Labyrinth Cyber Deception Platform
Labyrinth erzeugt für einen Angreifer die Illusion einer echten Infrastruktur-Schwachstelle. Die Lösung basiert auf Points, einer intelligenten Host-Simulation. Jeder Teil der Simulationsumgebung reproduziert die Dienste und Inhalte eines tatsächlichen Netzwerksegments. Das System besteht aus vier Komponenten, die miteinander interagieren. Die Hauptkomponenten der Plattform sind: Admin VM ist die Hauptkomponente. Alle gesammelten Informationen werden zu ihr zur Analyse gesendet. Die Konsole benachrichtigt das Sicherheitsteam und sendet die notwendigen Daten an Drittsysteme. Worker ist ein Host/virtuelle Maschine zur Bereitstellung eines Satzes von Labyrinth-Netzwerk-Ködern (Points). Er kann gleichzeitig in mehreren VLANs arbeiten. Mehrere Worker-Hosts können gleichzeitig an dieselbe Verwaltungskonsole angeschlossen werden. Points sind intelligente Hosts, die Softwaredienste, Inhalte, Router, Geräte usw. nachahmen. Points erkennen alle bösartigen Aktivitäten im Firmennetzwerk und bieten vollständige Abdeckung aller möglichen Angriffsvektoren. Seeder-Agenten, die auf Servern und Arbeitsstationen bereitgestellt werden, imitieren die attraktivsten Datei-Artefakte für einen Angreifer. Durch die Erstellung verschiedener Köderdateien lenkt der Agent Angreifer über deren Inhalte zu Netzwerk-Ködern (Points). Die Plattform stellt automatisch Points (Köder) im IT/OT-Netzwerk basierend auf Informationen über Dienste und Geräte in der Netzwerkumgebung bereit. Zusätzlich können Köder manuell bereitgestellt werden, was den Nutzern ein leistungsstarkes Werkzeug bietet, um ihre einzigartige Täuschungsplattform basierend auf ihren spezifischen Bedürfnissen und Best Practices zu entwickeln. Labyrinth provoziert einen Angreifer zum Handeln und erkennt verdächtige Aktivitäten. Während der Angreifer die gefälschte Zielinfrastruktur durchläuft, erfasst die Plattform alle Details des Gegners. Das Sicherheitsteam erhält Informationen über die Bedrohungsquellen, die verwendeten Werkzeuge, die ausgenutzten Schwachstellen und das Verhalten des Angreifers. Gleichzeitig arbeitet die gesamte reale Infrastruktur ohne negative Auswirkungen weiter.
