Attivo erweitert BOTsink-Familie
Decoy-Server für komplexe Netzwerke
Attivo Networks hat seine BOTsink-Familie für die netzwerkbasierte Erkennung von Bedrohungen um ein Modell erweitert. Die BOTsink-Server von Attivo sollen Sicherheitsverantwortlichen die Möglichkeit bieten, netzwerkbasierte Angriffe zu erkennen, zu analysieren und zu bekämpfen. Sie ergänzen Attivos EDN-Suite (Endpoint Detection Net) zur Bekämpfung von Angriffen auf der Basis von Zugangsdaten.
Als Frühwarnsystem innerhalb des Netzwerks identifiziert BOTsink laut Attivo Bedrohungen, die sich anderen Sicherheitskontrollen entzogen haben. Die Lösung erkenne die laterale Bewegung von Angreifern, ohne sich auf bekannte Angriffsmuster oder Signaturen verlassen zu müssen, und verhindere so beispielsweise die Eskalation von Privilegien. Mit Hilfe dynamischer Täuschungstechniken und einer Matrix verteilter Täuschungssysteme soll BOTsink das gesamte Netzwerk zu einer Falle machen, die darauf ausgelegt ist, Angreifer und ihre automatisierten Tools zu erkennen und zu stoppen.
Das Funktionsprinzip laut Hersteller: Die Lösung täuscht Angreifern attraktive Assets vor, die von realen nicht zu unterscheiden sind, um Angreifer fehlzuleiten; die Decoy Server besitzen vollständige Betriebssysteme und stellen Dienste zur Verfügung, und die Betreiber können sie mit besonders interessanten Ködern ausstatten, die sich in andere Netzwerkkomponenten einfügen. Laut Anbieter decken sofort einsatzbereite Täuschungskampagnen eine Vielzahl von Angriffsvektoren ab und umfassen Konfigurationen, die identisch mit Produktions-Servern, Endpunkten, industriellen Steuerungssystemen, IoT-, Point-of-Sale- oder VoIP-Systemen sowie Infrastrukturkomponenten erscheinen.
Sobald ein Angreifer erkannt ist, analysiere das System seine Bewegung, Methoden und Aktionen und generiere Warnmeldungen und Karten sowie ein Replay des Angriffs. Sicherheitsteams sollen so die Informationen erhalten, die sie benötigen, um den Angriff vollständig zu verstehen und die Ursache zu analysieren. BOTsink liefere fundierte Warnmeldungen mit allen Details, die für die Behandlung von Vorfällen und die Reaktion darauf erforderlich sind, und zwar in einem Format, das für den Austausch von Angriffsinformationen und die forensische Berichterstattung ausgelegt ist.
BOTsink 7500 unterstütze maximal 20.000 Endpunkte und bis zu 150 VLANs mit 2.000 Schein-IPs. Die Skalierung könne über die ThreatDirect-Technik aber auch darüber hinaus erfolgen. Der Anwender könne je nach Bedarf eine reine Windows-, eine reine Linux- oder eine gemischte Umgebung konfigurieren, wobei Server- und Client-VMs zur Verfügung stehen.
Weitere Informationen finden sich unter www.attivonetworks.com.
Lesen Sie mehr zum Thema
