Активная защита Illusive Networks Россия Казахстан Беларусь

Интеграция Illusive и Microsoft Defender for Endpoint блокирует сложные атаки, проводимые злоумышленниками вручную

Illusive анонсировал интеграцию с Microsoft Defender for Endpoint (MDE), которая позволит повысить эффективность обнаружения хакерских атак и инсайдерских угроз.  Это первое интегрированное решение, которое сочетает технологии активной детерминированной защиты, обнаружения аномалий и автоматического реагирования. Решение реализовано в едином пользовательском интерфейсе и охватывает все тактики из фреймворков MITER ATT&CK и Shield.

Покрытие MITRE ATT&CK в Microsoft Defender for Endpoint
Покрытие MITRE ATT&CK и Shield в Microsoft Defender for Endpoint и Illusive

Данная интеграция — это итог огромной совместной работы Illusive, Microsoft и их крупных клиентов, которые предоставили бесценную обратную связь и тем самым помогли решить сложные кейсы, связанные с хакерскими атаками. Партнерство с Microsoft позволило упростить и оптимизировать использование пакета Illusive Active Defense для организаций и их сотрудников, которые работают из дома.

Но несмотря на значительные инвестиции в безопасность, обнаружение и блокировка латерального движения изнутри организации остается нелегкой задачей. Организации тратят существенные деньги на обеспечение ИБ, но, тем не менее, чувствуют себя уязвимыми. Поэтому необходимы подходы, которые помогут уравновесить соотношение сил в борьбе против хакерских атак. Illusive и другие инноваторы в сфере ИБ, такие как MITRE, признают, что парадигма активной защиты (Active Defense) доказала свою способность не только защищать от известных атак, но и быть готовым к будущим. Цель Illusive — заставить злоумышленника (или red team) клюнуть на удочку тем самым выдать свое присутствие.

Интеграция решений Illusive и Microsoft Defender for Endpoint (MDE) имеет несколько ключевых преимуществ:

1. Единая активная защита совместно с Defender for Endpoint

Объединяя возможность Illusive точно обнаруживать угрозы и возможность Microsoft быстро изолировать взломанный хост, организации получиют тактическое преимущество над злоумышленниками, сокращая при этом риски и затрачивая значительно меньше времени на расследование инцидентов и реагирование на них.

Такая унифицированная система применяет разноплановую стратегию внедрения, сочетая как агентную, так и безагентную архитектуру обнаружения, что обеспечивает максимальную устойчивость к наиболее изощренным тактикам атаки. После недавней атаки на SolarWinds стало понятно, что злоумышленники используют передовые технологии, которые позволяют им отключать агентские решения для обнаружения угроз и мониторинга на конечных точках. Безагентная архитектура Illusive не позволяет злоумышленнику обнаружить и отключить Active Defense, что позволяет и дальше наблюдать за его действиями. На приведенной ниже схеме интеграции Illusive и Microsoft продемонстрирован процесс обнаружения угрозы с момента развертывания обманной технологии Active Defense, а затем от начала атаки до реагирования на нее.

2. Детерминистическое обнаружение и реагирование в едином интерфейсе Defender for Endpoint

Разработчики Illisuve понимают, как важно придерживаться принципа «мы уже взломаны». По этой причине компания стремится упростить внедрение и использование возможностей активной защиты для команд ИБ. Зачастую у многих клиентов, которые используют Illusive и MDE в качестве дополнения друг к другу, решение Illusive первым обнаруживает латеральное движение злоумышленников, а также предоставляет высокоточный детерминированный источник обогащения данных для инцидентов внутри MDE.

Illusive также предоставляет аналитикам SOC важную контекстную информацию для реагирования на алерты MDE, которая немедленно дает ответы на вопросы о намерениях злоумышленника: «В скольких шагах этот инцидент от критического актива?» и «Какими путями злоумышленник может достичь критического актива?».

Возможности Illusive по обнаружению событий интегрируются непосредственно в MDE, таким образом замыкая цикл обнаружения и реагирования. Такая реализация кажется очень простой, но в то же время она имеет критическое значение, так как позволяет аналитикам MDE быстро реагировать на инциденты, связанные с хакерскими атаками.

3. Обмен информацией о ценных активах между Illusive и Defender for Endpoint

Выявление активов – это не самая горячая теме в сфере ИБ. В то же время, все понимают, что инвентаризация крайне ценных ресурсов (так называемых Crown Jewels) внутри организации — это фундамент, благодаря которому специалисты ИБ могут быстро расставлять приоритеты и точно реагировать на инциденты.

Одна из наиболее недооцененных функцией Illusive — возможность выявление активов, которая идентифицирует наиболее ценные ИТ-активы с точки зрения злоумышленника. Организации могут знать о большинстве своих ценных ИТ-активов с точки зрения бизнеса, однако Illusive анализирует внутреннюю поверхность атаки организации и, основываясь на поведении и сетевых связях внутри корпоративной сети, выявляет ценные активы с точки зрения злоумышленника. Этот функционал позволяет выявить активы, которые тяжело найти другими способами, например, теневые ИТ-активы, новые или неизвестные управляемые активы, неверно категоризированные активы (например, jump-сервер, к которому обращается множество администраторов, будет идеальной целью злоумышленника, но не будет распознан организацией как ценный актив).

Illusive теперь позволяет синхронизировать ценные активы в MDE, а также может передавать информацию о них в обе стороны. Это позволяет обеим платформам сверяться с данными организации о ценных активах и приоритизировать инциденты.

Вместе лучше: Illusive + Defender for Endpoint

Новая интеграция Illusive и Defender for Endpoint дает организациям легкие во внедрении, продуманные и оптимизированные методы защиты от атак с активным участием злоумышленника. Идеальное сочетание возможности Defender for Endpoint по аномальному и поведенческому обнаружению с технологией активной детерминистической защиты Illusive дает командам ИБ новые средства для борьбы как с хакерами, так и с red team.

Закажите демо платформы активной защиты Illusive по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/