Use Case

Zadania

  • Wykrywanie luk,
  • Zaawansowana analiza zagrożeń,
  • Aktualizacja cyberobrony,
  • Ulepszanie istniejącego oprogramowania,
  • Dochodzenie w czasie rzeczywistym,
  • Zgodność z istniejącym oprogramowaniem.

Results

  1. Wykrywanie dużych „wycieków” danych.
  2. Zmniejszenie utraty danych w wyniku incydentów.
  3. Poprzednia kompatybilność oprogramowania,
  4. Chronione sieci firmowe vLan.
  5. Pełne skanowanie systemu.
  6. Monitorowanie w czasie rzeczywistym.
  7. Wykrywanie luk w dzień zerowy.
  8. Skuteczna ochrona przed zaawansowanymi zagrożeniami.

Opis

Informacje o firmie

Do TrapX zwrócił się wiodący dostawca oprogramowania medycznego. Firma dostarcza oprogramowanie klientom za pośrednictwem usług w chmurze. Zespół ds. bezpieczeństwa IT klienta zainwestował znaczne środki w oprogramowanie, aby zapewnić solidne bezpieczeństwo cybernetyczne. Klient dysponował potężnym pakietem produktów bezpieczeństwa cybernetycznego obejmującym zapory ogniowe, pakiety antywirusowe, oprogramowanie do wykrywania włamań, zabezpieczenia punktów końcowych. Ale jednocześnie ich centrum bezpieczeństwa regularnie wykrywało złośliwe oprogramowanie i poprawiało wszystkie zarejestrowane incydenty.

Wyzwanie

Jednym z głównych zadań było wzmocnienie obwodu ochrony, wyszukiwanie szkodliwego oprogramowania i luk dnia zerowego, których nie mógł wykryć istniejący system zabezpieczeń. Ponadto DeceptionGrid, będący dodatkowym rozwiązaniem obronnym, powinien być bezproblemowo połączony z już wdrożonym systemem bezpieczeństwa cybernetycznego i nie obciążać pracy już złożonego systemu.

TrapX DeceptionGrid pomaga dostrzec zagrożenia cybernetyczne, w których inne systemy bezpieczeństwa mają „martwe punkty”. Program pozwala łatwo kontrolować wszystkie zasoby informatyczne firmy i reagować na każde zdarzenie związane z bezpieczeństwem z błyskawiczną prędkością.

Integracja

Początkowa instalacja DeceptionGrid obejmowała ponad dziesięć sieci VLAN przedsiębiorstwa. Niemal natychmiast po uruchomieniu pracownicy działu informatyki otrzymali wiele alarmów o wysokim priorytecie. Alerty zawierały podejrzaną aktywność i doprowadziły do odkrycia nieprawidłowych ustawień sieciowych: niektóre wewnętrzne adresy internetowe były otwarte na zewnętrzny Internet i różne protokoły wysokiego ryzyka. Połączenia przychodzące od atakujących działały przez SSH, Telnet i Remote Desktop. Niektóre szkodliwe programy zostały automatycznie przechwycone i wprowadzone do piaskownicy DeceptionGrid w celu dalszej analizy. Analiza ta ujawniła obecność złośliwych punktów dowodzenia i kontroli, które omijały cały szereg istniejących zabezpieczeń.

Wynik

DeceptionGrid śledził i rejestrował ruch szkodliwego oprogramowania. Kilka punktów dowodzenia i kontroli na sześciu stanowiskach było powiązanych z napastnikami w Pekinie, Chinach, Mołdawii i kilku miejscowościach na terytorium Ukrainy. Aby zapobiec dostępowi do nich, trzeba było skonfigurować dziesiątki stacji roboczych. Potrzeba było ręcznego zrzutu pamięci i analizy wielu zasobów IT, zanim możliwe było zidentyfikowanie pełnego zakresu rozległej i wcześniej niewykrytej aktywności hakerów.