Attack Deception System

Attack Deception System

ADS (Attack Deception System) jest produktem klasy SEM (Security Event Management) służącym do pozyskiwania, korelowania oraz prezentacji zdarzeń towarzyszących atakom cybernetycznym, przeprowadzanym zarówno z zewnątrz, jak i wewnątrz organizacji.

Rozwiązanie jest autorskim produktem polskiej firmy STM Solutions zaprojektowanym w oparciu o wieloletnie doświadczenie w przeprowadzaniu testów penetracyjnych w polskich firmach. ADS jest implementacją nowego podejścia do bezpieczeństwa cybernetycznego, wywodzącego się ze znanego mechanizmu „honeypot”, którego celem jest zwabienie intruza do wydzielonego miejsca w infrastrukturze – pułapki – a tym samym odciągnięcie go od strategicznych elementów infrastruktury o krytycznym znaczeniu dla funkcjonowania organizacji.

System ADS pozwala na detekcję anomalii i nieautoryzowanych działań w systemach IT, automatyki przemysłowej oraz z użyciem danych z systemów kontroli dostępu fizycznego i telewizji przemysłowej CCTV, łącząc w sobie:

  • ochronę reaktywną – podstawą rozwiązania jest wykrywanie ataków na podstawie logów z działających w organizacji systemów bezpieczeństwa
  • ochronę proaktywną – integralną częścią rozwiązania są tzw. honeypoty w postaci trzech typów modułów: Wi-Fi, SCADA i DMZ. Honeypoty to ‘pułapki’ wyizolowane z właściwego środowiska produkcyjnego. Komponenty te imitują chronioną infrastrukturę i skonfigurowane są w taki sposób, aby przełamanie ich zabezpieczeń było umiarkowanie skomplikowane dla doświadczonego hackera. Po spenetrowaniu przez atakującego uruchamiane są mechanizmy identyfikacji oraz rejestracji metod i narzędzi użytych przez przestępcę. Osoby odpowiedzialne za utrzymanie bezpieczeństwa w przedsiębiorstwie klienta obserwują atak i są w stanie kontrolować działania hackera, by przeanalizować, określić i wdrożyć sposób mitygacji ryzyka i ograniczenia skutków ataku, takich jak kradzież kluczowych danych, degradacja usługi czy zatrzymanie ciągłości działania.

Najważniejsze cechy i funkcje rozwiązania:

  • Rozwiązanie stworzone przez polską firmę, w oparciu o nakłady wewnętrzne firmy, dzięki czemu kod źródłowy oprogramowania znajduje się na terytorium Polski i jest niedostępny dla podmiotów zagranicznych.
  • Rozwiązanie posiada polskojęzyczny interfejs użytkownika.
  • System ADS implementowany jest w infrastrukturę Klienta przy udziale polskich inżynierów, którzy mogą udzielać bezpośredniego wsparcia technicznego zarówno podczas stabilizacji systemu, jak i w przypadku zaistnienia potrzeby jego modyfikacji czy rozbudowy.
  • Istotną częścią rozwiązania są tzw. honeypoty w postaci modułów bezpieczeństwa: DMZ, Wi-Fi, SCADA, zapewniające proaktywną ochronę przed atakami różnego typu, uzupełniającą do ochrony reaktywnej polegającej na wykrywaniu ataków poprzez zbieranie i korelowanie logów.
  • Produkt może zostać opcjonalnie wyposażony w niewystępujące w dostępnych obecnie produktach tej kategorii moduły umożliwiające: wykrywanie skanowań portów chronionej infrastruktury, poszukiwanie źle skonfigurowanych klientów korporacyjnych sieci Wi-Fi czy wykrywanie potencjalnie złośliwych stacji bazowych.
  • ADS posiada wbudowane alarmy związane z najważniejszymi zdarzeniami, odzwierciedlającymi typowe działania nieautoryzowane, a dla zachowania wysokiego poziomu natychmiastowej responsywności, spośród licznych możliwości i reguł korelacji klient może wybrać te dla niego najistotniejsze.
  • ADS pozwala na wykrywanie ataków, rekonesansu i obcej infrastruktury oraz błędnej konfiguracji urządzeń końcowych użytkownika.
  • Daje możliwość „sterowania” atakującym w celu ograniczenia zakresu, opóźnienia osiągnięcia celu ataku, zdobycia lepszych danych do analizy ataku i materiałów dowodowych.
  • Zapewnia wykrywanie nowych, nieznanych metod ataku.
  • Kompleksowo ochrania środowiska pracy, obejmując IT, OT oraz systemy kontroli dostępu fizycznego i telewizji przemysłowej CCTV.
  • Elastyczne licencjonowanie niezależne od wolumenu zbieranych danych i liczby zdarzeń na sekundę.
  • Wiele pomysłów na dalszy rozwój systemu i dodatkowe moduły, przede wszystkim uwzględniające oczekiwania i potrzeby organizacji działających na rynku polskim.