Имитатор угроз, Моделирование атак и нарушений безопасности

Проблема: безопасность сложна, ошибки конфигурации распространены, а утечки происходят повсюду

С множеством новых угроз как изнутри, так и извне вашей сети, риск нарушения безопасности никогда не был столь высоким. Все эти факторы риска усугубляются человеческим фактором, когда предполагается, что всё настроено и сконфигурировано правильно для достижения максимальной эффективности каждого средства защиты.

Организации обычно реагируют на эту проблему, выделяя больше средств — приобретая дополнительные средства защиты, что увеличивает сложность управления и затрудняет видимость для команд, таких как SecOps, которым необходимо обеспечивать результаты и окупаемость инвестиций (ROI).

Но настоящая проблема всех этих факторов заключается в том, что чрезвычайно сложно эффективно измерять уровень безопасности. А когда безопасность нельзя измерить, становится трудно управлять ею и повышать её уровень.

В результате вы не можете количественно оценить риски для вашего бизнеса или понять, насколько оправданы ваши вложения в безопасность и как их оптимизировать.

Основные особенности

• Часть набора инструментов безопасности предприятия Keysight Security Operations Suite.

• Безопасный и экономичный способ измерения и проверки эффективности ваших эксплуатационных средств защиты.

• Позволяет выполнять автоматизированное моделирование атак и нарушений безопасности на регулярной основе.

• Устраняет предположения о том, что средства защиты внедрены и настроены корректно.

• Определяет изменения среды по сравнению с историческими визуализированными результатами.

• Активная проверка всех фаз жизненного цикла атаки (Attack Life Cycle).

• Сокращает время аудита на соответствие за счёт предоставления доказательной базы, основанной на данных.

• Подтверждает, что атаки на безопасность корректно выявляются и документируются.

• Обосновывает текущие и будущие расходы на ИТ.

• Содержимое регулярно обновляется, включая ежедневное предоставление потоков данных о вредоносных программах.

Решение: проактивная, непрерывная проверка безопасности

Для обеспечения надёжной защиты организациям необходимо применять проактивный подход, основанный на актуальной информации об угрозах, чтобы постоянно проверять, что средства безопасности по всей инфраструктуре работают так, как ожидается, и оптимизированы для максимальной защиты.

С помощью Keysight Threat Simulator предприятия могут измерять уровень своей защищённости, получать представление об эффективности используемых средств безопасности и получать конкретные рекомендации по устранению уязвимостей.

Используя эти данные, вы можете начать оптимизацию существующих решений по безопасности, чтобы повысить защиту без внедрения дополнительных дорогостоящих средств.

Keysight Threat Simulator основан на более чем 20-летнем опыте компании в области тестирования сетевой безопасности для выявления уязвимостей в публичных, частных и гибридных сетях.
Постоянные исследования команды Application and Threat Intelligence (ATI) обеспечивают регулярные обновления, предоставляя вам доступ к новейшим сценариям атак и моделям угроз.

Ключевые особенности

• Гибкая облачная платформа моделирования атак и нарушений безопасности, масштабирующаяся вместе с ростом вашей сети.

• Практические рекомендации по устранению уязвимостей, помогающие улучшить и оптимизировать средства безопасности.

• Многоарендованный контроль доступа и сегментация.

• Лёгкие, независимые от инфраструктуры программные агенты, доступные для работы локально, в частных и публичных облаках, а также на ноутбуках удалённых пользователей.

• Быстрое получение информации о текущем уровне защищённости.

• Полностью управляемая инфраструктура Dark Cloud, имитирующая внешних злоумышленников, вредоносные узлы и C&C-серверы в общедоступных доменах.

• Современный, удобный веб-интерфейс.

• Встроенная интеграция с ведущими средствами сетевой безопасности и инструментами SIEM.

• Широкий набор техник и векторов атак из библиотеки MITRE ATT&CK для проверки сетевых, конечных и почтовых систем безопасности.

• Встроенная библиотека атак позволяет моделировать полную Cyber Kill Chain® для популярных взломов, актуальных вредоносных программ и APT-атак (Advanced Persistent Threats).

• Планировщик, обеспечивающий непрерывную оценку уровня безопасности во всей корпоративной сети.

• Прокси-агент SIEM облегчает взаимодействие с SIEM-системами.

• Поддержка захвата пакетов (packet capture).

• Визуальные диаграммы (ladder diagrams), дополняющие предопределённые проверки безопасности.

• Теги агентов с пользовательскими метаданными для удобного управления отдельными агентами.

• Группировка агентов в абстрактные уровни для быстрой проверки нескольких сегментов сети одновременно.

• Поддержка правил Sigma для используемых модулей, помогающая в построении механизмов обнаружения.

• Поддержка формата STIX™ (Structured Threat Information Expression) для обмена сведениями об угрозах и индикаторах компрометации (IOC).

Возможности продукта

Когда речь идёт о сетевой безопасности, лучшая защита — это активное наступление.
Keysight Threat Simulator — это платформа моделирования атак и нарушений, предоставляющая корпоративным командам по безопасности понимание эффективности их защитных мер и практические сведения для их улучшения.

Облачная, бессерверная архитектура

Keysight Threat Simulator — это полностью облачная платформа, предоставляемая в виде сервиса (SaaS), с возможностью локального развёртывания.
В её основе — микросервисная архитектура, управляемая через API.
Такой бессерверный дизайн позволяет Threat Simulator автоматически масштабироваться по требованию, устраняя необходимость в сложной и дорогостоящей обратной передаче данных (backhaul).

Для решения SaaS, Threat Simulator устраняет распространённые сложности, связанные с развертыванием, особенно в случаях, когда архитектуры сети более сложные. Он предлагает современный, упрощённый веб-интерфейс с превосходным «из коробки» опытом работы.

Keysight Threat Simulator состоит из трёх основных компонентов:

• Удобный веб-интерфейс, который облегчает настройку и запуск сценариев оценки безопасности, определение отклонений в уровне защищённости и получение конкретных рекомендаций по устранению уязвимостей.

• Управляемая компанией Keysight сущность Dark Cloud, которая создаёт агентов по запросу для имитации злоумышленников в общедоступной среде, таких как вредоносные веб-сайты, внешние хакеры и серверы управления (C&C).

• Программные агенты, которые можно развертывать в корпоративной сети в формате docker-контейнеров или как нативные приложения для Microsoft Windows, Linux и MacOS.

On-prem edition

Эффективное управление данными, включая вопросы суверенитета и размещения данных (data-sovereignty и data-residency), представляет серьёзную задачу для организаций, подчиняющихся внутренним или отраслевым нормативным требованиям.
Для соответствия таким требованиям Threat Simulator предлагает on-premises версию, которую можно развернуть на поддерживаемых гипервизорах независимо от расположения или интернет-подключения.

Локальная версия включает инфраструктурный компонент и адаптированную версию Dark Cloud, которая может быть развернута на гипервизоре, работающем под управлением операционных систем VMware ESXi™ или Linux KVM.

Network security and enterprise tools ecosystem

Threat Simulator предлагает готовую интеграцию с обширной экосистемой средств сетевой безопасности, что упрощает получение точных, практических рекомендаций для улучшения и оптимизации уровня кибербезопасности.

Интеграция с ведущими поставщиками SIEM обеспечивает сквозную проверку и подтверждение эффективности мер защиты, выявляет пропущенные датчики безопасности.
Двусторонняя связь с системами SIEM позволяет командам SOC получать события, происходящие во время атак и симуляций нарушений, что помогает им быстро выделять подлинные инциденты среди несмоделированных атак.

Thread Simulator — Web User Interface (Dashboard, Scenario Builder, Detailed Results)

Network, endpoint, and email security assessments, powered by Threat Simulator: Validate security posture, identify vulnerabilities, and prioritize fixes
Оценка безопасности сети, конечных устройств и электронной почты на основе Threat Simulator: проверяйте уровень защищённости, выявляйте уязвимости и расставляйте приоритеты исправлений

Хотите улучшить работу службы безопасности, но вам не хватает персонала? Мы это понимаем. Когда ваша команда постоянно тушит пожары, бывает трудно найти время на что-либо ещё.

Именно поэтому мы предлагаем оценку безопасности сети, конечных устройств и электронной почты, основанную на Threat Simulator.
Нужны ли вам ежемесячные оценки или разовая проверка, наши обученные специалисты могут предоставить детальный анализ вашего уровня безопасности — без необходимости внедрения новых инструментов в вашу инфраструктуру.
Мы можем безопасно моделировать атаки на вашу рабочую сеть, выявлять уязвимые ошибки конфигурации и предоставлять конкретные пошаговые инструкции по их устранению и приоритизации.

Наш стандартный аудит охватывает весь комплекс защитной инфраструктуры, включая сетевые, конечные и почтовые средства безопасности.
Однако вы также можете выбрать из различных специализированных аудитов для более точечной проверки, например:

• Безопасность филиальных сетей

• Безопасность электронной почты

• Безопасность конечных устройств

• Группы MITRE ATT&CK

• Кампании APT

• Безопасность WAF

Независимо от выбранного типа проверки, наши аудиты выполняются быстро и экономично, сопровождаются индивидуальными отчётами и рекомендациями по устранению уязвимостей.
Благодаря подробному анализу нашей команды вы получаете практическое понимание того, какие из недостатков наиболее вероятно будут использованы злоумышленником, что позволяет вам незамедлительно внедрить исправления для защиты вашей сети, пользователей и приложений.

Технические характеристики

Категория функций	Функция
Общие функции	Современный, простой в использовании веб-интерфейс
	Поддержка версии On-prem edition на гипервизорах VMWare ESXi™ и Linux KVM
	Практические рекомендации по устранению уязвимостей помогают улучшить и оптимизировать средства защиты
	Оценка и показатели обнаружения с историческим трендом для выявления отклонений
	Минуты до первого оповещения безопасности
	Встроенная поддержка захвата пакетов
	Просмотр топологии
	Панели управления (Summary, Assessment, Scenario, Agents)
Моделирование атак и нарушений	Активная проверка всех фаз Attack Life Cycle
	Разнообразная и реалистичная библиотека техник, векторов угроз и моделей цепочек атак (kill chain modeling)
	Всегда безопасно: имитированные атаки и вторжения выполняются только агентами Threat Simulator
	Ежедневная загрузка данных о вредоносных программах и общий аудит безопасности каждые 2 недели
	Проверка средств защиты сети — WAF, IDS/IPS, DLP, URL Filtering, Gateway Antivirus и Malware Sandbox
	Проверка защиты конечных устройств с использованием техник MITRE ATT&CK и групп MITRE ATT&CK Groups
	Проверка безопасности электронной почты (Microsoft Office 365, IMAP, SMTP)
	Активная проверка средств безопасности центров обработки данных и периметров сети
	Поддержка IPv4
Агент Threat Simulator	Доступен как docker-контейнер для дистрибутивов Linux (например, RedHat, CentOS, Ubuntu) для проведения аудитов сетевой и почтовой безопасности
	Доступен как нативное приложение Windows, Linux или MacOS для проверки защиты сети, конечных устройств и почты
	Независимая от инфраструктуры архитектура: поддержка работы локально, в частных и публичных облаках
	Гибкость: использование единого интерфейса для управления и тестирования трафика или выделенных интерфейсов
Агент SIEM Connector	Лёгкий контейнерный агент, работающий на ОС Linux, выполняющий функции прокси между серверной частью Threat Simulator и системой SIEM
	Поддержка IPv4-подключения
Интеграции с SIEM	IBM QRadar
	Splunk
	Logz.io
Интеграции с системами защиты конечных устройств	CrowdStrike Falcon EDR events
	SentinelOne Singularity threats
	Microsoft Defender for Endpoint
	Trellix ePolicy Orchestrator (On-prem edition)
	Поддержка универсальных вендоров (Generic vendor support)

Информация для заказа

Подписка SaaS unlimited agent-based

Комплект всесторонней оценки безопасности включает:

• Доступ к веб-консоли Threat Simulator SaaS.

• Программные агенты, развёрнутые на периметре сети заказчика.

• Симуляцию Dark Cloud, размещённую на управляемой инфраструктуре Keysight.

• Все виды оценок безопасности — сетевой, конечных устройств и электронной почты.

Срок лицензии должен быть указан и может приобретаться кратно количеству лет; цена указана за один блок в год.

Номер позиции	Описание
983-2010	5 агентов, подписка на 1 год
983-2011	10 агентов, подписка на 1 год
983-2012	25 агентов, подписка на 1 год
983-2013	50 агентов, подписка на 1 год
983-2014	100 агентов, подписка на 1 год

Лицензирование SaaS consumption-based

Комплект всесторонней сетевой оценки безопасности включает:

• Доступ к веб-консоли Threat Simulator SaaS.

• Возможность лицензирования одного агент-дня в месяц на лицензионный блок.

• Симуляцию Dark Cloud, размещённую на управляемой инфраструктуре Keysight.

• Все виды оценок безопасности — сетевой, конечных устройств и электронной почты.

Срок лицензии должен быть указан и может приобретаться кратно количеству лет; цена указана за один блок в год.
Приобретение нескольких лицензий увеличивает количество доступных агент-дней Threat Simulator в месяц.

Номер позиции	Описание
983-2101	Threat Simulator SaaS TIER-1, лицензия на один агент-день в месяц со стандартной поддержкой (1-годовая подписка). Без минимального количества.
983-2102	Threat Simulator SaaS TIER-2, лицензия на один агент-день в месяц с поддержкой Enterprise 24×7 (1-годовая подписка). Минимум 60 единиц в заказе.
983-2103	Threat Simulator SaaS TIER-2, лицензия на один агент-день в месяц со стандартной поддержкой (1-годовая подписка). Минимум 60 единиц в заказе.
983-2104	Threat Simulator SaaS TIER-3, лицензия на один агент-день в месяц с поддержкой Enterprise 24×7 (1-годовая подписка). Минимум 500 единиц в заказе.

Подписка On-premise agent-based

Комплект всесторонней оценки безопасности включает:

• Доступ к образам Threat Simulator Dark Cloud OVA.

• Программные агенты, развёрнутые на периметре сети заказчика.

• Симуляцию Dark Cloud, размещённую на управляемой инфраструктуре Keysight.

• Все виды оценок безопасности — сетевой, конечных устройств и электронной почты.

Срок лицензии должен быть указан и может приобретаться кратно количеству лет; цена указана за один блок в год.

Номер позиции	Описание
983-2110	5 агентов, подписка на 1 год
983-2111	10 агентов, подписка на 1 год
983-2112	25 агентов, подписка на 1 год
983-2113	50 агентов, подписка на 1 год
983-2114	100 агентов, подписка на 1 год

Лицензирование On-premise consumption-based

Комплект всесторонней оценки безопасности включает:

• Доступ к образам Threat Simulator Dark Cloud OVA.

• Программные агенты, развёрнутые на периметре сети заказчика.

• Симуляцию Dark Cloud, размещённую на управляемой инфраструктуре Keysight.

• Все виды оценок безопасности — сетевой, конечных устройств и электронной почты.

Срок лицензии должен быть указан и может приобретаться кратно количеству лет; цена указана за один блок в год.
Покупка нескольких лицензий увеличивает количество агент-дней Threat Simulator в месяц.

Номер позиции	Описание
983-2201	Threat Simulator OnPrem TIER-1, лицензия на один агент-день в месяц со стандартной поддержкой (1-годовая подписка). Без минимального количества.
983-2202	Threat Simulator OnPrem TIER-2, лицензия на один агент-день в месяц с поддержкой Enterprise 24×7 (1-годовая подписка). Минимум 60 единиц в заказе.
983-2203	Threat Simulator OnPrem TIER-2, лицензия на один агент-день в месяц со стандартной поддержкой (1-годовая подписка).
983-2204	Threat Simulator OnPrem TIER-3, лицензия на один агент-день в месяц с поддержкой Enterprise 24×7 (1-годовая подписка).
983-2205	Threat Simulator OnPrem, 16 агент-дней в месяц с поддержкой Enterprise 24×7 (30-дневная подписка).
983-2206	Threat Simulator OnPrem, 16 агент-дней в месяц с поддержкой Enterprise 24×7 (90-дневная подписка).