Компания Labyrinth выпустила новую версию своего более эффективного решения для выявления и прекращения хакерской деятельности внутри корпоративных сетей. Это обновление предлагает ряд улучшенных функций, которые мы подробно рассмотрим в данной статье.

New + Improved

Частичный процесс Generate/Terminate для Honeynet

В противоположность классическому процессу Generate/Terminate, коли створюються Point’s глобально для всіх Honeynet, частковий процесс Generate/Terminate дає змогу генерувати або видаляти Point’s для кожного Honeynet окремо. Це дозволяє значно швидше вносити зміни у конфігурацію Лабіринту, тому що не потрібно чекати, коли створяться Point’s для всіх Honeynet при внесении незначительных изменений в конкретный Honeynet.

Web интерфейс с Worker Node

Начиная с этого релиза, Web интерфейс лабиринта доступен не только с аплаянса Admin Console, но и с каждой Worker Node. Тобто достатньо у адресній стрічці браузера вбити IP-адресу Worker Node і відкриється головний Web інтерфейс лабіринту.

Эта функция будет полезна, когда есть распределенные установки Лабиринта (т.е. одна или более Worker Node находятся в разных локациях), а доступ к локации, где установлен Admin Console, ограничен.

ВАЖНО! Web интерфейс на Worker Node включен по умолчанию и пока нет возможности его отключить. В последующих релизах рассматривается возможность функции отключения данного интерфейса.

Опциональное сканирование сетей Honeynet

Перед каждым процессом Generate запускается процесс сканирования сетей, относящихся к лабиринту, то есть сети, прописанные в конфигурации всех Honeynet. Сканирование сетей необходимо для того, чтобы автоматически найти сервисы (IP-адреса и порты) для таких типов Point, как Universal Web Point (HTTP/HTTPS сервисы), Windows 10 Host (RDP сервисы) и т.д. Это позволяет в автоматическом или полуавтоматическом режиме запустить работу лабиринта.

С другой стороны, процесс сканирования значительно замедляет время генерирования Лабиринта (в зависимости от количества сетей и их размеров), но в определенных конфигурациях Honeynet не является обязательным. К примеру, если прописать веб сервисы для Universal Web Point в конфигурации Honeynet в поле Allowed IP Addresses (CSV), нет необходимости сканировать сети, чтобы найти веб-сервисы.

Начиная с данного релиза есть возможность в конфигурации каждого Honeynet включить или исключить сканирование сетей, относящихся к конкретному Honeynet. Тем самым значительно ускорить процесс Generate.

Вместе с частичным Generate время внесения изменений в конфигурацию Лабиринта значительно сокращается.

Усовершенствованный Universal WEB Point

Тип Point Universal Web Point был значительно переработан. Из основных функций можно выделить следующее:

1. Автоматическое клонирование сертификата TLS/SSL. То есть при старте данного типа поинта, он пытается создать самоподписывающийся сертификат, который по параметрам максимально похож на оригинальный.
2. Возможность слушать больше, чем на одном TCP порту. Ранее Point данного типа мог "слушать" на одном TCP порте. То есть, если оригинальное приложение, скажем, "слушает" на порту 80 с редиректом на HTTPS, то Universal Web Point слушал бы только HTTPS.
3. Добавлен детект и имитацию уязвимости Log4Shell

Settings Integrations migration

Значительно переработаны и усовершенствованы настройки Settings -> Integrations. Эти изменения касаются внешнего вида (более компактный список интеграций) и фикса минорных багов.

ВАЖНО! Рекомендуется проверить настройки интеграции после обновления.

Формы Wordlist и рефакторинг Honeynet

Также значительно переработаны Wordlist's (списки hostnames, usernames, passwords). В отличие от глобальных списков, используемых при генерации Лабиринта, сейчас эти списки настраиваются для каждого Honeynet отдельно. То есть у вас есть возможность для каждого сегмента сети задавать разные списки, например, для hostnames.

Список доступных (т.е. загруженных Wordlist):

Настройка Honeynet:

Новый тип Point: VMWare vCenter Virtual Appliance

Добавлен новый тип Point – VMWare vCenter Virtual Appliance. Это имитация логина формы VMWare vCenter 6.8 Virtual Appliance, содержащая в себе уязвимость Log4Shell.

Fixes

Seeder Tasks: empty seeder tasks after generation

Исправлено. При определенных обстоятельствах Seeder Tasks не генерировались для Seeder Agent'ов, подключаемых после Generate. Ожидаемое поведение: после Generate для новых агентов, подключившихся после Generate, должны создать Seeder Tasks.

Seeder Tasks: empty related point_id

Исправлено. При определенных настройках Лабиринта могла возникнуть следующая ситуация:

TLS Certificate and Key Content-Type issue

Исправлено. Если сертификат или загружаемый ключ правильного формата, но - с неправильным расширением файла, их скачать было невозможно. Сейчас неважно, с каким расширением файлы, главное, чтобы был правильный формат содержимого файлов: PEM-encoded x509 сертификат, и PEM-encoded RSA ключ.

Узнать больше об инновационном киберрешении от Labyrinth.

iIT Distribution является официальным дистрибьютором решения Labyrinth, который не только обеспечивает поставки ПО, но и предоставляет полный комплекс услуг по сопровождению и консультации. Наша компания предлагает начальную экспертизу и оценку состояния ИБ вашего предприятия от квалифицированных специалистов, подбор оборудования и ПО, а также внедрение комплексных решений кибербезопасности в существующую инфраструктуру. В сегодняшних реалиях очень важно сохранять бдительность, не откладывая вопрос обеспечения защиты своих систем на потом.