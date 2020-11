Attivo Networks hat seine BOTsink-Familie für die Netzwerk-basierte Erkennung von Bedrohungen um ein High-End-Modell erweitert.

Die BOTsink-Server von Attivo bieten Sicherheitsverantwortlichen die Möglichkeit, netzwerkbasierte Angriffe zu erkennen, zu analysieren und zu bekämpfen. Sie ergänzen Attivos EDN-Suite (Endpoint Detection Net) zur Bekämpfung von Angriffen auf der Basis von Zugangsdaten.

Als Frühwarnsystem innerhalb des Netzwerks identifiziert BOTsink Bedrohungen, die sich anderen Sicherheitskontrollen entzogen haben. Die Lösung erkennt präzise die laterale Bewegung von Angreifern, ohne sich auf bekannte Angriffsmuster oder Signaturen verlassen zu müssen, und verhindert so beispielsweise die Eskalation von Privilegien. Mithilfe dynamischer Täuschungstechniken und einer Matrix verteilter Täuschungssysteme macht BOTsink das gesamte Netzwerk zu einer Falle, die darauf ausgelegt ist, Angreifer und ihre automatisierten Tools zu erkennen und zu stoppen.

Angreifer auf die falsche Fährte locken

Die Attivo-Lösung täuscht Angreifern attraktive Assets vor, die von realen nicht zu unterscheiden sind und dazu dienen, einen Angreifer fehlzuleiten. Die Decoy Server besitzen vollständige Betriebssysteme und stellen Dienste zur Verfügung, und die Betreiber können sie mit besonders interessanten Ködern ausstatten, die sich in andere Netzwerkkomponenten einfügen. Sofort einsatzbereite Täuschungskampagnen decken eine Vielzahl von Angriffsvektoren ab und umfassen Konfigurationen, die identisch mit Produktionsservern, Endpunkten, industriellen Steuerungssystemen, IoT-, Point-of-Sale- oder VOIP-Systemen sowie Infrastrukturkomponenten erscheinen.

Sobald ein Angriff erkannt wird, analysiert das System seine Bewegung, Methoden und Aktionen und generiert sehr zuverlässige Warnmeldungen und visuelle Karten sowie ein Replay des Angriffs. Die Sicherheitsteams erhalten so gegnerische Informationen, die sie benötigen, um den Angriff vollständig zu verstehen und die Grundursache zu analysieren. BOTsink liefert fundierte Warnmeldungen mit allen Details, die für die Behandlung von Vorfällen und die Reaktion darauf erforderlich sind, und zwar in einem Format, das für den optimalen Austausch von Angriffsinformationen und die forensische Berichterstattung ausgelegt ist.

Hochgradig skalierbar

BOTsink 7500 ist das neue Flaggschiff der BOTsink-Familie und unterstützt maximal 20.000 Endpunkte und bis zu 150 VLANs mit 2.000 Schein-IPs, kann über die ThreatDirect-Technologie aber auch darüber hinaus skaliert werden. Anwender können je nach Bedarf eine reine Windows-, eine reine Linux- oder eine gemischte Umgebung konfigurieren, wobei Server- und Client-VMs zur Verfügung gestellt werden. Betreiber können alle nativen Betriebssysteme durch benutzerdefinierte “Golden Images” ersetzen, wobei viele Ressourcen eingespart werden können.

Als hochgradig flexible Enterprise-Lösung ergänzt BOTsink 7500 die bisherigen Serien 3000 und 5000. Die Serie 3000 unterstützt kleine bis mittelgroße Implementierungen und bietet hierfür eine vollständige Palette an Täuschungsfunktionen. BOTsink 5000 ist für größere Organisationen oder Einsätze konzipiert, unterstützt die gesamte Bandbreite an Konfigurationsoptionen und bietet etwa die doppelte Kapazität der 3000-Serie. BOTsink 7500 bietet entscheidend mehr Kapazität als die 5000 innerhalb einer hochflexiblen Plattform für sehr anspruchsvolle Decoy-Anwendungen in komplexen Organisationen und Netzwerken. Alle Modelle werden vom Attivo Central Manager (ACM) unterstützt, der eine zentralisierte Plattform zur Verwaltung und Kontrolle einer verteilten BOTsink-Installation darstellt.

