A Labyrinth Deception Platform egy proaktív kibervédelmi megoldás, amely valós infrastruktúra sebezhetőségeit szimulálva és valós forgalmat generálva csapdákat állít a támadók számára. A rendszer „Pointokból” áll, amelyek különböző szoftverszolgáltatásokat, tartalmakat, hálózati eszközöket és más elemeket utánoznak, így vonzzák magukhoz a rosszindulatú tevékenységeket. A rendszer a nevéből fakadóan is egy labirintusban tartja a támadót, ezzel időt nyerve, hogy a támadással kapcsolatban egyre több infót gyűjtsünk be. Amikor egy támadó interakcióba lép ezekkel a hamis célpontokkal, a platform rögzíti a támadás minden részletét, beleértve a fenyegetés forrását, az alkalmazott eszközöket, a kihasznált sebezhetőségeket és a támadó viselkedését. Ezeket az információkat a biztonsági csapat számára továbbítja, lehetővé téve a gyors és hatékony válaszlépéseket.

Főbb funkciók:

• Észlelés: rögzíti a felderítési tevékenységeket (pl. port szkennelés), az illetéktelen hozzáférési kísérleteket (pl. hibás belépési kísérletek), a sebezhetőségek kihasználását (ismertebb és népszerűbb sebezhetőségeket kínálva a támadónak) és a parancs- és vezérlőtámadásokat.
• Adatgyűjtés és elemzés: Mintázatelemzést, hozzáférési próbálkozások elemzését, viselkedéselemzést és tartalomelemzést végez.
• Reagálás: Teljes körű vizsgálati támogatást nyújt, automatikusan generálja a fenyegetésindikátorokat, izolálja a támadásban részt vevő végpontokat és jelentéseket készít.

Előnyök:

• Nincs szükség kiterjedt infrastruktúrára: Csak a biztonsági incidensekkel kapcsolatos adatokat gyűjti, minimális hatással van az IT hálózati erőforrások teljesítményére. Erőforrás takarékos.
• Nincs túlzott riasztás: Nem generál felesleges „digitális zajt”, rendkívül alacsony a téves pozitív riasztások aránya, valós idejű betekintést nyújt a támadásokba.
• Egyszerű használat: Könnyű telepítés és konfiguráció, nincs szükség speciális szaktudásra, automatizált észlelés és reagálás.

A platform Seeder Agenteket használ, amelyek a szervereken és munkaállomásokon vonzó „csali” elemeket imitálnak. Amikor egy behatoló aktiválja ezeket, az agentek a támadót a Pointokhoz irányítják. A Worker node-ok egyidejűleg több VLAN-ban is képesek működni, a környezetüknek megfelelő tartalmakat és szolgáltatásokat utánoznak , forgalmat generálnak, így tartva a támadót a Labyrinth rendszerében, amíg minden szükséges információt összegyűjtenek. Az összegyűjtött adatokat a Management Console elemzi, majd az incident response funkcióval integrált védelmi eszközökkel kapcsolatba lépve automatizálja a támadók izolációját, a káros forgalom blokkolását és a threat huntingot.