В Москве состоялась первая конференция Xello, где участники погрузились в мир инновационных технологий и решений компании. В рамках мероприятия были представлены ключевые продукты и команда Xello, обсуждены яркие кейсы и амбициозные планы по развитию. Особое внимание уделили трансформации EDR в платформу, которая открывает новые горизонты для бизнеса, и концепции Zero Trust без VDI, обеспечивающей надежный контроль данных и доступов. Также прошла дискуссия о том, как бизнес переосмысливает защиту данных.
Рустам Закиров, руководитель продукта Xello, поделился своими мыслями о том, как работает технология Deception и для чего она необходима. Чтобы понять ее суть, важно разобраться в методах, которые используют злоумышленники. В настоящее время они маскируются под легитимные действия, применяя стандартные средства администрирования. Например, могут использовать тактику Living off the Land (LotL), которая подразумевает эксплуатацию встроенных инструментов, в частности, PowerShell, WMI, RDP и PsExec, а также админские утилиты и системы удаленного управления. Это позволяет их действиям выглядеть как рутинная работа ИT-специалистов.
Другой метод ‒ «фишинг с согласия», известный как Illicit OAuth consent. В этом случае злоумышленник создает приложение и убеждает жертву предоставить доступ через OAuth, что дает ему возможность получить доступ к данным учетной записи и выполнять действия от ее имени. Существуют и более сложные техники, такие как кража сессионных токенов (cookie или bearer-токенов), которые позволяют обойти многофакторную аутентификацию и продолжать работать в качестве легитимного пользователя. Для имитации геолокации злоумышленники могут использовать резидентные прокси или VPN, чтобы вход в систему выглядел как обычный.
Рустам объяснил, что Xello занимается распространением приманок на рабочих станциях, серверах и ноутбуках. Эти приманки могут принимать форму различных учетных записей в браузерах, LDAP, конфигурационных файлов, скриптов и других артефактов. При попытке злоумышленника использовать эти приманки он попадает в ловушку ‒ это уже следующий уровень киберобмана. Технология позволяет эмулировать различные сервисы, устройства и целые системы, в том числе не только интерфейсы и файловые системы, но и бизнес-логику.
Когда злоумышленник проникает в инфраструктуру и начинает искать возможности повышения привилегий или продвижения дальше, взаимодействие с приманкой приводит его в ложный слой. В этот момент система фиксирует данные о том, кто именно, откуда и когда пытался воспользоваться приманкой. Эти данные могут быть отправлены в различные средства защиты, которые используются в организациях.
Рустам Закиров отметил, что компания Xello является лидером в сегменте решений класса Distributed Deception Platform (DDP) и уже более шести лет разрабатывает свое решение. За это время было реализовано более 80 проектов, среди клиентов компании различные банки и телеком-операторы. Недавно Xello получила сертификат STEC, что стало значительным достижением, требующим больших усилий. Это поможет не только самой компании, но и ее клиентам.
«Интеграции с Deception позволяют нам улучшить как аналитические, так и обнаруживающие и реагирующие функции стандартно-классических средств защиты. Инциденты Deception помогают снизить уровень фолз-позитив инцидентов. Давайте интегрировать, давайте придумывать интеграции», ‒ призвал Владимир Соловьев, руководитель группы внедрения систем защиты компании «ДиалогНаука».
Рустам поделился планами развития Xello Deception, отметив ключевые направления работы. Основная цель ‒ улучшить ролевую модель и внедрить централизованное обновление, что будет особенно полезно для компаний с мультидоменной геораспределенной инфраструктурой.
В рамках развития приманок команда активно работает над новыми типами, включая приманки для различных программных обеспечений, улучшенные версии для Linux и приманки, связанные с разработкой кода. В следующей версии 5.8 будет представлена шаблонизация приманок, которая позволит кастомизировать их наполнение, задавать индивидуальные пути и имена.
«Не забываем и о модуле Identity Protection: мы разрабатываем функционал для выявления сохраненных учетных данных и записей в различных приложениях, включая браузеры и хранилища паролей. В дополнение к этому продолжается работа над ловушками ‒ как эмуляцией трафика, так и эмуляцией различных уязвимостей. Кроме того, мы стремимся расширить количество новых устройств и ловушек, а также увеличить поддержку отечественных вендоров, добавляя большее количество устройств и операционных систем от них. Xello Deception становится частью более широкой платформы, и это лишь один из продуктов этой экосистемы», ‒ подытожил Рустам Закиров.
Алексей Макаров, технический директор Xello, поделился мыслями о развитии компании: «В какой-то момент мы поняли, что нам довольно тесно в рамках нашего класса решений. Нам интересно решать смежные проблемы». Эксперт отметил, что общение с клиентами и поддержкой выявило «белые пятна» в интеграциях между продуктами, которые не покрываются ни одним вендором.
«За все время развития нашего продукта у нас была мысль, стоит ли нам сделать агента, потому что была проблема ‒ большой вызов: доставка приманок на конечные хосты», ‒ продолжил Алексей. Спикер объяснил, что команда использовала протоколы удаленного доступа, что усложняло разработку, но упрощало жизнь клиентам. «Нам казалось, что агент избыточен в рамках DDP, ну и по сути еще один агент, который нужно поддерживать», ‒ добавил Алексей. Тем не менее, в рамках текущего решения удалось решить множество нефункциональных задач.
Говоря о преимуществах новой платформы для клиентов, Алексей выделил несколько ключевых аспектов:
- централизованное управление ‒ оптимизация процессов оповещения, локализации и реагирования на инциденты;
- технический аспект ‒ корреляция данных из разных источников позволяет обнаруживать аномалии и атаки на ранних этапах и реагировать быстрее;
- организационный аспект ‒ единый поставщик, унифицированная лицензия и единая служба поддержки снижают совокупную стоимость владения (ТСО);
- повышение эффективности SOC ‒ аналитики работают на одной платформе, что ускоряет расследование инцидентов;
- гибкое масштабирование ‒ возможность масштабирования от одного решения к остальным, от небольших сред до глобальных корпоративных развертываний;
- закрытие «слепых зон» ‒ охват ключевых элементов инфраструктуры.
Антон Пилипенко, руководитель продукта Xello, рассказал о преимуществах. Первое ‒ снижение нагрузки на инфраструктуру. Второе связано с изоляцией данных. Xello создает зашифрованную и изолированную среду внутри операционной системы, что архитектурно предотвращает возможность несанкционированного доступа к данным, как умышленного, так и случайного.
Третье преимущество ‒ простота управления доступом. При появлении нового подрядчика управление доступом становится легким и быстрым: в несколько кликов можно создать необходимые политики, выбрать нужные приложения и сформировать рабочее пространство. Подрядчик получает все необходимые доступы и может работать с привычными ему приложениями в знакомой операционной системе.
Первая конференция Xello в Москве стала значимым событием, объединившим экспертов и практиков в области технологий и безопасности данных. Участники получили уникальную возможность ознакомиться с передовыми решениями компании и обсудить актуальные тренды. Эти обсуждения не только подчеркнули важность инноваций в защите данных, но и открыли новые перспективы для бизнеса в условиях быстро меняющегося цифрового мира.
Анастасия Мартьянова, Connect
