструктуры R-Vision Threat Deception Platform (TDP) 1.5. В ней расширился перечень шаблонов ловушек и приманок, реализована автоматическая передача инцидентов в платформу оркестрации и автоматизации ИБ R-Vision SOAR, а также улучшена работа с событиями безопасности.
В R-Vision TDP версии 1.5 вендор дополнил перечень шаблонов ловушек и приманок. Появились HTTP-ловушки, имитирующие окно авторизации на сетевом оборудовании, а также приманки для операционных систем Mac OS и Linux OS. Еще одно нововведение — приманки в виде сохраненных подключений к сетевым ресурсам SMB.
Одно из весомых обновлений касается интеграционных возможностей платформы. Помимо стандартной передачи данных во внешние системы по протоколу syslog, в R-Vision TDP версии 1.5 стала доступна прямая интеграция с системой оркестрации и автоматизации ИБ R-Vision SOAR. Теперь все события по одной и той же ловушке, детектируемые в R-Vision TDP, автоматически передаются в R-Vision SOAR и агрегируются в едином инциденте. При этом пользователь может самостоятельно задать период, в течение которого взаимодействия с ловушками будут собираться в один инцидент.
В обновленной версии компания R-Vision усовершенствовала процесс автоматического создания ловушек: появился раздел, позволяющий настраивать их наполнение. Например, для генерации учетных записей используются предустановленные словари фамилий, имен и отчеств, процентное соотношение которых можно задавать вручную в зависимости от территориального расположения филиалов компании. Система позволяет задать паттерн генерации учетных записей и параметры пароля в соответствии с политикой целевой организации. Для генераторов логинов, имен серверов и FTP-баннеров в системе также предусмотрена возможность загружать собственные словари. Благодаря этому функционалу все автоматически сгенерированные для ловушек данные будут неотличимы от реальных.
В связи с тем, что любое взаимодействие с ловушкой является критичным, разработчик предусмотрел возможность добавлять исключения для источников событий в случае легитимного сканирования хостов. Например, пользователи могут внести в список исключений IP-адрес рабочей станции, с которой будет запущен сканер безопасности.
Кроме того, в версии 1.5 появилось наглядное отображение взаимосвязи ловушек и приманок, размещенных на реальных узлах сети. Теперь в разделе «События» фиксируется с какой приманкой связана ловушка, на которой произошло срабатывание. Также появились таймлайны событий, в которых воссоздается вся хронология взаимодействия с конкретной ловушкой с возможностью фильтрации по времени и критичности.
«Мы непрерывно работаем над наращиванием функциональных возможностей продукта: расширяем перечень ловушек и приманок, а также стремимся воплотить в R-Vision TDP как функционал уже зарекомендовавших себя решений ушедших с рынка западных игроков, так и учесть специфику потребностей российских заказчиков, — прокомментировал Иван Шаламов, менеджер продукта R-Vision TDP. — Кроме того, все продукты R-Vision являются частью экосистемы и строятся на базе единых интеграционных механизмов и конфигураций. За счет чего максимально эффективно взаимодействуют друг с другом и в комплексе обеспечивают полноценное управление информационной безопасностью».