Xello Deception

2024

Xello Deception 5.6

22 октября 2024 года компания Xello сообщила о выходе релиза платформы Xello Deception версии 5.6. Среди ключевых изменений: запись сетевого трафика для расследования киберинцидентов, дополнительные типы ложных данных для выявления атак на протокол Kerberos, оптимизированное конфигурирование веб-ловушек и автодискаверинг.

По информации компании, после выявления вредоносной активности в сети Xello Deception предоставляет необходимую информацию для детектирования кибератаки: первоначальную точку компрометации, цепочку действий злоумышленника при взаимодействии с ложным слоем данных и активами, следы запуска инструментов.

𝓲

Xello

В обновленной версии продукта реализована запись сетевого трафика в pcap-файл для дальнейшего анализа с помощью сторонних средств. Это позволяет получать все данные о командах и действиях хакера (выполнение команд, запросы, запуск утилит и другие) при его взаимодействии с ловушкой.

Сегодня Xello Deception поддерживает более 40 типов ловушек разной интерактивности (FTP, SSH, Database, RDP, SMB и другие). В данной версии платформы реализована собственная технология эмуляции веб-сервисов устройств различных производителей (например, Cisco, HP, Hikvision и других) высокого уровня интерактивности.

Также в версии 5.6 реализованы RealOS-ловушки на ОС Linux. В терминологии разработчика RealOS — тип ловушек, который эмулирует ложные сервисы и устройства, работающие в среде реальной операционной системы. Это позволяет устанавливать на них любое программное обеспечение, приложение или средство защиты. Таким образом, ловушкой становится любая производственная система. Метавселенная ВДНХ 3.2 т

Протокол Kerberos (используется в доменных сетях для аутентификации пользователей) часто нужен злоумышленниками для получения учетных записей и повышения своих привилегий. Согласно анализу проведённых пентетстов компанией Positive Technologies в 2022 году, получение учетных данных через атаку Kerberoasting входит в пятёрку методов (36%), которые используют пентестеры при исследовании внутренней сети. Атаки на протокол Kerberos сложно выявить, потому что злоумышленники используют скомпрометированную учетную запись, связанную с именем субъекта-службы (Service Principal Name, SPN). Это имя является уникальным идентификатором, позволяющим пользователям входить в определенные учетные записи. Используя учетную запись, они запрашивают многочисленные билеты из центра распределения ключей (KDC) и домена, который контролирует, кто может получить доступ к сети. Данное поведение будет равносильно поведению легитимного пользователя.

Чтобы минимизировать риск компрометации протокола Kerberos, в обновленной версии Xello Deception реализованы SPN-приманки — специфичные для него ложные данные. Этот тип приманок станет наиболее привлекательной целью для злоумышленника при проведении Kerberoasting-атаки. Ее можно размещать в каталогах LDAP и Active Directory (AD) — в тех местах, где чаще всего ищут учетные записи для дальнейшей реализации кибератаки.

Другой способ выявления атак данного типа, который уже реализован на платформе — интеграция с источниками событий аутентификации (например, с Active Directory). Это позволяет выявлять действия злоумышленника при использовании ложной SPN-учетной записи в момент ее верификации (без использования ловушек).

В данной версии реализован автодискаверинг для автоматического добавления LDAP-серверов и Active Directory (AD) в систему. Это необходимо для анализа особенностей инфраструктуры компании и создания релевантных ложных данных. Автодискаверинг оптимизирует работу с системой компаниям с динамичной инфраструктурой и большим количеством доменов. Решение автоматизирует процесс мониторинга конфигурационных единиц и сбора данных о них, а также оптимизирует эффективность платформы за счет устранения человеческого фактора.

Современные системы киберобмана или решения класса Distributed Deception Platform (DDP) активно адаптируются под постоянно меняющийся ландшафт киберугроз. Например, после ухода западных игроков и их обновлений заметно выросли атаки с эксплуатацией уязвимостей в оборудовании, приложениях и системах. Мы реализовали в рамках нашей платформы отдельный модуль — Xello Decoy Traps, который позволяет эмулировать ложные устройства, сервисы, операционные системы и уязвимости в них. отметил Макаров Алексей, технический директор Xello

Xello Deception 5.5 с фильтрацией по защищаемым хостам при добавлении в политику

Вышла обновленная версия платформы для выявления целевых кибератак — Xello Deception 5.5. Об этом разработик сообщил 23 июля 2024 года. Одним из ключевых изменений релиза является обновленная модель лицензирования, которая разделяет платформу по функциональному признаку — модулям (компонентам системы). Это позволит клиентам выбирать необходимые компоненты в зависимости от их потребностей и модели угроз информационной безопасности. На июль 2024 года платформа насчитывает десять различных модулей.

𝓲

Xello

В каждом релизе разработчики уделяют внимание веб-интерфейсу продукта и удобству работы с ним. В версии 5.5 реализована «тёмная» тема интерфейса платформы. Улучшены возможности гибкой работы с системой:

• внедрена фильтрация по защищаемым хостам при добавлении в политику;
• реализована возможность скачать журналы аудита из веб-интерфейса;
• реализована авторизация пользователей системы из Security Group или по любому другому произвольному фильтру в каталогах LDAP (Lightweight Directory Access Protocol).

Команда Xello повысила стабильность работы платформы: реализована поддержка асинхронной обработки событий, увеличена скорость создания устройств в системе, улучшены механизмы сетевой конфигурации сервера управления и создания ловушек. Также традиционно добавлены новые протоколы ловушек.

Функциональные возможности Xello Deception давно вышли за рамки просто решения класса Distributed Deception Platform (DDP). Технологически сильная архитектура продукта позволяет масштабировать отдельные направления в рамках платформы, которые выполняют смежные задачи информационной безопасности (сокращение поверхности атаки, расследование инцидентов), — отметил технический директор компании Xello Алексей Макаров.

Использование в МТС RED SOC

МТС RED заключила соглашение с компанией Xello. Благодаря этому технологическому партнерству центр мониторинга и реагирования на кибератаки МТС RED SOC поможет заказчикам снизить вероятность ущерба даже в случае, если хакеры проникнут в инфраструктуру компании. МТС RED выступит в качестве MSSP-провайдера (Managed Security Service Provider) платформы Xello Deception Об этом МТС RED сообщил 26 июня 2024 года. Подробнее здесь.

2023

Xello Deception 5.3

28 сентября 2023 года компания Xello, разработчик первой российской платформы для защиты бизнеса от целевых атак с помощью технологии киберобмана, презентовала обновленную версию продукта Xello Deception. Ключевыми изменениями версии 5.3 стали: обновлённая архитектура для гибкого управления ложным слоем инфраструктуры на распределённых площадках, обновленный модуль гибридной эмуляции ложных активов, возможность получения событий аутентификации из сторонних систем и детектирования MITM-атак.

Xello Deception 5.3

По информации компании, Xello Deception выявляет целевые атаки с помощью распределённых приманок и ловушек, которые позволяют эмулировать различные ложные данные и информационные активы в сети для обмана злоумышленника. Обновленная версия продукта позволяет подключать географически распределённые площадки к системе и гибко управлять ложным слоем инфраструктуры на них из единой консоли управления. Данная архитектура получила название Xello Satellite или серверы Satellite (серверы, устанавливающиеся на распределённых площадках).

Для обеспечения максимального покрытия всех сегментов сети ложной инфраструктурой реализован обновленный модуль гибридной эмуляции Xello Decoy Traps, который позволяет создавать ложные активы и данные на уровне протоколов, операционных систем, сервисов и устройств.

Особенностью платформы являются высокодоверенные индикаторы компрометации, которые возникают при взаимодействии злоумышленника с ложными активами. Xello Deception может отправлять события в системы мониторинга инцидентов и управления ими. С обновленным модулем Xello Trapless стал возможен обратный сценарий, при котором платформа получает события, связанные с приманками и ловушками, из внешних систем (Apache Kafka, RabbitMQ, SIEM, Windows Event Collector). Это позволяет использовать решение в инфраструктурах без доменов.

На сентябрь 2023 года в условиях импортозамещения заказчики используют различные инструменты управления инфраструктурой и системы обеспечения информационной безопасности бизнеса. Поэтому мы делаем нашу платформу вендоронезависимой для бесшовной интеграции со сторонними системами и решениями, а также адаптивной под различные инфраструктуры. Вместе с развитием «классического» набора функциональных возможностей систем киберобмана — ловушек и приманок — мы развиваем смежные направления. Так, например, мы вывели в отдельный модуль Xello Identity Protection (ранее — Credential Defender), который позволяет сокращать поверхность атаки, удаляя различные артефакты работы пользователей на конечных устройствах. поведал Алексей Макаров, технический директор Xello

Также Xello Deception 5.3 позволяет детектировать атаки типа «человек посередине» (Man-in-the-middle, MITM). Специальный модуль в режиме реального времени выявляет вредоносную активность, связанную с протоколами LLMNR, mDNS, NBT-NS (протоколы многоадресного разрешения локальных имён). В ходе реализации кибератаки злоумышленники подделывают авторитарный источник для разрешения имени, отвечая на трафик LLMNR, mDNS, NBT-NS и перенаправляя жертву на поддельный ресурс для компрометации легитимной учётной записи.

Совместимость с Astra Linux Special Edition

Подтверждена совместимость платформы Xello Deception с ОС Astra Linux. Об этом 6 сентября 2023 года сообщила ГК Астра.

В обновленном релизе решения реализован ряд изменений, которые затронули практически все компоненты программного продукта - новый домен аутентификации на базе протокола RADIUS, поддержка динамического разрешения экрана, механизм записи событий в журнал операционных систем Windows и Linux.

Платформа Xello Deception выявляет целевые атаки с помощью распределённых приманок и ловушек по всей сети компании. Решение предоставляет злоумышленникам недостоверную информацию об ИТ-инфраструктуре бизнеса (ложные учётные записи, ключи от ИТ-систем, сохранённые подключения к различным ресурсам) и перенаправляет их на ловушки. Это обеспечивает защиту критически важных информационных активов в том числе Linux-инфраструктуры путём распространения ложных данных и активов.

Мы ведем активную работу по адаптации платформы Xello Deception под различные инфраструктуры и требования клиентов: бесшовная интеграция с продуктами российских вендоров, возможность подключения и сбора событий из сторонних решений, передача инцидентов безопасности в сторонние системы (SIEM/IRP). Совместимость с ОС Astra Linux — еще один важный шаг, благодаря чему клиенты смогут выполнить требования регуляторов по импортозамещению, — отметил технический директор Xello Алексей Макаров.

Ключевая задача «ГК Астра» — максимально расширить технологическое сотрудничество и совместимость с разработчиками российского ИТ-рынка и предоставить технологические решения, которые обеспечивают максимальную безопасность и беспрерывность бизнес-процессов организаций, — прокомментировал Кирилл Синьков, руководитель отдела по работе с технологическими партнерами ГК «Астра». — Благодаря совместимости платформы Xello Deception с ОС Astra Linux дополняется и расширяется уже признанный широким спектром заказчиков функционал безопасности, что позволяет нашим клиентам получить полноценный технологический стек с новым подходом к выявлению даже сложных киберугроз, что особенно актуально учитывая текущие реалии рынка.

Xello Deception версии 5.1 с поддержкой ОС Linux

Обновлённая платформа для предотвращения целевых атак с помощью технологии киберобмана Xello Deception версии 5.1 поддерживает установку сервера-управления на операционных системах семейства Linux. Также в обновленной версии реализованы механика управления неактивными хостами, поддержка OpenLDAP и последних протоколов для ловушек (WinRM и RPC). Об этом компания Xello (Кселло) сообщила 27 февраля 2023 года.

Реализация установки сервера-управления на отечественные системы Linux позволит выполнить требования импортозамещения. Кроме того, более ранние версии платформы уже поддерживают распространение приманок на конечные устройства под управлением OC Linux с помощью механизмов удалённого взаимодействия (SSH, Ansible, Puppet и другие). Это дает бизнесу возможность обеспечить защиту Linux-инфраструктуры даже на ранних версиях продукта.

В Xello Deception реализовано гибкое управление ложным слоем данных и их мониторинг на конечных устройствах. Платформа позволяет централизованно распространять приманки в определённое время, выбирать группы хостов по различным параметрам и поисковым запросам. Для автоматизации этого процесса в новой версии реализована возможность запуска периодических задач распространения через Microsoft System Center Configuration Manager (SCCM). Также в рамках мониторинга платформа теперь автоматически учитывает выведенные из эксплуатации хосты, на которые ранее были распространены приманки.

Поддержка отечественных операционных систем — это логичный шаг развития любого российского продукта, — сказал технический директор Xello Алексей Макаров. — Мы ведем работу по адаптации нашей платформы под другие отечественные дистрибутивы Linux, упрощая выполнение требований по импортозамещению. Продолжаем реализовывать новые типы приманок под все операционные системы и работать над удобством платформы для пользователей.

2022

Выход Xello Deception 5.0

Компания Xello, разработчик российского решения класса Distributed Deception Platform (далее — DDP), 19 октября 2022 года представила пятую версию платформы для предотвращения целенаправленных атак Xello Deception. Среди ключевых отличий релиза — гибкая встраиваемость платформы во внутреннюю инфраструктуру предприятия и внешние системы кибербезопасности, а также дополнительные возможности для работы с киберинцидентами. Улучшения позволяют более точно выявлять нелегитимные действия в сети и повышать эффективность реагирования.

Для анализа особенностей инфраструктуры любого бизнеса и генерации максимально реалистичных ложных данных в Xello Deception 5.0 реализовано автоматическое подтягивание серверов прямо из веб-интерфейса. Также благодаря открытому API решение способно гибко интегрироваться с внешними системами кибербезопасности. В обновленной версии реализован доступ к Swagger (инструмент, который позволяет создавать и визуализировать описание API на основе стандарта OpenAPI). Теперь можно смотреть и тестировать интеграции через API прямо внутри веб-интерфейса.

Изменён механизм управления типами приманок, который разбивает их на категории. Каждая категория характеризует область использования программного обеспечения, к которому относится приманка. Оператор системы может присваивать хостам через политики как целиком категории, так и отдельные типы приманок. Это позволяет более точечно конфигурировать их распространение по конкретным хостам.

Для удобной работы с киберинцидентами был переработан механизм фильтров. Теперь оператор системы всегда остаётся в их контексте, выполняя операции с несколькими активностями (не нужно открывать отдельное окно или скроллить). Ещё одно нововведение пятой версии — карта с тактиками по модели MITRE ATT&CK в карточке инцидента. Это помогает оператору системы понять, на какой стадии находится злоумышленник и узнать о применяемых техниках и тактиках (TTP).

Компания старается формировать стандарт решений класса DDP на российском рынке, ориентируясь на потребности пользователей и одновременно улучшая платформу технологически. Это наглядно продемонстрировано в обновленной версии Xello Deception, где значительно расширили её функциональные возможности, полностью поменяли интерфейс системы и упростили работу с ней для обычных пользователей, прокомментировал технический директор Xello, Алексей Макаров.

Совместимость с Security Vision

Компания Xello, разработчик российской платформы класса DDP (Distributed Deception Platform) Xello Deception, предназначенной для обеспечения информационной защиты бизнеса от целевых кибератак, и компания «Интеллектуальная безопасность» (бренд Security Vision), разрабатывающая передовые российские решения в области управления и автоматизации процессов информационной безопасности, заключили соглашение о партнерстве. Об этом сообщила компания Xello 19 сентября 2022 года.

В рамках сотрудничества компании протестировали совместную работу платформ Xello Deception и Security Vision. Интеграция этих продуктов даст возможность компаниям с крупной и критической инфраструктурой оперативно выявлять и предотвращать сложные киберугрозы, а также повысить качество мониторинга инцидентов безопасности и реагирования на них.

Платформа Xello Deception защищает инфраструктуры заказчиков от направленных атак, обнаруживая нелегитимные действия в сети на ранних стадиях с помощью приманок и ловушек. Они создают слой из ложных активов (учетных данных, серверов, приложений, сервисов и других), при взаимодействии с которыми злоумышленник выдает себя. Управление компонентами системы и мониторинг инцидентов производится через единую консоль.

Одним из особенностей Xello Deception является минимальное количество ложных срабатываний, так как приманки и ловушки направлены исключительно на злоумышленника. При интеграции с такими платформами, как Security Vision, предоставляет только высокодоверенные индикаторы компрометации, не создавая фонового шума, и всю необходимую информацию для работы с инцидентами (хостовую форензику), прокомментировал генеральный директор Xello, Александр Щетинин.

Рынок платформ для создания распределенной инфраструктуры ложных целей (DDP) имеет большой потенциал развития. Это перспективная и высокоэффективная технология, которая существенно способствует обогащению данными в процессе управления инцидентами. Интеграция Xello Deception и Security Vision открывает перспективы в вопросах укрепления информационной безопасности заказчиков, отметил генеральный директор Security Vision, Руслан Рахметов.

Xello Deception 4.8 с поддержкой VDI

В Xello Deception реализована поддержка инфраструктуры виртуальных рабочих мест. Об этом компания Xello (Кселло) сообщила 14 февраля 2022 года.

Спрос на организацию VDI мест обусловлен не только переходом бизнеса на гибридную модель работы, но и трендом на мобильность сотрудников. Однако процесс миграции несет за собой серьезные риски информационной безопасности.

• Расширение периметра кибератаки: компрометация одного конечного клиентского устройства способна дискредитировать всю среду VDI.
• Обеспечение кибербезопасности большого числа копий операционных систем.
• Реализация мер защиты с учетом специфики работы виртуализированной среды: например, внедрение ресурсоемкого решения для обеспечения безопасности (классические агентские средства защиты) может привести к снижению коэффициента консолидации виртуальных машин или вызвать задержки загрузки операционных систем.

Таким образом, переход на данную модель работы требует от отделов кибербезопасности не только тщательных организационных мер, но и грамотного подхода при выборе решений по кибербезопасности. В среде VDI средства защиты должны оказывать минимально возможное влияние на инфраструктуру. Более короткое время ожидания открытия приложений приводит к повышению производительности труда сотрудников предприятия.

Xello Deception является безагентским решением, которое создает приманки на виртуальных хостах и с помощью собственной технологии распределяет их по сети предприятия. Приманками могут являться различные сохраненные пароли и сессии, ключи, ложные конфигурационные файлы, базы данных и другие. Их задачей является эмуляция реальных информационных активов с целью обнаружения присутствия злоумышленника внутри периметра компании. Это позволяет повысить защищенность VDI среды и способствует снижению рисков несанкционированного доступа к инфраструктуре компании.

С каждым очередным релизом разработчики расширяют количество приманок и способы их распространения. Система тщательно анализирует модель поведения каждого пользователя. И независимо от конфигурации и предназначения защищаемого хоста (компьютер бухгалтера, сервер базы данных или ноутбук разработчика) система подберет приманки такого типа, программное обеспечение которого используется на этом хосте.

2020: Включение в Единый реестр российских программ

9 апреля 2020 года стало известно, что платформу Xello Deception внесли в Единый реестр российских программ ЭВМ и баз данных Министерства цифрового развития, связи и коммуникации РФ. Включение в реестр средств обеспечения информационной безопасности, Систем мониторинга и управления состоялось согласно Приказу Минкомсвязи России от 07.04.2020г.

Суть подхода Xello Deception заключается в создании альтернативной реальности для злоумышленника, попавшего в корпоративную сеть. Система создает и активно заманивает злоумышленника в плотную сеть ложных данных, минимизируя вероятность успеха атакующего. Решение действует после того, как «традиционные» средства защиты не справились, и злоумышленник проник в сеть.

Создание реалистичных систем, не зависящих от настоящей ИТ-инфраструктуры, помогает обнаружить активность злоумышленников раньше, чем те нанесут серьезный ущерб организации. Специалисты Xello отмечают, что в основе их разработки лежит особая технология "Dexem", с помощью которой можно создать наиболее реалистичное окружение.

Этапы работы Xello Deception:

• Создание приманок и ловушек.
• Внедрение их в корпоративную сеть.
• Введение в заблуждение злоумышленника за счет приманок и реалистичных ложных целей.
• Обнаружение несанкционированного проникновения в сеть.
• Своевременно реагирование на действия злоумышленников.