Labyrinth Deception Platform
ハッカーを倒すために開発されました!
サーバー攻撃を検出して阻止することで資産を守ります。
本物そっくりの空間に、侵入者を誘き出して検知して対応する手法を用いています。
ウクライナで開発されたセキュリティソフトで、金融機関や国家機関でも活用されています。
背景
サイバー犯罪者は、ますます高度で洗練されたものになっています。ファイアウォールやエンドポイント保護などの従来のセキュリティ対策では、ハッカーを阻止し、機密データを漏洩から保護するのに十分ではありません。企業のITネットワークにおける高度な脅威検出のソリューションは、組織を守るために不可欠な時代になりました。本ソフトの開発国のウクライナは、東ヨーロッパに位置し、東にロシア、西にハンガリーやポーランド、スロバキア、ルーマニア、モルドバ、北にベラルーシ、南にトルコと接したサーバーセキュリティ技術が発達している国です。
製品概要
製品名:Labyrinth Deception Platform (以下、Labyrinth(ラビリンス))
Labyrinthは、企業ネットワーク内のサイバー攻撃を検出してブロックする欺瞞技術をベースとした脅威検知技術です。独自の脅威検知技術を搭載したこのソリューションは、標的型攻撃、高度な未知の脅威、ボットネット、ゼロデイ攻撃、インサイダー脅威から、ネットワークをプロアクティブに防御します。本製品は、企業ネットワーク内の攻撃者を可能な限り早期に検出するためのシンプルかつ効率的なツールを提供します。仮想、物理、ハイブリッドITなど環境を問わずに簡単に導入でき、継続的に監視したり、大量のデータを生成したりすることなく脅威を検出します。同プラットフォームは、イベントの相関関係を含む攻撃の詳細なタイムラインを提供し、よりスマートで迅速な意思決定を行うのに役立ちます。Labyrinthによる保護は、貴重なデータが企業のファイアウォールを回避した脅威から守られているという安心感を与えてくれます。
ネットワーク内の欺瞞技術による脅威の検出
主要機能
サイバーセキュリティの分野では、攻撃と防衛の間に格差があることはよく知られています。防衛側は常に100%の確率で正しくなければならない一方、攻撃側は一度だけ運が良ければ成功するという格差です。Labyrinthは、このパワーバランスを防衛側にシフトさせる攻撃的な検出技術です。本製品は、攻撃者によるネットワーク偵察を排除し、ラテラルムーブメントを防ぎます。既存のセキュリティ対策に、ネットワーク脅威を検出する非常に効果的なレイヤーを追加することで、Labyrinthはネットワーク境界防御を回避した攻撃を初期段階で検出し、ブロックします。
ネットワーク内の脅威を早期に検出
Labyrinthソリューションは、標的型サイバー攻撃の不審な活動を初期段階で検知します。Labyrinthのポイントは、攻撃者がネットワークを理解してターゲットを見つけようとするときに、脅威の行動をキャッチするように設計されています。攻撃者がポイントを狙うと、Labyrinthは脅威の発生源、使用されたツール、悪用された脆弱点など、攻撃者に関するすべての詳細情報を収集します。それと同時に、実際の資産やサービスのすべては、何の影響もなく機能します。
正確なアラート
Labyrinthは、誤検知の生成率が1%未満であり、信頼性の高いアラートでセキュリティチームをサポートします。Labyrinthポイントは、接触されない限りアラートを生成しません。ポイントが誰もによって接触されることが想定されていないため、ポイントとのインタラクションのすべてが例外的かつ疑わしいものとされます。この点で、Labyrinthはネットワーク内のすべての活動の分析を目指す、多くのデジタルノイズを発生させるセキュリティソリューションとは異なります。
迅速なインシデントレスポンス
Labyrinthは、インシデント調査及び脅威の識別向けのインテリジェントな分析ツールを提供します。収集されたすべてのイベントは、インシデントレスポンスプラットフォームからの必要なセキュリティデータで強化されます。Labyrinthによって生成された侵害指標(IoC、Indicators of Compromise)は、自動的に脅威防御ソリューションと同期します。これにより、攻撃を理解し、フォレンジックを実行し、自信を持って対応し、将来に向けてより良い防御を開発するという、攻撃に対するアクションを即座に取ることができます。
プロアクティブな防御
ほとんどの検出技術は、攻撃を検出した時点でその攻撃を止めてしまい、調査する機会を与えません。これにより、攻撃を排除したり、その再発を防いだりするのに役立つ重要な情報が失われてしまいます。Labyrinthは、攻撃の性質をより詳しく知り、攻撃者が使用するツールや技術をよりよく理解することを可能にします。このソリューションは、攻撃者を偽物で誘惑することを目的とした、欺瞞アーティファクトを生成してインストールします。このアーティファクトは、攻撃者の次の行動をただ待つのではなく、隔離した環境に誘導して監視します。
標的型攻撃の検出
標的型攻撃に効果的に対処するためには、攻撃者が使用する技術、ツール、目標を理解することが重要です。Labyrinthは、ハッカーや悪意のある内部攻撃者を誤った安心感に誘い、彼らのスキルセットや動機を知ることができます。攻撃者が企業ネットワーク、アプリケーション、従業員について何を知っているかを分かることで、攻撃者の最も正確なプロファイルを作成し、それに対して最善の対策方法を適用することができます。また、将来的に敵対者に悪用される可能性のある企業の防御システムの弱点も発見できます。
感染後の検出
企業ネットワーク内に実装されたLabyrinthは、境界防御を回避した攻撃に対する信頼性の高い警告システムとして機能します。サーバーやワークステーションに配置されたSeeder Agentは、攻撃者にとって最も「おいしい」アーティファクトを模倣します。高権限で保護されていない管理者アカウントのように見えるものは、攻撃者をLabyrinthに誘う罠です。そこでは、ポイントと関わる攻撃者の行動を監視し、境界防御を突破した脅威についての貴重な情報を収集できます。
ラテラルムーブメントの検知
ラテラルムーブメント(横方向への移動)の段階では、攻撃者が企業ネットワーク内の資産から別の資産へと移動します。Labyrinthは、初期の偵察、資格情報の窃取、ラテラルムーブメントを検知するように設計されています。このプラットフォームにより、企業は従来のセキュリティソリューションにとって複雑な課題である、このような脅威を初期段階で可視化することができます。Labyrinthは、ディセプションエコシステム上で攻撃の次のステップを指示し、攻撃者を即座に検出します。
滞留時間の短縮
Labyrinthの検出技術は特に滞留時間の短縮に有効です。滞留時間とは、攻撃者が企業ネットワーク内で発見されずにいる時間のことです。長い滞留時間は、攻撃者が攻撃を成功させるための重要な条件となります。本製品では攻撃者にハニーポット、デコイ、パンくずを仕掛けることで、攻撃の滞留時間を短縮します。Labyrinthは、攻撃者が企業ネットワーク内を移動する時間と能力を削減し、重要な資産やサービスに到達する前に攻撃を阻止します。
導入メリット
高度な脅威の阻止
脅威の形態、タイプ、動作に関する事前知識がなくても、標的型攻撃や高度な攻撃を検出できます。同プラットフォームは、既知および未知の脅威を、攻撃ライフサイクルの最も早い段階で検出します。
運用コストの削減
大量のデータを収集したり、誤検知のアラートを生成したりすることなく、特別なスキルがなくても操作できます。既存のセキュリティインフラに簡単に導入でき、誤検知のアラートを生成しません。
自動インシデントレスポンス
Labyrinthは攻撃の隔離、ブロッキング、スレットハンティングを自動化する第三者との統合により、インシデントレスポンスを加速します。
導入後のメンテナンス不要
迅速かつシンプルな導入で、システムの競合がなく、メンテナンスフリーです。また、データベース、シグネチャ、ルールの設定や更新も不要です。
パフォーマンスへの影響がない
ネットワーク機器、ホスト、サーバー、アプリケーションのパフォーマンスに悪影響がありません。
アーキテクチャ
Labyrinth Platformは、ネットワーク環境や使用されているデバイスの情報をもとに、自動的にハニーネットを展開します。また、マネジメントコンソールを使って手動でデコイを展開することも可能です。このプラットフォームは、企業の特別なニーズやグローバルなベストプラクティスに基づいて、独自のデセプションプラットフォームを開発するための強力なツールとなります。Labyrinthプラットフォームは、攻撃者にITサービスやアプリケーションの脆弱点を模倣したものを提供し、攻撃者を刺激し、その行動をすべて検知・監視し、実際のITネットワークから隔離します。
- サーバやワークステーションに配置されたSeeder Agentは攻撃者にとって最も誘惑的であるアーティファクトを模倣します。Seeder Agentは攻撃を受け、攻撃者をポイントに誘導します。
- 各ポイントは、それぞれの環境セグメントに関連するコンテンツやサービスを模倣します。高度なネットワーク機能により、Labyrinth内に新しい経路を動的に構築することができます。ポイントは、必要な情報がすべて収集されるまで、攻撃者をLabyrinth内に留めておきます。
- ポイントから収集されたすべての情報は分析とインシデント対応のためにマネジメントコンソールに送られます。マネジメントコンソールはセキュリティチームに通知し、必要な情報のすべてをインシデントレスポンスプラットフォームに送信します。
- インシデントレスポンスプラットフォームはメタデータを外部データベースとの照合を行い、攻撃の隔離、ブロッキング、スレットハンティングを自動化する第三者との統合により、インシデントレスポンスを加速します。
主な特徴
Labyrinthは、実際のITインフラをエミュレートするものではありません。代わりに、このプラットフォームは、実際のITネットワークの脆弱点の模倣を攻撃者に提供します。技術チームは、新しく発見された脆弱点の模倣でこのソリューションを継続的にアップデートしております。その成果もあり、Labyrinthは高度な脅威の検出と対応のための非常に効率的なツールとなっております。
ハイ・インタラクション型ハニーポット
Labyrinthは、インテリジェントな機能を備えたハイ・インタラクション型ハニーポットであるポイントに基づいています。ポイントは企業の資産と同一であり、本物のオペレーティングシステム、アプリケーション、サービスを偽のデータで実行します。攻撃者にログインを許可し、攻撃者の意図を理解するためにその要求に応答します。ポイントは、長期間にわたって攻撃者を誘い、観察し、そのツールや技術に関する貴重なデータを収集します。それに加えて、ポイントはローカルな侵害指標や機械判読可能な攻撃インテリジェンスを生成します。
マルチレイヤ・セキュリティ
Labyrinthは、お客様に最高レベルのセキュリティをご提供できるように、完備な欺瞞技術を実装しております。第一の防御ライン上のロー・インタラクション型のアーティファクトは、企業のアプリケーションをエミュレートしており、基本的な脅威の検出にのみ使用されます。これらは発見やバイパスが容易であり、攻撃者に「ここは地雷原だ」ということを伝えます。これは日和見主義の攻撃者を追い払い、標的型攻撃を試す攻撃者には、ネットワーク内の欺瞞を発見したという誤った自信を与えます。その間、ハイ・インタラクション型のデコイは気づかれずに残り、高度な脅威の検出を保証します。
ポイントの多様性と真正性
Labyrinthのポイントは、本番ネットワークの脆弱点を反映し、IoT、POS、ICS、ネットワーク及び通信環境向けの実際のOS/イメージ、サービス、及びアプリケーションをエミュレートします。偽のワークステーション、サーバー、デバイス、アプリケーション、サービス、プロトコルは、実際の資産と同じように見えます。ポイントは、効率を向上するために本物のように見えると同時に、魅力的に見えるように設計されています。本番環境にデコイを紛れ込ませ、他の資産から際立たせることで、攻撃者のターゲットとして選ばれることが可能になります。
カスタマイズ
Labyrinthチームは、複雑な環境や、IoT、SCADA、POSなどの特殊な業界のニーズに合わせて、Labyrinthを開発するための高度なサービスをご提供します。弊社及びLabyrinth社のサイバーセキュリティのスペシャリストは、常に新しい脅威の発見及び暴露に取り組んでおります。分析後、脅威の活動を欺くために、新しい迷路の経路とポイントを開発します。各迷路は、定期的に新しい経路とポイントでマップを更新し、脅威の最高欺瞞能力を提供します。また、攻撃を受けているときに防御を強化するために、ポイントを追加したり、その種類を変更したりすることも可能です。
自動化
Labyrinthは、ホスト、サービス、およびそれらの間の接続経路を自動的に識別し、デコイやハニーポットの作成及び展開を合理化・適応させます。高度なネットワーキング機能により、Labyrinthに新しい経路を動的に構築し、ポイントをアップグレードする機能を提供します。Labyrinthは、本番環境に配置されたポイントの自動管理と定期的な更新を提供し、真正性を維持します。軽量で自動化された柔軟なソリューションは、時間を節約し、導入したその日から高レベルのセキュリティを提供します。
スケーラビリティ
Labyrinthは、大規模な分散型企業ネットワークにおいて、効率的にスケールアップすることができます。エミュレートされた各ポイントは、仮想マシン上で動作する軽量なプロセスです。したがって、Labyrinthのスケーラビリティは、処理リソースに依存するのではなく、ネットワーク環境全体で、包括的かつ現実的なデコイとハニーポットのセットを構築・実装することに基づいています。ポイントの自動作成と展開により、企業はスケーリングプロセスを合理化し、すべてのネットワークセグメントを完全に保護することができます。
Labyrinth Pointは、攻撃者にとって最も誘惑的な脆弱点を模倣するだけでなく、実際のホストとしても動作します。タイプによっては、ブロードキャストリクエストを送信したり、IPアドレスを変更したり、ニュースサイトに接続したりすることができます。
Labyrinth Deception Platformは、企業ネットワーク内でのハッカーの動きを検知し、阻止するための最も効率的なツールをご提供します。
詳細や製品デモをご希望の際は、お気軽にご連絡ください。