OT / ICS-сегмент
На PLC нельзя поставить EDR-агент. DeceptionGrid — единственный способ обнаружить вторжение в OT.
Deception · Active Defense · OT & IoT
Пусть атакующий
сам расскажет о себе.
TrapX DeceptionGrid создаёт сеть из тысяч ложных активов — серверов, рабочих станций, IoT-устройств, PLC, медицинского оборудования. Легитимные сотрудники их не видят. Атакующий, попавший за периметр, неизбежно с ними сталкивается — и любое касание становится подтверждённым алертом без false-positives.
Как работает deception
Три шага.
Атакующий приходит — и платит.
DeceptionGrid превращает каждый сегмент сети в минное поле. Reconnaissance, lateral movement, credential theft — любая активность злоумышленника на ложных активах фиксируется и эскалируется в SOC.
01
Развёртывание decoys и lures
Несколько тысяч ложных активов размещаются в каждом VLAN. На реальных хостах разбрасываются «приманки»: фейковые учётные записи, SMB-shares, истории RDP-сессий, browser-passwords.
02
Контакт с ловушкой
Атакующий после initial access начинает разведку, видит lures, идёт по «следам» к decoys. Каждое касание (network scan, login, exec) фиксируется с полным контекстом.
03
Сбор разведданных
DeceptionGrid собирает payload, TTP, инструменты, C2-адреса в безопасной среде; алерт уходит в SIEM/SOAR; EDR изолирует исходный хост.
Классическая защита
Ловить атаку на реальных активах
- Тонкая настройка правил, чтобы не было ложных тревог
- Сигнал тонет в шуме легитимной активности
- Атакующий перебирает приёмы, пока не обойдёт детектор
- Среднее MTTD по индустрии — недели и месяцы
Deception (TrapX)
Ловить атаку на ложных активах
- Любая интеракция с decoy — подтверждённая атака
- Ноль false-positives → SOC не выгорает на «шуме»
- Атакующий не знает, какой актив фейковый
- MTTD — секунды, не дни
Типы ловушек
Не только серверы.
Любой актив в сети.
Библиотека decoys покрывает классический IT, OT/ICS, IoT, медицинское оборудование, банкоматы. Все ловушки выглядят и реагируют как реальные устройства.
Workstations
Windows 10/11 и Linux-десктопы с реалистичными user-профилями, history, cookies.
FULL OS · EMULATEDСерверы и AD
File-server, SQL, Exchange, AD-controller — реагируют на SMB-perm, Kerberoasting, LDAP-запросы.
SERVER · DCPLC и SCADA
Siemens S7, Rockwell ControlLogix, Schneider Modicon, протоколы Modbus, S7Comm, DNP3.
OT · ICSМедицинские устройства
DICOM PACS, инфузионные помпы, рентген-станции, MRI-консоли — критично для больниц.
MEDICAL · DICOMБанкоматы и POS
Эмуляция ATM (NCR, Diebold) и POS-терминалов — для финансовых сетей.
ATM · POSСетевое оборудование
Cisco, Juniper, Fortinet — реагируют на Telnet, SSH, SNMP, default-кредам.
SWITCH · ROUTERПринтеры и MFP
Reach Xerox / HP MFP — частая первая цель атак, ловушки обнаруживают разведку.
IoT · PRINTERIoT-устройства
IP-камеры, термостаты, badge-readers, BMS — реалистичная имитация веб-морды и протоколов.
IoT · CAMERACloud-нагрузки
Decoys в AWS / Azure / GCP, S3-buckets, фейковые ключи доступа в Secrets Manager.
CLOUD · S3Lures & Honeytokens
Приманки — на реальных хостах.
Ведут в ловушку.
Lures разбрасываются на ваших реальных рабочих станциях и серверах. Они выглядят как ценные артефакты — но указывают на decoy. Атакующий «съедает» приманку и попадает в ловушку.
- Fake admin credentials в LSASS, Credential Manager, browser passwords.
- RDP & SMB history — следы «недавних подключений» к decoy-серверу.
- Fake mapped drives и ярлыки на «бухгалтерию» / «договоры».
- Honeydocs — Excel/Word с tracking-маркером: открытие = алерт.
- AWS access keys в .aws/credentials, GitHub-tokens в .env.
- Kerberos tickets и AD-объекты, привлекающие Kerberoasting.
Mimikatz dump · WS-FIN-014
Что увидит атакующий после dump LSASS
# Logon Session 0:
Username : a.karimov
Domain : CORP
NTLM : 7c4f…d3 (real)
# Logon Session 1:
Username : backup_svc ← honeytoken
Domain : CORP
NTLM : f1aa…91 (lure)
// any use of this hash triggers a high-severity alert
# Recent RDP:
10.2.14.71 // decoy WS-ARCHIVE-DB
Атакующий запускает Mimikatz, видит «привлекательную» учётную запись `backup_svc` с доступом к `WS-ARCHIVE-DB`, идёт туда — попадает в DeceptionGrid.
Каждое использование honeytoken-хеша подтверждённо означает компрометацию.
Хроника инцидента
От первой разведки
до изоляции — 7 минут.
Реальный сценарий: после успешного phishing-инжекта атакующий начал lateral movement. Так выглядит ответ платформы DeceptionGrid.
T0
↗
Phishing-payload отработал на WS-MKT-007
EDR не среагировал — fileless C# loader.
+00:42
⚠
Сеть-скан 10.0.0.0/16 — найдены decoys
DeceptionGrid фиксирует ARP/ICMP-трафик на ловушки.
+01:18
🔴 HIGH
SMB-аутентификация на decoy-сервере
Используется хеш honey-аккаунта `backup_svc`.
+02:09
↘
Алерт в SIEM + SOAR-плейбук
Splunk/Sentinel получает событие, тикет в ServiceNow.
+03:30
🛡
EDR изолирует исходный хост
CrowdStrike Falcon отключает WS-MKT-007 от сети.
+07:00
✓
Расследование закрыто
DeceptionGrid передал payload, TTP и C2-адрес в Threat Intel.
Где deception критически нужен
Среды, где EDR не справляется один.
Медицина и HoT
PACS, MRI, инфузионные помпы — нельзя обновлять и патчить. Ловушки покрывают невидимую для EDR зону.
Банкоматные сети
Эмуляция ATM-устройств; обнаружение jackpotting-инструментов и атак на банкоматные подсети.
Защита от ransomware
Шифровальщик ищет SMB-shares — натыкается на decoy-share, алерт уходит до того, как шифрование начнётся.
Защита бэкапов
Threatwise + Commvault Cloud: фейковые бэкап-серверы как первый рубеж против атак на восстановление.
Insider-угрозы
Любопытный сотрудник «случайно» подключился к decoy-серверу с финансовыми данными — алерт в HR/Security.
CYBER BOOST × TrapX
Развёртывание deception под ключ.
Проектируем deception-fabric: где расставлять decoys, как распределить lures, как привязать к SIEM и EDR. Сопровождаем «жизнь» ловушек — обновляем сценарии под актуальные тактики.
14 дн
типовое развёртывание DeceptionGrid на корпоративный сегмент 5 000 хостов.
OT-ready
сертифицированные инженеры для развёртывания в OT/ICS-средах.
SIEM
готовые playbook-выгрузки в Splunk, Sentinel, QRadar, KUMA.
RU/UZ
эксплуатационные runbook на русском и узбекском, обучение SOC.
FAQ
Частые вопросы о TrapX.
TrapX и Commvault Threatwise — это одно и то же?
Да. В 2022 году Commvault приобрела TrapX Security; продукт DeceptionGrid был интегрирован и переименован в Commvault Threatwise. Технология deception сохранилась, добавилась интеграция с Commvault Cloud для защиты резервных копий.
Чем deception отличается от EDR или SIEM?
EDR ищет атаку по сигнатурам и поведению на реальных хостах — это шумно и требует тонкой настройки. Deception не охраняет «реальное» — он создаёт ложные активы, которые легитимные сотрудники никогда не трогают. Любое взаимодействие с decoy = подтверждённая атака. Ноль false-positives.
Заметит ли атакующий разницу между реальным хостом и ловушкой?
Нет. DeceptionGrid использует «emulated assets» (тысячи лёгких ловушек с реальной TCP/IP-стороной) и полные «full-OS decoys» (виртуальные машины с реальной ОС, сервисами и данными). Атакующий должен совершить десятки действий, чтобы догадаться — и каждое будет зафиксировано.
Поддерживает ли TrapX OT/ICS и медицинские устройства?
Да. Это одна из сильных сторон платформы: библиотека decoys включает PLC (Siemens, Rockwell, Schneider), SCADA, медицинские устройства (PACS, инфузионные помпы, MRI-консоли), банкоматы, IoT и принтеры. Развёртываются в OT-сегменте без агентов.
Сколько ловушек нужно для эффекта?
Соотношение реальных активов к ловушкам обычно 5:1 — 10:1. Для сети из 5 000 хостов это 500–1 000 decoys. Они нагрузку не создают: emulated-ловушки запускаются на одной виртуальной машине-«держателе» сотнями экземпляров.
Какие интеграции есть с SIEM и SOAR?
Splunk, Microsoft Sentinel, IBM QRadar, ArcSight, Elastic, Kaspersky KUMA. SOAR-выходы: Cortex XSOAR, Splunk SOAR, Tines. Любое событие отдаётся в syslog/CEF, REST API для своих интеграций.
Заявка · TrapX / Threatwise
Расставим первые decoys за 2 недели.
Спроектируем deception-fabric под вашу инфраструктуру: количество ловушек, типы decoys, набор lures, интеграция с SIEM/EDR.
EMAIL
info@cyberboost.uz
ТЕЛЕФОН
+998 90 925 41 68