Canary – пастка для хакерів та інсайдерів

Дозволяє дізнатися про зовнішні та внутрішні загрози

Коли у нагоді це рішення

#Хочу визначити інсайдера #Хочу дізнатися про загрозу до атаки #Засипати проблему грошимане мій підхід #Безліч повідомлень підвищує ризик пропустити важливе #Людський фактор, людина – найслабша ланка захисту
Просте й доступне рішення – Канарка (Canary)

Чому Canary

#КанаркаСтежить

Виявляє зловмисників раніше, ніж вони досягнуть своєї мети

#КанаркаПроста

Налаштування лише за 3 хвилини

#КанаркаДоступна

Відсутність додаткових витрат на персонал та інфраструктуру

#КанаркаТочна

Кількість помилкових спрацювань близько нуля

#КанаркаВчасна

Повідомляє у зручний спосіб і тільки коли це потрібно

#КанаркаЗручна

Фізичне, хмарне та віртуальне розгортання

Як це працює

Все дуже просто!



Illustration

Крок 1

Замовити, налаштувати і розгорнути Canary у своїй мережі. Це можуть бути апаратні, віртуальні або хмарні «пташки». Вони можуть виглядати для зловмисника як типові мережеві машини або навпаки як звичайний сервер, що привертає увагу. Зробіть одну файловим сервером Windows, другу - маршрутизатором, ще кілька - Linux-машинами з веб-сервісами або, наприклад, з git-сервером.

Крок 2

Налаштовуємо спосіб повідомлень і чекаємо. «Канарки» тихо працюють і чекають на вторгнення.

Крок 3

Коли зловмисники почнуть вивчати вашу мережу, вони натраплять на «канарок». Намагаючись отримати від них інформацію, вони видадуть інформацію про себе (IP-адресу або навіть пароль користувача, який отримали раніше). Canary одразу повідомить вас про інцидент з цією інформацією

Консоль користувача

Кожен користувач отримує власну консоль управління, яка дозволяє налаштовувати параметри, управляти своїми Canary та переглядати події.

Канарки постійно звітують, тобто показують події та свій онлайн статус, проте це не черговий екран, на який потрібно дивитися цілий день. Навіть користувачі із сотнями Canary на борту отримують лише кілька повідомлень на рік. Коли відбувається інцидент, консоль сама повідомить вас електронною пошті, SMS, через Slack, Telegram та інші месенджери, через webhook або через інтеграцію з внутрішніми системами за допомогою syslog.

Illustration

Canary + месенджери

Багато користувачів вкрай рідко заходять у свої консолі після налаштувань. Ви можете отримувати повідомлення у зручний спосіб та вчасно. І це головне. Все більше користувачів надають перевагу отриманню повідомлень у Slack, Microsoft Teams або Telegram.

Інтеграція зі Slack, Hipchat або Microsoft Teams відбувається за кілька кліків через консоль користувача. Для Telegram існує спеціальний бот, за допомогою якого ви можете налаштувати інтеграцію і миттєво отримувати повідомлення.



«Заведіть» свою пташку

Canary не турбує. Canary цвірінькає раз, але вчасно



ЧаПи

  • Хіба це не одна з приманок («Honeypot»), які вже давно використовують?

    І так і ні.
    Honeypots — це чудова ідея. Багатьом про неї відомо, але чомусь мало хто реально її застосовує у внутрішніх мережах. Причина проста: нікому не потрібна ще одна машина для адміністрування, про яку потрібно постійно думати. На практиці переваги honeypots завжди поступаються витратам і зусиллям з їхнього налаштування.
    Canary все змінює. Її можна налаштувати за лічені хвилини (навіть у складних мережах), що надає вам всі переваги без недоліків подальшого адміністрування. Про неї можна дійсно забути, поки вона не нагадає про себе саме тоді, коли вам це точно потрібно (загроза в мережі).

  • Розкажіть детальніше, що потрібно для налаштування Canary?

    Вам знадобиться лише 5 хвилин для підготовки Canary до роботи у мережі, враховуючи час на її розпакування (якщо ви надаєте перевагу апаратному варіанту).

    Пристрій має порт Ethernet, за допомогою якого ви фізично підключаєте його до мережі. Після цього ви налаштовуєте пристрій за кілька кліків (обираєте сервіси для емуляції) і під'єднуєте його до своєї хмарної консолі. Ви завжди можете витратити більше часу на інтеграцію з SIEM або іншою системою (через syslog або API), але це не є необхідним для отримання повідомлень електронною поштою або через Slack.

  • Як пристрої взаємодіють із консоллю? Мені потрібно налаштовувати firewall?

    Canary встановлюють всередині вашої мережі і вони взаємодіють із консоллю через протокол DNS. Це означає що єдине правило доступу, яке потрібно — доступ до зовнішнього DNS-сервера з підтримкою запитів. Це просте правило, яке, швидше за все, у вас працює.

  • Тобто канарки — це сенсори. Чи використовується машинне навчання для виявлення аномалій?

    Ні. Canary не може виявити аномалії (з машинним навчанням чи в інший спосіб), навчаючись розпізнавати зловмисну поведінку на щоденній основі. Тригери дуже прості: якщо хтось дістається ваших файлів-приманок або брутфорсить ваш підробний внутрішній SSH-сервер, то у вас є проблема. Canary використовує оманливо прості, але дуже якісні маркери проблем у вашій мережі. Може в цьому менше «хайпа», але це просто працює.

  • Чи можу я зробити це самостійно, використовуючи open source проекти?

    Звісно завжди можна встановити та налаштувати honeypots самостійно, але на практиці мало хто так робить у корпоративній мережі. Чому? Є дві причини: більшість проектів має обмежену підтримку протоколів, а це означає, що вам доведеться встановлювати кілька honeypots для необхідного охоплення протоколів; а моніторинг і повідомлення одночасно по кількох honeypots швидко стають складними у налаштуванні та підтримці.

    Canary дає цьому раду: вона має безліч протоколів, що підтримуються, а консоль забезпечує моніторинг і повідомлення без додаткових зусиль.

  • А якщо зловмисник атакує пристрій або компрометує його?

    Кількість способів, як зловмисник може взаємодіяти з пристроєм, дуже обмежена і майже всі вони — приманка. Звісно, не існує абсолютно захищених пристроїв і завжди є ймовірність фізичного доступу. Якщо пристрій видасть хоч одне сповіщення (а він, швидше за все, це зробить в момент «контакту»), ваша консоль запише його і відразу повідомить про це. Не має значення, що трапиться з пристроєм після цього, оскільки у ньому самому взагалі не зберігається нічого цінного.

  • Що як зловмисники ідентифікують пристрій? Чи не будуть вони просто уникати його?

    Ідентифікація вимагає запитів до девайсу, тож ми за допомогою загальних методів розпізнаємо сліди, а потім сповіщаємо. Після цього, навіть якщо зловмисники визначили Канарку, ви вже в курсі, що вони шукають і можуть продовжити розвідку.

    Ідентифікація вимагає реальної взаємодії з пристроєм, а він вміє виявляти типові спроби розпізнавання (fingerprinting), про що одразу повідомить. Навіть якщо згодом зловмисник інтуїтивно зрозуміє що це приманка, ви вже будете знати про його існування і спроби розпізнати пристрої.

  • Чи є якийсь захист від того, що пристрій порушить роботу мережі або його можуть використати для протиправних дій? І що на рахунок гарантії на фізичні пристрої?

    Canary надається за підпискою як сервіс. Компанія, що надає сервіс, несе відповідальність згідно законодавства. Для українських клієнтів стороною договору є компанія 10Guards. Апаратний пристрій пройшов необхідну сертифікацію в Україні та був включений до Реєстру радіоелектронних засобів НКРЗІ. Несправні пристрої замінюються на нові без додаткових витрат для клієнта.

  • Що таке Canary tokens?

    Токени — це крихітні «розтяжки», які можна розставити у безлічі місць

    Пошук підозрілих даних
    Минулого місяця зловмисник скомпрометував одного з ваших користувачів, читаючи чат вашої компанії.
    Відтоді Канарка відстежує ключові слова й підозрілі дані.
    А ви в курсі?

    Дозволяє бути на крок попереду
    Вашого провідного розробника обрано як ціль і скомпрометовано у місцевому Starbucks.
    Ви б помітили?

    Працездатність, яку легко перевірити
    Проведіть експеримент. Залиште наші підроблені ключі AWS-API на кожному корпоративному ноутбуці. Зловмисникам, які компрометують ваших користувачів, доведеться їх використовувати. Щойно вони це зроблять, викриють себе.

Географія продукту


Canary створено командою Thinkst, за плечима якої багаторічний досвід у дослідженнях з кібербезпеки. Вони знають, як ніхто інший, що працює, що ні, і як компанії витрачають величезні ресурси на захист, що не досягає своєї мети.
Thinkst назвали свої пристрої на честь канарок, які рятували шахтарів від отруєння газом метаном. Колись шахтарі навіть не спускалися в шахти без клітки з цією надзвичайною пташкою, яка є чутливою до метану. Тож якщо вона починала поводитись неспокійно або ж непритомніла, шахтарі одразу ж поспішали вийти на поверхню.
Фізичні, віртуальні і хмарні Canary присутні на всіх 7 континентах. Вони використовуються як у мережах мільярдних компаній Кремнієвої долини, так і агенцій з ядерних досліджень, в університетах Австралії і в компаніях на Середньому Заході США.
В Україні Canary представляє компанія 10Guards.

Визнання клієнтів

I have to give a shout out to
@ThinkstCanary
for being awesome. They not only have a great product but also great people behind it. 🦅

Joe Parker
@joesparker

Illustration

Their on-prem canary is one of the only things that caught me right away in post-exploitation without my knowing I was burned. Solid concept and product.

Vlad Ionescu
@ucsenoi

Illustration

IMHO, Thinkst is the hottest little security company and technology you’ve never heard of.

Jeremiah Grossman
@jeremiahg

Illustration

If you have networks, and you care about protecting them, go give @haroonmeer some coins for a bag of @ThinkstCanary. They’re ace.

Bea Hughes
@beajammingh

Illustration

btw, @ThinkstCanary support is as awesome as their product. unfortunately i had to test it, and have been extremely impressed. and i sure sleep better at night with a bird on the wire.

randy bush
@enoclue

Illustration

Don’t think, just get them ;). I was a former customer (changed roles). What will you get from them?
The best support, easy interface, great price and the most accurate alert in your environment. #canarylove

Mickey P
@MickeyPerre

Illustration

«Заведіть» свою Canary прямо зараз!

Thank you!

We will contact you shortly

Can't send form.

Please try again later.