Labyrinth

Labyrinth dostarcza przeciwnikom iluzję podatności usług i aplikacji IT/OT, aby sprowokować ich do działania, wykrywa i monitoruje wszystkie ich działania oraz izoluje ich od prawdziwej sieci IT/OT.

Producent: Labyrinth

Labyrinth Deception Platform

Platforma honeypot do wczesnego wykrywania ataków w sieci wewnętrznej. Rozstawia w infrastrukturze wysokowierne imitacje usług IT i fałszywe artefakty - gdy atakujący ich dotknie, zespół bezpieczeństwa dostaje sygnał, jeszcze zanim dojdzie do realnych szkód. Ponieważ z honeypotami nie pracuje żaden uprawniony użytkownik, liczba fałszywych alarmów jest minimalna. Platforma nie tylko wykrywa, lecz także angażuje i spowalnia napastnika w fałszywej infrastrukturze oraz integruje się z systemami SIEM i automatyzacją reakcji. Producentem jest Labyrinth Security Solutions sp. z o.o. z siedzibą w Polsce.

Chcesz zobaczyć honeypoty w działaniu na własnej infrastrukturze? Umów się na prezentację lub wycenę pod swoją infrastrukturę - pokażemy, jak honeypoty wyłapują ruch atakującego.

Zobacz w działaniu

Decepcja w praktyce: alternatywa dla SIEM, XDR i EDR w detekcji zagrożeń

Typ rozwiązania

Honeypot

Honeypoty rozstawione w infrastrukturze IT.

Detekcja

Wczesna

Wykrywanie na najwcześniejszych etapach ataku.

Alarmy

Niski false-positive

Z honeypotami nie pracuje żaden uprawniony użytkownik.

Integracja

SIEM + reakcja

Dwukierunkowo z SIEM; izolacja hosta lub zakończenie sesji.

Walidacja

Seeker

Testuje kontrole, polityki i czas reakcji zespołu SOC.

Wycena

Wyceń dla swojej organizacji →

Prezentacja i wycena pod Twoją infrastrukturę.

Co wyróżnia Labyrinth Deception Platform

Wykrywanie oparte na honeypotach, nie na sygnaturach. Wysokowierne imitacje usług IT i fałszywe artefakty wtopione w infrastrukturę sprawiają, że ruchy napastnika nie pozostają niezauważone. Każde dotknięcie honeypota to mocny sygnał, stąd minimalna liczba fałszywych alarmów.

Angażuje i spowalnia atakującego. Gdy napastnik wejdzie w interakcję z honeypotem, działa w odizolowanej, fałszywej infrastrukturze, która zajmuje jego czas i rejestruje każdy szczegół działań, podczas gdy realna infrastruktura pracuje bez zakłóceń.

Trzy warstwy honeypotów. Sieciowe (Points) tworzące powierzchnię ataku, webowe (UniversalWebPoint) emulujące aplikacje internetowe oraz plikowe - agenty Seeder rozsyłają przynęty na realne hosty, wykrywając napastnika także po wejściu na stację (post-exploitation, np. po phishingu).

Integracja i automatyczna reakcja. Dwukierunkowa integracja z SIEM oraz integracje z rozwiązaniami innych firm pozwalają - w zależności od poziomu alertu - automatycznie odizolować host lub zakończyć sesję napastnika.

Producent z siedzibą w Polsce

Labyrinth sp. z o.o.

Zespół inżynierów bezpieczeństwa i pentesterów.

Certyfikowany zespół wdrożeniowy

Certyfikowani inżynierowie

Polskojęzyczne wsparcie przy projekcie i konfiguracji.

Wdrożenie i konfiguracja

Proponujemy zakres prac

Dobór i rozmieszczenie honeypotów pod Twoją sieć.

Nauczymy zespół

Akademia Cyberbezpieczeństwa

Webinary i szkolenia z obsługi konsoli i incydentów.

Zastosowania Labyrinth - case studies

Poniższe wdrożenia pochodzą z anonimizowanych case studies producenta. Pokazują, jak platforma sprawdza się w różnych typach infrastruktury - od rozproszonych sieci po DMZ i dostęp zdalny.

Holding wielobranżowy

produkcja · handel · budownictwo · ubezpieczenia

WyzwaniePonad 10 firm i do 100 VLAN-ów; słabe punkty w wykrywaniu rekonesansu na obwodzie sieci oraz potrzeba ochrony na poziomie stacji roboczych.

Wdrożenie i efektWiele Worker VM, wszystkie typy honeypotów sieciowych, web honeypoty (UniversalWebPoint) i przynęty plikowe na hostach oraz dwukierunkowa integracja z SIEM. Wzrost widoczności i szybsze decyzje w incydentach.

Zarządzanie drogami / infrastruktura

rozproszona sieć · serwery · OT-adjacent

WyzwanieDo 750 hostów i 100 VLAN-ów, krytyczne zasoby rozproszone geograficznie, bardzo dużo interfejsów Web na sprzęcie sieciowym i oprogramowaniu.

Wdrożenie i efektAdmin VM i 4 Worker VM na VMware vSphere, ponad 4500 przynęt plikowych i 55+ Honeynetów; dynamiczne honeypoty Web w DMZ regenerowane do 3 minut. Skuteczność potwierdzona pentestem, wykryto też shadow IT.

Audyt frachtu i logistyka (B2B)

łańcuch dostaw · ochrona danych

WyzwanieDo 500 hostów i 6 usług Web w DMZ; po serii włamań u konkurentów potrzeba natychmiastowego wzrostu widoczności i wykrycia ewentualnego włamania.

Wdrożenie i efektAdmin VM i Worker VM, 3 Honeynety (DMZ, dev/test, dir-hosts), honeypoty Web z emulowanymi podatnościami; wdrożenie poniżej dwóch godzin. Wykryto skompromitowaną stację dewelopera łączącą się przez VPN - host odizolowano do analizy.

Paliwa i OT/ICS - badania R&D

oil & gas · systemy monitoringu zbiorników

WyzwanieSprawdzenie, czy atakujący zainteresują się systemami sterowania stacji paliw, i zebranie danych o ich metodach działania na takich systemach.

Charakter pracW ramach badań R&D Labyrinth zbudował emulację systemów monitoringu zbiorników i wykrywał rekonesans oraz próby zmiany ustawień. Ten wyspecjalizowany typ honeypota nie jest obecnie częścią produktu.

Opis techniczny

Labyrinth Deception Platform to platforma technologii honeypot, która tworzy w sieci klienta warstwę wysokowiernych imitacji usług, urządzeń i artefaktów. Honeypoty nie biorą udziału w normalnej pracy organizacji, więc każda interakcja z nimi jest podejrzana - to pozwala wykrywać działania napastnika na wczesnym etapie i z bardzo niskim odsetkiem fałszywych alarmów. Platforma jednocześnie angażuje atakującego w fałszywej infrastrukturze, spowalniając go i dając zespołowi bezpieczeństwa czas na reakcję.

Rozwiązanie składa się z konsoli zarządzającej (Management Console) z widokiem mapy ułatwiającym dochodzenie nawet przy tysiącach powiadomień oraz z maszyn wirtualnych (Admin VM i Worker VM) instalowanych m.in. na hypervisorze VMware vSphere. Honeypoty obejmują typy sieciowe (Points), webowe (UniversalWebPoint, w tym dynamiczne emulacje aplikacji z podatnościami) oraz plikowe rozsyłane na realne hosty przez agenty Seeder. Platforma integruje się dwukierunkowo z systemami SIEM, a poprzez integracje z rozwiązaniami innych firm umożliwia automatyczną reakcję - izolację hosta lub zakończenie sesji w zależności od poziomu alertu. Producent - Labyrinth Security Solutions sp. z o.o. - opisuje się jako zespół inżynierów bezpieczeństwa i pentesterów specjalizujący się w rozwiązaniach do wczesnego wykrywania i zapobiegania cyberzagrożeniom.

Architektura i komponenty

Management Console

Konsola + widok mapy

Czytelna prezentacja danych o działaniach napastnika i szybkie dochodzenie.

Admin VM i Worker VM

Maszyny wirtualne

Wdrażane m.in. na VMware vSphere; wiele Worker VM dla rozproszonych segmentów.

Points

Honeypoty sieciowe

Tworzą powierzchnię ataku w segmentach sieci; grupowane w Honeynety.

UniversalWebPoint

Honeypoty webowe

Dynamiczne emulacje aplikacji Web z podatnościami (np. DirTraversal, LFI, RCE).

Seeder Agents

Przynęty plikowe

Rozsyłają decoy-pliki na realne serwery, laptopy i stacje robocze.

Honeynets

Sieci honeypotów

Grupy Points odpowiadające za konkretne VLAN-y i segmenty.

Integracja SIEM

Dwukierunkowa

Włączenie incydentów Labyrinth w proces zarządzania incydentami.

Seeker

Walidacja wektorów ataku

Symuluje ataki, testuje kontrole, polityki i efektywność zespołu SOC.

Kluczowe funkcje

Wczesne wykrywanie

Najwcześniejsze etapy

Sygnał, gdy napastnik bada sieć lub usługi, zanim dojdzie do szkód.

Niski false-positive

Mocny sygnał

Z honeypotami nie pracuje żaden uprawniony użytkownik.

Angażowanie napastnika

Spowolnienie ataku

Wysokointeraktywne honeypoty zajmują atakującego i rejestrują działania.

Detekcja post-exploitation

Przynęty na hostach

Wykrycie napastnika, który wszedł na stację np. po phishingu.

Honeypoty webowe

Emulacje aplikacji

Wykrywanie i klasyfikacja sekwencji działań na aplikacjach Web.

Regeneracja honeypotów

Do 3 minut (DMZ)

Środowisko nie wygląda statycznie dla atakującego.

Dochodzenie

Widok mapy

Szybkie wskazanie źródła aktywności mimo wielu powiadomień.

Automatyczna reakcja

Izolacja / sesja

Izolacja hosta lub zakończenie sesji wg poziomu alertu.

Seeker

Walidacja ataku

Test kontroli bezpieczeństwa, polityk i reakcji zespołu SOC.

Integracje i środowisko wdrożenia

SIEM (integracja dwukierunkowa)Automatyczna reakcja (izolacja hosta)Zakończenie sesjiVMware vSphereSystemy orkiestracji (dystrybucja Seeder)Points (honeypoty sieciowe)UniversalWebPoint (web)Seeder Agents (pliki)HoneynetsSeeker

Wdrożenie i skala

Architektura

Admin VM + Worker VM

Wiele Worker VM dla rozproszonych segmentów.

Hypervisor

VMware vSphere

Środowisko wdrożenia maszyn wirtualnych (z case studies).

Typy honeypotów

Sieć · Web · pliki

Points, UniversalWebPoint, przynęty plikowe (Seeder).

Konsola

Management Console

Widok mapy i klasyfikacja powiadomień.

Integracja

SIEM dwukierunkowo

Reakcja przez integracje z rozwiązaniami innych firm.

Skala (przykłady z case studies)

Setki hostów, 100 VLAN

Np. 750 hostów, 4500+ przynęt, 55+ Honeynetów.

Wdrożenie Labyrinth Deception Platform przez Net Complex

Wdrożenie przez Net Complex może obejmować dobór i rozmieszczenie honeypotów (sieciowych, webowych i plikowych), konfigurację Honeynetów, integrację z SIEM oraz scenariusze automatycznej reakcji. Zakres ustalamy pod konkretne środowisko. Skontaktuj się z nami w sprawie wyceny i ścieżki wdrożenia.

Zapytaj o wdrożenie

Bonusy dla naszych klientów. Zapewniamy dedykowanego opiekuna handlowego, wsparcie certyfikowanego inżyniera, prezentację oraz pomoc w ustaleniu zakresu wdrożenia pod konkretne środowisko. Dane przetwarzamy w standardzie ISO/IEC 27001.