BOTsink 7500: Leistungsfähiger Decoy Server für komplexe Netzwerke. Attivo Networks hat seine BOTsink-Familie für die Netzwerk-basierte Erkennung von Bedrohungen um ein High-End-Modell erweitert.
Die BOTsink-Server von Attivo bieten Sicherheitsverantwortlichen die Möglichkeit, netzwerkbasierte Angriffe zu erkennen, zu analysieren und zu bekämpfen. Sie ergänzen Attivos EDN-Suite (Endpoint Detection Net) zur Bekämpfung von Angriffen auf der Basis von Zugangsdaten.
Als Frühwarnsystem innerhalb des Netzwerks identifiziert BOTsink Bedrohungen, die sich anderen Sicherheitskontrollen entzogen haben. Die Lösung erkennt präzise die laterale Bewegung von Angreifern, ohne sich auf bekannte Angriffsmuster oder Signaturen verlassen zu müssen, und verhindert so beispielsweise die Eskalation von Privilegien. Mithilfe dynamischer Täuschungstechniken und einer Matrix verteilter Täuschungssysteme macht BOTsink das gesamte Netzwerk zu einer Falle, die darauf ausgelegt ist, Angreifer und ihre automatisierten Tools zu erkennen und zu stoppen.
Angreifer auf die falsche Fährte locken
Die Attivo-Lösung täuscht Angreifern attraktive Assets vor, die von realen nicht zu unterscheiden sind und dazu dienen, einen Angreifer fehlzuleiten. Die Decoy Server besitzen vollständige Betriebssysteme und stellen Dienste zur Verfügung, und die Betreiber können sie mit besonders interessanten Ködern ausstatten, die sich in andere Netzwerkkomponenten einfügen. Sofort einsatzbereite Täuschungskampagnen decken eine Vielzahl von Angriffsvektoren ab und umfassen Konfigurationen, die identisch mit Produktionsservern, Endpunkten, industriellen Steuerungssystemen, IoT-, Point-of-Sale- oder VOIP-Systemen sowie Infrastrukturkomponenten erscheinen.
BOTsink Dashboard zeigt aktuellen Stand über laufende Attacken (Bild: Attivo Networks).
Sobald ein Angriff erkannt wird, analysiert das System seine Bewegung, Methoden und Aktionen und generiert sehr zuverlässige Warnmeldungen und visuelle Karten sowie ein Replay des Angriffs. Die Sicherheitsteams erhalten so gegnerische Informationen, die sie benötigen, um den Angriff vollständig zu verstehen und die Grundursache zu analysieren. BOTsink liefert fundierte Warnmeldungen mit allen Details, die für die Behandlung von Vorfällen und die Reaktion darauf erforderlich sind, und zwar in einem Format, das für den optimalen Austausch von Angriffsinformationen und die forensische Berichterstattung ausgelegt ist.
Hochgradig skalierbar
BOTsink 7500 ist das neue Flaggschiff der BOTsink-Familie und unterstützt maximal 20.000 Endpunkte und bis zu 150 VLANs mit 2.000 Schein-IPs, kann über die ThreatDirect-Technologie aber auch darüber hinaus skaliert werden. Anwender können je nach Bedarf eine reine Windows-, eine reine Linux- oder eine gemischte Umgebung konfigurieren, wobei Server- und Client-VMs zur Verfügung gestellt werden. Betreiber können alle nativen Betriebssysteme durch benutzerdefinierte “Golden Images” ersetzen, wobei viele Ressourcen eingespart werden können.