R-Vision Threat Deception Platform (R-Vison TDP)

Продукт
Разработчики: R-Vision (Р-Вижн)
Дата премьеры системы: 2020/11/30
Дата последнего релиза: 2022/12/14
Технологии: Distributed Deception Platform (DDP),  ИБ - Межсетевые экраны

Содержание

Основная статья: Межсетевой экран (Firewall)

2024

Соответствие стандартам кибербезопасности Республики Белоруссия

Компания R-Vision 17 июля 2024 года объявила, что комплекс технологий цифровой имитации элементов ИТ-инфраструктуры для раннего обнаружения и предотвращения кибератак R-Vision TDP прошел сертификацию Оперативно‑аналитического центра при Президенте Республики Белоруссия (ОАЦ). Сертификация была проведена в соответствии с техническим регламентом ТР 2013/027/BY.

Сертификат соответствия стандартам кибербезопасности Республики Белоруссии подтверждает, что R-Vision TDP соответствует высоким требованиям к безопасности информационных технологий, установленным в стране. Это делает продукт более востребованным для организаций, работающих в Республике или имеющих там филиалы. Номер сертификата: BY/112 02.02. ТР027 036.01 01394.

Сертификат соответствия ОАЦ позволяет использовать R-Vision TDP:

  • на критически важных объектах информатизации (КВОИ);
  • в государственных информационных системах;
  • в автоматизированных системах управления производственными и технологическими процессами;
  • в информационных системах, обрабатывающих персональные данные;

«
В Республике Белоруссия наблюдается тенденция к увеличению спроса на технологии защиты от киберугроз. Это обусловлено растущим числом кибератак и необходимостью обеспечения безопасности информации. Компании, работающие в различных отраслях экономики, осознают важность защиты своих данных и выбирают надежных разработчиков систем кибербезопасности, — подчеркнул Камиль Баймашкин, заместитель исполнительного директора R-Vision. — Получение сертификата соответствия Оперативно-аналитического центра при Президенте Республики Белоруссия (ОАЦ) становится одним из ключевых критериев при выборе вендора технологий ИБ для компаний, которые заинтересованы в усовершенствовании защиты своей ИТ-инфраструктуры. R-Vision всегда обеспечивает безопасность своих клиентов в соответствии с лучшими мировыми практиками. Получение ещё одного сертификата ОАЦ Республики Беларусь подтверждает зрелость и надёжность технологий R-Vision,
»

R-Vision TDP 3.1

Компания R-Vision 4 марта 2024 года объявила о выходе мажорной версии R-Vision TDP 3.1 – технологии цифровой имитации элементов ИТ-инфраструктуры. В данной версии разработчик обновил механизм размещения приманок, добавил открытое API и улучшил поддержку сетей с отечественными ОС.

Используя версию R-Vision TDP 3.1, пользователи могут детально конфигурировать политики размещения приманок при помощи сбора базовой информации о машинах: версии операционной системы, её языке и установленных программах. Данный метод размещения приманок позволяет сделать их еще более надежными и реалистичными даже в крупных сетях. В обновлении для ИБ-специалистов стал доступен весь спектр уже развёрнутых в сети инструментов для размещения приманок на клиентских хостах, включая KSC, Microsoft SCCM, Ansible, Puppet.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft 2.1 т

В обновлении R-Vision расширила возможности интеграции продукта с информационной системой заказчика с учетом ограничений, которые возникают в крупных сетях. Например, если у заказчика запрещена запись в DNS-серверах, то при помощи R-Vision TDP можно передавать списки несуществующих имен DNS-хостов через API. Эта функция позволяет заказчику добавлять их самостоятельно. Также можно предоставить список ложных учетных записей для постановки на мониторинг в SIEM-систему заказчика.

В R-Vision TDP 3.1 создан интуитивно понятный интерфейс. В нем разработчик упростил взаимодействия с решением через публичное API с поддержкой Swagger (Open API). Это облегчает интеграцию продукта при соблюдении строгих протоколов информационной безопасности. Кроме того, представленная функция позволяет использовать продукт в сетях, где за разные элементы инфраструктуры отвечают разные департаменты, а также автоматизировать обмен информацией с R-Vision TDP.

Теперь R-Vision TDP 3.1 можно интегрировать в сети, которые уже работают на российских ОС или только мигрируют на отечественное ПО для защиты информации. Для этого разработчики внесли следующие изменения:

  • Улучшили совместимость с отечественными операционными системами, такими как Astra Linux и Ред ОС.
  • Добавили поддержку удаленной СУБД Postgres Pro.
  • Представили эмуляцию SSH-сервера для российских ОС.
  • Внедрили возможность входа в систему с использованием известных служб каталогов, включая Active Directory, ALD Pro, FreeIPA и Open LDAP. Это позволяет использовать одну учетную запись для входа в систему даже в сетях после отказа от Active Directory – службы каталогов корпорации Microsoft.

2022

Добавление ловушек АСУ ТП и Linux FullOS

Компания R-Vision 14 декабря 2022 года сообщила об обновлении платформы цифровой имитации элементов ИТ‑инфраструктуры R‑Vision Threat Deception Platform (TDP). В частности, разработчик добавил ловушки АСУ ТП и Linux FullOS, расширил перечень используемых шаблонов приманок, а также реализовал поддержку системы с решениями отечественных поставщиков программного обеспечения.

В 2022 году кибератаки на объекты информационной инфраструктуры промышленных предприятий в России выросли в несколько раз. Последствия таких атак весьма серьезны: утечка конфиденциальных данных, простой производства, финансовые и репутационные потери. Учитывая возрастающее количество инцидентов, компания R-Vision дополнила последнюю версию платформы ловушкой АСУ ТП, предназначенной для выявления угроз в ИТ-инфраструктуре промышленных организаций. Теперь пользователи смогут создавать ложные программируемые логические контроллеры – важные элементы системы автоматизации и управления технологическими процессами, позволяющие осуществлять контроль за промышленными объектами в режиме реального времени. Таким образом, теперь R-Vision TDP позволит детектировать атаки на специфические ИТ-активы, находящиеся в сегментах сети производственных предприятий.

Еще одна ловушка, добавленная вендором в R-Vision TDP, – Linux FullOS, которая позволяет создать в выбранной сети эмуляцию в виде полноценной виртуальной машины на базе операционных систем семейства Linux. Этот тип ловушки может быть основой для создания ложных элементов сети, кастомизированных под различные специфические среды заказчика на основе Linux-подобных систем. Помимо этого, пользователям стали доступны приманки в виде сохраненных учетных данных в браузерах Microsoft Internet Explorer и Microsoft Edge Legacy.

Кроме этого, одним из важных нововведений платформы стало расширение списка поддерживаемых платформой программных продуктов российских производителей: теперь сервер управления R-Vision TDP поддерживает работу на операционной системе Astra Linux. Также была успешна протестирована работоспособность платформы на отечественной системе виртуализации zVirt.

«
Развивая продукт R-Vision TDP, мы стремимся учитывать все актуальные запросы рынка, среди которых одно из первых мест занимает поддержка отечественных операционных систем, — прокомментировал Иван Шаламов, менеджер продукта R-Vision TDP. Кроме того, этот год ознаменовался ростом числа кибератак на промышленные предприятия. Поэтому в последней версии продукта мы реализовали ловушки для детектирования событий информационной безопасности, которые могут произойти, в том числе, и в технологическом сегменте инфраструктуры предприятий.
»

R-Vision TDP версии 1.5 с автоматической передачей инцидентов в R-Vision SOAR

Компания R-Vision 20 сентября 2022 года сообщила о выпуске обновленной версии платформы цифровой имитации элементов ИТ-инфраструктуры R-Vision Threat Deception Platform (TDP) 1.5. В ней расширился перечень шаблонов ловушек и приманок, реализована автоматическая передача инцидентов в платформу оркестрации и автоматизации ИБ R-Vision SOAR, а также улучшена работа с событиями безопасности. При этом пользователь может самостоятельно задать период, в течение которого взаимодействия с ловушками будут собираться в один инцидент.

В R-Vision TDP версии 1.5 вендор дополнил перечень шаблонов ловушек и приманок. Появились HTTP-ловушки, имитирующие окно авторизации на сетевом оборудовании, а также приманки для операционных систем Mac OS и Linux OS. Еще одно изменение– приманки в виде сохраненных подключений к сетевым ресурсам SMB.

В обновленной версии компания R-Vision усовершенствовала процесс автоматического создания ловушек: появился раздел, позволяющий настраивать их наполнение. Например, для генерации учетных записей используются предустановленные словари фамилий, имен и отчеств, процентное соотношение которых можно задавать вручную в зависимости от территориального расположения филиалов компании. Система позволяет задать паттерн генерации учетных записей и параметры пароля в соответствии с политикой целевой организации. Для генераторов логинов, имен серверов и FTP-баннеров в системе также предусмотрена возможность загружать собственные словари. Благодаря этому функционалу все автоматически сгенерированные для ловушек данные будут неотличимы от реальных.

В связи с тем, что любое взаимодействие с ловушкой является критичным, разработчик предусмотрел возможность добавлять исключения для источников событий в случае легитимного сканирования хостов. Например, пользователи могут внести в список исключений IP-адрес рабочей станции, с которой будет запущен сканер безопасности.

Кроме того, в версии 1.5 появилось наглядное отображение взаимосвязи ловушек и приманок, размещенных на реальных узлах сети. Теперь в разделе «События» фиксируется с какой приманкой связана ловушка, на которой произошло срабатывание. Также появились таймлайны событий, в которых воссоздается вся хронология взаимодействия с конкретной ловушкой с возможностью фильтрации по времени и критичности.

«
Мы непрерывно работаем над наращиванием функциональных возможностей продукта: расширяем перечень ловушек и приманок, а также стремимся воплотить в R-Vision TDP как функционал уже зарекомендовавших себя решений ушедших с рынка западных игроков, так и учесть специфику потребностей российских заказчиков»– прокомментировал Иван Шаламов, менеджер продукта R-Vision TDP. — Кроме того, все продукты R-Vision являются частью экосистемы и строятся на базе единых интеграционных механизмов и конфигураций. За счет чего максимально эффективно взаимодействуют друг с другом и в комплексе обеспечивают полноценное управление информационной безопасностью.
»

Выпуск коммерческого релиза продукта R-Vision TDP

15 марта 2022 года компания R-Vision объявила о выходе коммерческого релиза продукта R-Vision Threat Deception Platform (R-Vison TDP). R-Vision TDP относится к классу платформ для создания распределённой инфраструктуры ложных целей (Distributed Deception Platform, DDP), использующих техники активного обмана. Это позволяет обнаруживать вторжение злоумышленников и вводить их в заблуждение, искажая восприятие корпоративной сети при помощи ложных элементов.

Схема работы R-Vision TDP

По информации компании, в основе всех технологий Deception находится концепция, что любая компания по умолчанию является скомпрометированной. Классические периметровые средства защиты и мониторинга в современных реалиях теряют свою эффективность – рано или поздно злоумышленники проникают в инфраструктуру организации и могут месяцами изучать ее, оставаясь незамеченными.

Технологии Deception выступают одним из последних эшелонов обороны, способным замедлить и выявить киберпреступника. С помощью набора взаимосвязанных друг с другом ловушек и приманок система позволяет ввести хакера в заблуждение, обнаружить его присутствие в корпоративной сети на ранних стадиях, а также дает возможность предотвратить развитие атаки до нанесения им существенного ущерба.

Скриншот "Ловушки"

Система R-Vision Threat Deception Platform предоставляет пользователям возможность автоматически разворачивать сети ловушек и приманок из готовых шаблонов. Кроме того, R-Vision TDP позволяет на основе данных об инфраструктуре создать ловушки и приманки похожие на специфические системы и ИТ-активы заказчика. Платформа может воспроизводить рабочие станции, устройства, приложения, сетевое оборудование, серверы, а также имитировать сетевое взаимодействие. Эти ловушки могут быть незаметно размещены в инфраструктуре организации, став неотличимыми от настоящих хостов. Любое взаимодействие с ловушками будет свидетельствовать об инциденте и создаст оповещение в системе.

Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки — ресурсы, потенциально представляющие интерес для злоумышленника. К ним относятся файлы конфигураций, история браузера, черновики, ключи SSH, файлы с паролями и другими данными. При этом ловушки и приманки могут быть сгенерированы на основе паттернов, принятых в организации. Например, при создании ложных учетных записей и генерации паролей будут использованы данные из службы каталогов.

Скриншот "События"

Ловушки размещаются на отдельных серверах Trap Manager, в то время как управление платформой и всей эмулированной инфраструктурой происходит на сервере Control Center. Для инфраструктур крупных организаций задача масштабирования легко решается за счёт добавления необходимого количества серверов Trap Manager.

«
Deception или так называемые «технологии киберобмана» – это следующий шаг в развитии систем безопасности для обнаружения различных угроз на ранней стадии, в том числе АРТ-атак и угроз нулевого дня. R-Vision TDP – продукт, который позволит выявить начало атаки, собрать информацию о тактиках и инструментах злоумышленника, а также проанализировать слабые места в защите инфраструктуры.

отметил Иван Шаламов, менеджер продукта R-Vision TDP
»

Для максимальной реалистичности ловушек и приманок можно использовать данные об активах из систем R-Vision IRP (Incident Response Platform) или R-Vision SGRC (Security Governance, Risk Management and Compliance), с которыми настроена интеграция. Платформа R-Vision TDP детектирует взаимодействие как внешних, так и внутренних нарушителей с ловушками и направляет оповещения ИБ-специалисту. Далее для расследования эти события могут быть направлены в R-Vision SENSE, что позволит автоматически построить таймлайны по взаимодействию с ловушками, предоставляя необходимый контекст аналитику SOC. Полученные инциденты можно передать в R-Vision IRP и автоматизировать реагирование на них с помощью плейбуков.

Скриншот "Дашборд"

Кроме того, атрибуты и индикаторы компрометации, собранные R-Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу анализа информации об угрозах R-Vision TIP (Threat Intelligence Platform). Система R-Vision TIP, в свою очередь, позволит обогатить эти данные, выявить взаимосвязи с другими доступными данными TI, настроить автоматический мониторинг в событиях SIEM, а также экспортировать индикаторы компрометации на средства защиты для блокировки.

«
Платформа R-Vision TDP является элементом в экосистеме продуктов R-Vision, позволяющим выявлять инциденты безопасности, которые сложно обнаружить другими средствами. На март 2022 года мы уже провели ряд закрытых демонстраций продукта и на основе полученных отзывов объявляем о старте пилотных проектов.

поведал Игорь Сметанев, коммерческий директор R-Vision
»

2020: Анонс R-Vision Threat Deception Platform

30 ноября 2020 года компания R-Vision, российский разработчик систем кибербезопасности, анонсировала выпуск продукта – R-Vision Threat Deception Platform. Модель относится к технологиям класса Deception, которые позволяют обнаруживать злоумышленников, проникших в инфраструктуру предприятия, и предотвращать атаки на ранних этапах.

R-Vision представила продукт класса Deception. Фото: news.itmo.ru.

По информации компании, под технологиями Deception (в переводе с английского, «введение в заблуждение») понимают технологии создания цифровых имитаций объектов ИТ-инфраструктуры с целью выявления злоумышленников, проникших в корпоративную сеть. С помощью набора ловушек и приманок такие системы детектируют присутствие хакера, замедляют его продвижение внутри сети, запутывая среди ложных объектов, и дают возможность ИБ-специалистам остановить развитие атаки на ранней стадии. Одна из возможностей технологий Deception – практически нулевой процент ложных срабатываний. Поскольку ловушки и приманки предназначены только для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, любое взаимодействие с ними с большой вероятностью свидетельствует об инциденте. Согласно отчету Gartner Hype Cycle for Security Operations, 2020, платформы Deception могут стать дополнением к классическим инструментам детектирования угроз, который к тому же требует минимальных усилий на этапе первоначальной настройки. По мнению аналитиков Gartner, эта технология на ноябрь 2020 года еще слабо используется ИБ-специалистами.

«
Традиционные превентивные техники в современных условиях становятся все менее эффективными, что подтверждают многочисленные новости о крупных инцидентах и статистика исследований. Рано или поздно злоумышленники находят способ проникнуть в периметр, стараясь избегать грубых методов и оставаться незамеченными для классических средств мониторинга. Основной возможностью решений класса Deception является то, что они дают в руки служб информационной безопасности серьезный козырь – теперь злоумышленнику достаточно всего одной ошибки в выборе цели для атаки, чтобы он попал на радар служб мониторинга. Кроме того, системы класса Deception производят меньше ложных срабатываний, с должной вероятностью указывая на присутствие злоумышленника в инфраструктуре.

рассказал Александр Бондаренко, генеральный директор R-Vision
»

Платформа R-Vision Threat Deception Platform позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра. Ловушки могут воспроизводить приложения, устройства, сетевое оборудование, сервера, рабочие станции, сервисы, службы и имитировать сетевое взаимодействие. Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки - информация, представляющая потенциальную ценность. Это могут быть файлы конфигураций, история браузера, черновики, ключи ssh, файлы с паролями и другими данными, которые генерируются автоматически, соблюдая характерные для организации параметры.

При регистрации взаимодействия с приманками и ловушками, R-Vision TDP собирает и обрабатывает эти события и направляет оповещение ИБ-специалисту. События безопасности могут также передаваться во внешние системы, такие как IRP/SOAR и SIEM для реагирования.

R-Vision TDP поддерживает тесную интеграцию с другими продуктами линейки R-Vision. Использование продукта в связке с R-Vision IRP позволит оценить масштаб атаки, выявить другие скомпрометированные системы организации на основе данных по инциденту от платформы Deception и автоматизировать реагирование. Атрибуты и индикаторы компрометации, собранные R-Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу управления данными киберразведки R-Vision TIP. Платформа R-Vision TIP, в свою очередь, позволит дообогатить эти данные, выявить взаимосвязи с другими доступными сведениями, настроить автоматический мониторинг в событиях SIEM и блокировку средствами защиты.

Официальный релиз продукта запланирован на первый квартал 2021 года, но старт пилотных проектов планируется уже на ближайшее время.



СМ. ТАКЖЕ (4)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (40)
  Другие (1191)

  Смарт-Софт (Smart-Soft) (5)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  Аксофт (Axoft) (2)
  Deiteriy (Дейтерий) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  Национальный аттестационный центр (НАЦ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Другие (56)

  Positive Technologies (Позитив Текнолоджиз) (5)
  ИВК (4)
  Уральский центр систем безопасности (УЦСБ) (4)
  Инфосистемы Джет (4)
  ITProtect (Инфозащита) (2)
  Другие (43)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 169)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (714, 494)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  SolidSoft (СолидСофт) (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  ИнфоТеКС (Infotecs) (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  X-Labs (Икс Лабз) (1, 1)
  Код Безопасности (1, 1)
  Другие (4, 4)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 81
  ESET NOD32 Business Edition - 51
  Dr.Web Enterprise Security Suite - 35
  Kaspersky Enterprise Space Security - 34
  MaxPatrol SIEM - 33
  Другие 666

  Смарт-софт: Traffic Inspector Next Generation - 5
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  Ngenix Облачная платформа - 2
  StormWall: Многоуровневая распределенная система фильтрации - 2
  Trend Micro: Deep Discovery - 2
  Другие 16

  Solar MSS - 3
  Kaspersky Endpoint Security - 3
  Solar JSOC - 3
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 20

  UserGate UTM - 4
  Kaspersky Endpoint Security - 3
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
  UserGate C-серия Межсетевые экраны - 3
  А-Реал Консалтинг: Межсетевой экран ИКС - 2
  Другие 8

  ИВК Кольчуга - 4
  UserGate UTM - 3
  MaxPatrol SIEM - 2
  UserGate Next-Generation Firewall (NGFW) - 2
  UserGate E-серия Межсетевые экраны - 2
  Другие 14

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Данные не найдены

Данные не найдены

Данные не найдены

Данные не найдены

Данные не найдены

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  AVSoft Loki - 0
  Гарда Deception - 0
  TrapX DeceptionGrid - 0
  HoneyCorn (HoneyPot и Deception система) - 0
  R-Vision Threat Deception Platform (R-Vison TDP) - 0
  Другие 0
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены