Labyrinth Deception Platform v2.0.51: заметки к релизу

Недавно состоялся релиз новой версии высокоэффективного решения для обнаружения и пресечения хакерской деятельности внутри корпоративных сетей от компании Labyrinth. Это обновление предлагает ряд новых и улучшенных функций, а также важных исправлений, которые мы подробно рассмотрим в этой статье.

1. NEW AND IMPROVED

1.1. Интеграция с CrowdStrike

Интеграция позволяет:

1. Обогащать алерт данными о хосте, с которого была атака, на основе Source IP алерта;
2. Изолировать хост, если на нем есть агент CrowdStrike и данный хост является источником алерта; Network containment (опционально).

1.2. Интеграция с Fortigate

Подобно интеграции с CrowdStrike, Labyrinth Deception Platform интегрируется с имеющимся в сети Fortigate для:

1. Обогащения алерта данными об атакующем хосте;
2. Осуществления механизма изоляции хоста в сети, если он является участником инцидента безопасности, то есть если с него были замечены неправомерные действия над Point.

1.3. Новые типы Point для защиты SCADA/OT систем

Для защиты SCADA/OT были разработаны новые типы Point, которые могут эмулировать Web интерфейсы PLC, Siemens S7COMM, SNMP, Modbus и др.

1.3.1. Siemens Simatic S7-1200

Данный тип Point эмулирует PLC Siemens Simatic S7-1200, а именно:

• web интерфейс;
• S7COMM — протокол взаимодействия с PLC;
• SNMP.

1.3.2. Siemens Simatic S7-300 и S7-1500

Данные типы Point аналогично S7-1200 эмулируют S7COMM, SNMP, но без web интерфейса. С т.з. работы SNMP и S7COMM работа и алертинг идентичен S7-1200.

1.3.3. Rockwell Allen Bradley PLC и Ethernet Processor SLC-500

Также добавлены имитации web интерфейсов для Rockwell Allen Bradley:

1. Allen Bradley PLC CompactLogix 5069-L320ER/A
2. Allen Bradley Ethernet Processor SLC-500 (1747-L552/C)

1.3.4. Modbus TCP Server

Modbus TCP Server — это тип Point, с которым можно коммуницировать через TCP/IP сети. В случае его присутствия в настройках Honeynet, есть возможность детектировать любое взаимодействие с Point по протоколу Modbus TCP: попытка чтения и запись регистров, попытка получить описание сервера и т.д.

1.3.5. MQTT Broker imitation

MQTT напрямую не относится к SCADA, больше — к теме IoT. MQTT Broker — это тип Point, который представляет собой полноценный MQTT брокер и даёт возможность публиковать уведомления в топики, подписываться на топики и т.д.

Сейчас есть два варианта реализации Point данного типа:

1. MQTT Broker с анонимным доступом к нему. То есть при подключении к нему, публикации уведомлений или подписку на топики нет необходимости проходить аутентификацию.
2. MQTT Broker with Authentication — вариант типа Point, требующий от клиента аутентифицироваться с помощью имени пользователя и соответствующего ему пароля.

1.4. Сброс пароля пользователя

Если пользователь системы потерял или забыл свой пароль, администратор тенанта, или же суперпользователь может его сбросить. При этом будет сгенерирован одноразовый пароль (OTP) и при следующем логине пользователь должен сменить пароль на новый.

1.5. Информирование о часовых поясах(Timezone awareness)

Даты, время и временные промежутки времени пользователю показываются согласно настройкам часового пояса в системе. Например, время алерта на Point, промежуток даты для данных на дашборде, промежуток времени в Settings -> General -> Trusted IPs и др.

1.5. Усовершенствование сайдбара Latest Alerts

Новый дизайн сайдбара позволяет проще, быстрее и качественнее анализировать события.

1.6. Поддержка KVM

Установка Admin VM на платформах на основе KVM (Proxmox, OpenStack и т.д.) официально поддерживается. Детали о процессе установки описаны в Инструкции пользователя системы.

2. FIXES

2.1. Удаление Seeder Agent при большом количестве Seeder Tasks

В лабораторных условиях была замечена проблема с удалением Seeder Agent при большом количестве перегенерирований Лабиринта. Сейчас она исправлена, но в случае повторения, команда готова быстро отреагировать.

Узнать больше о Labyrinth Deception Platform

iIT Distribution является официальным дистрибьютором компании Labyrinth. Мы предлагаем начальную экспертизу и оценку состояния информационной безопасности вашего предприятия, подбор оборудования и ПО, а также полное сопровождение при внедрении выбранных решений для обеспечения кибербезопасности.