Labyrinth Deception Platform v2.0.51: примітки до релізу~ ~1. NEW AND IMPROVED~ ~2. FIXES
Нещодавно відбувся реліз нової версії високоефективного рішення для виявлення та припинення хакерської діяльності всередині корпоративних мереж від компанії Labyrinth. Це оновлення пропонує низку нових та вдосконалених функцій, а також важливих виправлень, які ми детально розглянемо в цій статті.
1. NEW AND IMPROVED
1.1. Інтеграція з CrowdStrike
Інтеграція дозволяє:
- Збагачувати алерт даними про хост, з якого була атака, на основі Source IP алерту;
- Ізолювати хост, якщо на ньому є агент CrowdStrike і даний хост є джерелом алерту; Network containment (опціонально).
1.2. Інтеграція з Fortigate
Подібно до інтеграції із CrowdStrike, Labyrinth Deception Platform інтегрується із наявним у мережі Fortigate для:
- Збагачення алерту даними про атакуючий хост;
- Здійснення механізму ізоляції хоста в мережі, якщо він є учасником інциденту безпеки, тобто якщо з нього були помічені неправомірні дії над Point.
1.3. Нові типи Point для захисту SCADA/OT систем
Для захисту SCADA/OT були розроблені нові типи Point, які можуть емулювати Web інтерфейси PLC, Siemens S7COMM, SNMP, Modbus та ін.
1.3.1. Siemens Simatic S7-1200
Даний тип Point емулює PLC Siemens Simatic S7-1200, а саме:
- web інтерфейс;
- S7COMM – протокол взаємодії з PLC;
- SNMP.
1.3.2. Siemens Simatic S7-300 та S7-1500
Дані типи Point аналогічно до S7-1200 емулюють S7COMM, SNMP, але без web інтерфейсу. З т.з. роботи SNMP та S7COMM робота та алертинг ідентичний до S7-1200.
1.3.3. Rockwell Allen Bradley PLC та Ethernet Processor SLC-500
Також додані імітації web інтерфейсів для Rockwell Allen Bradley:
- Allen Bradley PLC CompactLogix 5069-L320ER/A
- Allen Bradley Ethernet Processor SLC-500 (1747-L552/C)
1.3.4. Modbus TCP Server
Modbus TCP Server – це тип Point, з яким можна комунікувати через TCP/IP мережі. У разі його присутності в налаштуваннях Honeynet, є можливість детектити любу взаємодію з Point по протоколу Modbus TCP: спроба читання та запис регістрів, спроба отримати опис серверу і т.д.
1.3.5. MQTT Broker imitation
MQTT напряму не відноситься до SCADA, більше – до теми IoT. MQTT Broker – це тип Point, який представляє собою повноцінний MQTT брокер та дає можливість публікувати сповіщення в топіки, підписуватись на топіки і т.д.
Наразі є два варіанти реалізації Point даного типу:
- MQTT Broker з анонімним доступом до нього. Тобто при підключенні до нього, публікуванні сповіщень або підписку на топіки немає необхідність проходити автентифікацію.
- MQTT Broker with Authentication – варінт типу Point, що вимагає від клієнта автентифікуватись за допомогою імені користувача та відповідного до нього паролем.
1.4. Скидання пароля користувача
Якщо користувач системи втратив або забув свій пароль, адміністратор тенанту, або ж суперкористувач може його скинути. При цьому буде згенерований одноразовий пароль (OTP) і при наступному логіні користувач повинен змінити пароль на новий.
1.5. Інформування про часові пояси(Timezone awareness)
Дати, час та часові проміжки часу користувачу показуються згідно з налаштуваннями часового поясу в системі. Напр., час алерту на Point, проміжок дати для даних на дашборді, проміжок часу в Settings -> General -> Trusted IPs та ін.
1.5. Удосконалення сайдбару Latest Alerts
Новий дизайн сайдбару дозволяє простіше, швидше і якісніше аналізувати події.
1.6. Підтримка KVM
Інсталяція Admin VM на платформах на основі KVM (Proxmox, OpenStack тощо) офіційно підтримується. Деталі щодо процесу інсталяції описані в Інструкції користувача системи.
2. FIXES
2.1. Видалення Seeder Agent при великій кількості Seeder Tasks
У лабораторних умовах була помічена проблема із видаленням Seeder Agent при великій кількості перегенерувань Лабіринту. Наразі вона виправлена, але у випадку повторення, команда готова швидко відреагувати.
Дізнатися більше про Labyrinth Deception Platform
iIT Distribution є офіційним дистриб’ютором компанії Labyrinth. Ми пропонуємо початкову експертизу та оцінку стану інформаційної безпеки вашого підприємства, підбір обладнання та ПЗ, а також повний супровід під час впровадження обраних рішень для забезпечення кібербезпеки.
