De deception-technologie is vrij uniek in de netwerk security wereld. Het is het enige systeem voor vroegtijdige waarschuwing voor cyberaanvallen zonder noemenswaardige false positieves.
Deze deceptie-technologie heeft tot doel aanvallers te misleiden. Dit door een verzameling valstrikken en lokkertjes te verspreiden over de netwerk infrastructuur van een organisatie om echte middelen te imiteren. Als een indringer zo’n misleiding activeert is het meteen duidelijk dat iets of iemand in je netwerk rondsnuffelt. Iets of iemand die er niet thuis hoort want een normale gebruiker of applicatie zou nooit van deze nepmiddelen gebruik maken.
Fortideceptor is een produkt van Fortinet die deze deceptietechnieken inzet om een netwerk te beveiligen. Hoe werkt Fortideceptor?
Hoe gaat de misleiding in zijn werk?
FortiDeceptor werkt door het inzetten en uitvoeren van decoys vanaf de FortiDeceptor console met behulp van beschikbare IP-adressen. Omdat decoys gebruik maken van ongebruikte IP-adressen in de verschillende netwerk segmenten, hebben ze geen invloed op de beschikbaarheid van het netwerk en, voor de aanvaller, lijken ze een een integraal onderdeel van uw netwerk. Deze IP-adressen komen niet overeen met een echte host of apparaat op het netwerk.
Het FortiDeceptor platform bestaat uit verschillende deceptie componenten die samen zorgen voor een authentieke en schaalbare laag van misleiding middelen die identiek zijn aan andere middelen in uw netwerk.
Deze decoys zijn nep-assets, zoals industriële controlesystemen, medische apparaten, geldautomaten, tankmeters, POS-apparaten, IoT-apparaten, netwerkinfrastructuur en meer, waarop echte besturingssystemen en diensten draaien en nep maar beperkt verkeer genereren om aanvallers naar hen toe te lokken, om ze af te leiden van gevoelige activa. FortiDeceptor biedt een uitgebreide inventaris van decoys. U kunt ook ‘bring your own decoys’ en uw eigen golden images uploaden.
Om u een idee te geven waar we het dan over hebben, decoy mogelijkheden zijn bijvoorbeeld beschikbaar op:
- Windows 7
- Windows 10 (inzetbaar als gold image)
- Windows 2016 (ingezet als gold image)
- Windows 2019 (ingezet als gold image)
- Ubuntu Desktop
- SCADA
- 8 OT-protocollen
- Fortinet SSL-VPN (FG-60E, FG-100F, FG-1500D, FG-2000E, FG-3700D).
en services die gesimuleerd kunnen worden zijn oa:
- Rdp
- Smb
- Linux
- Ssh
- Samba
- Http
- Https
- Ftp
- Tftp
- Snmp
- Modbus
- S7comm
- Bacnet
- Ipmi
- Triconex
- Guardian-ast
- Iec104
En bij elke update van de Fortideceptor software komen er meer bij uiteraard.
Kruimels
Om de misleiding nog verder uit te breiden, plaatst FortiDeceptor broodkruimels (of tokens) op echte endpoints en servers. Dit zijn valse documenten, bestanden of valse referenties, die aanvallers gebruiken om lateraal te bewegen of hun beweging te versleutelen.
De breadcrumbs, die niet te onderscheiden zijn van echte bestanden en referenties, zijn ontworpen om de aanvaller of malware te misleiden om lateraal naar de decoy VM’s te gaan.
FortiDeceptor detecteert onmiddellijk elk gebruik van valse referenties, genereert waarschuwingen, en isoleert automatisch het endpoint met behulp van ingebouwde endpoint isolatie mogelijkheden of beveiliging orkestratie, automatisering en respons (SOAR) playbooks
FortiDeceptor lokt cybercriminelen dus weg van de waardevolle gegevens en legt hun aanwezigheid bloot, zonder dat ze het weten, waardoor forensische analyse in real time nauwgezet patronen, activiteiten en technieken kan volgen om de geschonden apparaten en kwetsbaarheden te ontdekken. De uit de aanval verzamelde informatie kan automatisch worden toegepast op in-line beveiligingscontroles om aanvallen te stoppen voordat er sprake is van aanzienlijke schade.
Integratie
Zodra u het incident heeft ontdekt, wilt u waarschijnlijk de aanvaller uitschakelen. Met alle informatie die FortiDeceptor geeft zou dit een gemakkelijke taak moeten zijn. Maar omdat false-positives zeer zeldzaam zijn en voor normale gebruikers nooit zouden mogen voorkomen, zou dit geautomatiseerd moeten worden. Het voordeel is, is dat FortiDeceptor in de laatste versie een Security-Fabric integratie heeft gekregen. Dus u kunt het configureren, om automatisch het gecompromitteerde eindpunt te isoleren van uw netwerk. Afhankelijk van uw netwerkarchitectuur kunt u ook andere beveiligingsapparaten integreren, zoals een NAC-oplossing.
FortiDeceptor helpt bij de bescherming tegen inbreuken door zowel externe als interne bedreigingen weg te leiden van kritieke bedrijfsmiddelen. De oplossing creëert meerdere vallen op een netwerk met decoys vermomd als gegevens activa die de organisatie waarschuwen wanneer ze zijn geactiveerd.
Zero impact op een bestaand netwerk
Met FortiDeceptor biedt Fortinet de mogelijkheid om een extra beveiligingslaag in het netwerk te creëren om mogelijke aanvallen rechtstreeks naar een gecontroleerde omgeving te leiden en deze dus zowel te detecteren als af te weren en te neutraliseren.
De oplossing draait bovenop uw netwerk en is volledig onafhankelijk zonder enige impact op uw eigen infrastructuur.
Meer weten over Fortideceptor? Lees verder op onze Fortinet pagina’s of neem contact op en laat u persoonlijk informeren door één van onze security specialisten.
